Новости про NSO Group все никак не прекратятся. Как вы помните, это постоянный участник канала в рубрике "опять взломали iPhone", но в последнее время также и в рубрике "сейчас их вздрючат" (после того, как Apple подала иск против NSO Group в Калифорнии). На прошлой неделе Reuters опубликовали новость о том, что с помощью Pegasus — шпионского ПО NSO Group — были взломаны телефоны сотрудников министерства иностранных дел США:
https://www.reuters.com/technology/exclusive-us-state-department-phones-hacked-with-israeli-company-spyware-sources-2021-12-03/
Там вообще интересная тема в том, что NSO блокирует взлом телефонов с американским кодом страны, но, похоже, в этот раз произошли обосратушки, потому что сотрудники МИД США находились в Уганде и пользовались местными номерами телефонов. Клиент NSO Group — неизвестно кто в данном случае — использовал Pegasus для взлома номеров телефонов, и ай-ай-ай. NSO утверждает, что сразу же немедленно после статьи Reuters отключили клиенту газ, в смысле доступ к системе.
https://www.vice.com/en/article/5dggxk/us-state-department-employees-targeted-with-nso-group-malware
Ну, в общем, здоровья NSO Group, которую и так уже запретили продавать в США, эта вся история не добавит.
https://www.reuters.com/technology/exclusive-us-state-department-phones-hacked-with-israeli-company-spyware-sources-2021-12-03/
Там вообще интересная тема в том, что NSO блокирует взлом телефонов с американским кодом страны, но, похоже, в этот раз произошли обосратушки, потому что сотрудники МИД США находились в Уганде и пользовались местными номерами телефонов. Клиент NSO Group — неизвестно кто в данном случае — использовал Pegasus для взлома номеров телефонов, и ай-ай-ай. NSO утверждает, что сразу же немедленно после статьи Reuters отключили клиенту газ, в смысле доступ к системе.
https://www.vice.com/en/article/5dggxk/us-state-department-employees-targeted-with-nso-group-malware
Ну, в общем, здоровья NSO Group, которую и так уже запретили продавать в США, эта вся история не добавит.
Reuters
U.S. State Department phones hacked with Israeli company spyware - sources
Apple Inc iPhones of at least nine U.S. State Department employees were hacked by an unknown assailant using sophisticated spyware developed by the Israel-based NSO Group, according to four people familiar with the matter.
Примерно около года назад в канале были новости о якобы имевшем место взломе компании Ubiquiti — известного производителя сетевого оборудования. Там и новости были какие-то мутные, и вообще непонятно было, что там происходило. Можете поискать по названию компании, чтобы увидеть мутность истории.
А история оказалась гораздо веселее на самом деле. Некий Николас Шарп, бывший сотрудник компании, недавно был арестован по обвинению в краже данных компании и попытках шантажировать компанию. При этом умник Николас пытался выглядеть доносчиком (хотя, конечно, это не очень правильный перевод термина whistleblower — типа как раскрыватель ужасных тайн и секретов), и анонимным хакером. А на самом деле чувак слил гигабайты данных с AWS и GitHub, и потом пытался получить с компании выкуп в 2 млн долларов.
Вот эта часть особенно порадовала: чувак пытался скрыть свое местоположение, но чтото там у него отвалился интернет в какой-то момент, и он спалился:
the defendant tried hiding his home IP address using Surfshark's VPN services. However, his actual location was exposed after a temporary Internet outage.
А теперь ему светит до 37 лет.
https://www.justice.gov/usao-sdny/press-release/file/1452706/download
https://www.bleepingcomputer.com/news/security/former-ubiquiti-dev-charged-for-trying-to-extort-his-employer/
А история оказалась гораздо веселее на самом деле. Некий Николас Шарп, бывший сотрудник компании, недавно был арестован по обвинению в краже данных компании и попытках шантажировать компанию. При этом умник Николас пытался выглядеть доносчиком (хотя, конечно, это не очень правильный перевод термина whistleblower — типа как раскрыватель ужасных тайн и секретов), и анонимным хакером. А на самом деле чувак слил гигабайты данных с AWS и GitHub, и потом пытался получить с компании выкуп в 2 млн долларов.
Вот эта часть особенно порадовала: чувак пытался скрыть свое местоположение, но чтото там у него отвалился интернет в какой-то момент, и он спалился:
the defendant tried hiding his home IP address using Surfshark's VPN services. However, his actual location was exposed after a temporary Internet outage.
А теперь ему светит до 37 лет.
https://www.justice.gov/usao-sdny/press-release/file/1452706/download
https://www.bleepingcomputer.com/news/security/former-ubiquiti-dev-charged-for-trying-to-extort-his-employer/
👍1
А про NSO Group тут вот читатели из Израиля еще передают новости об ужесточении контроля
https://t.me/balagan_news/3657
https://t.me/balagan_news/3657
Telegram
balagan.news - новости Израиля
💻📱📦 Министерство обороны совместно с МИД меняет политику экспорта киберсистем
Сегодня ведомство ужесточило надзор за технологическими компаниями. Теперь декларация пользователя, которую обязаны подписать страны, желающие приобрести «шпионское» ПО, будет…
Сегодня ведомство ужесточило надзор за технологическими компаниями. Теперь декларация пользователя, которую обязаны подписать страны, желающие приобрести «шпионское» ПО, будет…
«В случае непринятия провайдером хостинга или владельцем сайта мер по удалению запрещенной информации в сети "Интернет", будет принято решение о включении в единый реестр сетевого адреса, а доступ к нему будет ограничен», — говорится в письме.
https://zona.media/news/2021/12/07/tor
https://zona.media/news/2021/12/07/tor
Медиазона
Роскомнадзор потребовал от Tor удалить ссылку на скачивание браузера
Роскомнадзор потребовал от сети Tor удалить «запрещенную информацию», чтобы избежать блокировки. Письмо ведомства опубли...
Вдогонку к публикации собранных через API Gravatar данных компания опубликовала FAQ
https://en.gravatar.com/support/data-privacy
https://en.gravatar.com/support/data-privacy
Gravatar Support
Data privacy FAQs
Below you will find answers to common questions about how Gravatar collects and uses your personal data. If you have any questions about Gravatar’s data handling or privacy practices, please c…
Издание Politico решило простебаться над вице-президентом США Камалой Харис, обвинив её в "блютусофобии". Вице-президент неоднократно была замечена в том, что пользуется проводной гарнитурой к смартфону для звонков, и журналист решил приплести к этому паранойю.
https://www.politico.com/newsletters/west-wing-playbook/2021/12/06/kamala-harris-is-bluetooth-phobic-495343
Естественно, сообщество экспертов по инфосеку быстренько насовало полную панамку баклажанов этому автору, поясняя про то, что паранойя касательно Bluetooth и его уязвимостей — это нормальная тема, особенно с учетом поста Камалы Харрис.
https://twitter.com/SwiftOnSecurity/status/1468044270099742723
https://twitter.com/jsrailton/status/1468034109134053382
https://twitter.com/wendynather/status/1468068831377645571
https://twitter.com/chadloder/status/1468029927219884036
Вообще уязвимости в Bluetooth — не шутки
https://isc.sans.edu/forums/diary/A+Survey+of+Bluetooth+Vulnerabilities+Trends/27460/
Если вы не вице-президент США, вам, конечно, особо переживать не стоит: вряд ли ваши модели угрозы предусматривают такую атаку. А вот журналистам стоило бы изучать матчасть, прежде чем хихикать.
https://www.politico.com/newsletters/west-wing-playbook/2021/12/06/kamala-harris-is-bluetooth-phobic-495343
Естественно, сообщество экспертов по инфосеку быстренько насовало полную панамку баклажанов этому автору, поясняя про то, что паранойя касательно Bluetooth и его уязвимостей — это нормальная тема, особенно с учетом поста Камалы Харрис.
https://twitter.com/SwiftOnSecurity/status/1468044270099742723
https://twitter.com/jsrailton/status/1468034109134053382
https://twitter.com/wendynather/status/1468068831377645571
https://twitter.com/chadloder/status/1468029927219884036
Вообще уязвимости в Bluetooth — не шутки
https://isc.sans.edu/forums/diary/A+Survey+of+Bluetooth+Vulnerabilities+Trends/27460/
Если вы не вице-президент США, вам, конечно, особо переживать не стоит: вряд ли ваши модели угрозы предусматривают такую атаку. А вот журналистам стоило бы изучать матчасть, прежде чем хихикать.
POLITICO
Kamala Harris is Bluetooth-phobic
Welcome to POLITICO’s West Wing Playbook, your guide to the people and power centers in the Biden administration. With Allie Bice.
Спасибо читателям, напомнили тут про тему с Tor (а то я открыл ссылку на телефоне и забыл её).
TL;DR версия: кто-то с 2017 запускает тысячи серверов для входа и выхода в/из Tor, и основная версия для чего это делается — для деанонимизации пользователей. Тот, кто этим занимается, обладает достаточно большими ресурсами (возможно, государство).
https://therecord.media/a-mysterious-threat-actor-is-running-hundreds-of-malicious-tor-relays/
TL;DR версия: кто-то с 2017 запускает тысячи серверов для входа и выхода в/из Tor, и основная версия для чего это делается — для деанонимизации пользователей. Тот, кто этим занимается, обладает достаточно большими ресурсами (возможно, государство).
https://therecord.media/a-mysterious-threat-actor-is-running-hundreds-of-malicious-tor-relays/
The Record
A mysterious threat actor is running hundreds of malicious Tor relays
Since at least 2017, a mysterious threat actor has run thousands of malicious servers in entry, middle, and exit positions of the Tor network in what a security researcher has described as an attempt to deanonymize Tor users.
Издание Markup пару дней назад опубликовало материал о том, что популярный сервис мониторинга устройств в семье — Life360 — продает на сторону данные на десятки миллионов своих пользователей
https://themarkup.org/privacy/2021/12/06/the-popular-family-safety-app-life360-is-selling-precise-location-data-on-its-tens-of-millions-of-user
Данные — а речь идет о точном местоположении пользователей сервиса — продаются на сторону сторонним брокерам, и что потом с этими данными происходит, никто не знает.
https://themarkup.org/privacy/2021/12/06/the-popular-family-safety-app-life360-is-selling-precise-location-data-on-its-tens-of-millions-of-user
Напомню, что компания Life360 совсем недавно приобрела сервис Tile — производителя блютусных трекеров, которые — СЮРПРИЗ! — предоставят компании еще больше информации о геолокации пользователей и их объектов с трекерами.
https://www.prnewswire.com/news-releases/life360-to-acquire-tile-creating-the-world-leader-in-finding-and-location-solutions-301430364.html
https://themarkup.org/privacy/2021/12/06/the-popular-family-safety-app-life360-is-selling-precise-location-data-on-its-tens-of-millions-of-user
Данные — а речь идет о точном местоположении пользователей сервиса — продаются на сторону сторонним брокерам, и что потом с этими данными происходит, никто не знает.
https://themarkup.org/privacy/2021/12/06/the-popular-family-safety-app-life360-is-selling-precise-location-data-on-its-tens-of-millions-of-user
Напомню, что компания Life360 совсем недавно приобрела сервис Tile — производителя блютусных трекеров, которые — СЮРПРИЗ! — предоставят компании еще больше информации о геолокации пользователей и их объектов с трекерами.
https://www.prnewswire.com/news-releases/life360-to-acquire-tile-creating-the-world-leader-in-finding-and-location-solutions-301430364.html
The Markup
The Popular Family Safety App Life360 Is Selling Precise Location Data on Its Tens of Millions of Users
The app is a major source of raw location data for a multibillion-dollar industry that buys, packages, and sells people’s movements
Никогда такого не было, и вот опять
https://arstechnica.com/information-technology/2021/12/microsoft-seizes-domains-used-by-highly-sophisticated-hackers-in-china/
https://arstechnica.com/information-technology/2021/12/microsoft-seizes-domains-used-by-highly-sophisticated-hackers-in-china/
Ars Technica
Microsoft seizes domains used by “highly sophisticated” hackers in China
Move allows Microsoft to intercept traffic infected devices send to hacker's servers.
Кстати, о Microsoft. Компания открыла специальный портал для анализа вредоносного ПО, в частности, зараженных драйверов. Достаточно закинуть туда зараженный драйвер и описание вредоносного поведения, и там будет проведён анализ с целью определения уязвимостей и возможностей нанесения вреда
http://www.microsoft.com/security/blog/2021/12/08/improve-kernel-security-with-the-new-microsoft-vulnerable-and-malicious-driver-reporting-center/
http://www.microsoft.com/security/blog/2021/12/08/improve-kernel-security-with-the-new-microsoft-vulnerable-and-malicious-driver-reporting-center/
Microsoft Security Blog
Improve kernel security with the new Microsoft Vulnerable and Malicious Driver Reporting Center | Microsoft Security Blog
Windows 10 and Windows 11 have continued to raise the security bar for drivers running in the kernel. Kernel-mode driver publishers must pass the hardware lab kit (HLK) compatibility tests, malware scanning, and prove their identity through extended validation…
Читатель прислал ссылочку про новую zero-day уязвимость в проекте Apache Log4j2 — инструменте для логов, написанном на Java. Уязвимость затрагивает сразу массу продуктов как Apache Struts2, Apache Solr, Apache Druid, Apache Flink и другие. Патч для уязвимости CVE-2021-44228 уже есть, но, видимо, пока выйдут апдейты для продуктов — может занять какоето время, и надо внимательно следить. proof of concept для язвимости уже есть, так что риски эксплуатации уязвимости вполне реальны
https://www.cyberkendra.com/2021/12/worst-log4j-rce-zeroday-dropped-on.html
https://www.cyberkendra.com/2021/12/worst-log4j-rce-zeroday-dropped-on.html
Cyber Kendra
Worst Apache Log4j RCE Zero day Dropped on Internet
Apache Log4j2 remote code execution vulnerability
хакеры замахнулись на святое для американцев! жертвой атаки стал один из крупнейших производителей сыра — компания Schreiber Foods из штата Висконсин. Атака была еще в октябре, производство пришлось приостановить на несколько дней, и остановка серьезно затронула производство сливочного сыра (cream cheese) — в период повышенного спроса на него. И вот теперь рынки накрывает нехватка этого продукта, и американцы негодуют! Не получится есть бейгели с кримчизом, или сделать чизкейк. Жизнь как она есть — заканчивается.
https://www.bloomberg.com/news/articles/2021-12-09/that-cream-cheese-shortage-you-heard-about-cyberattacks-played-a-part
https://www.bloomberg.com/news/articles/2021-12-09/that-cream-cheese-shortage-you-heard-about-cyberattacks-played-a-part
Bloomberg.com
That Cream Cheese Shortage You Heard About? Cyberattacks Played a Part
Hackers shut down the biggest cheese manufacturer during peak demand
Коллекция информации о log4j
- Overview by @LunaSecIO: https://www.lunasec.io/docs/blog/log4j-zero-day/
- Vulnerable Hashes by @mubix: https://github.com/mubix/CVE-2021-44228-Log4Shell-Hashes
- IP’s Exploiting by @GreyNoiseIO: https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
- Detection Rules by @cyb3rops: https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
(Отсюда https://twitter.com/FrankMcG/status/1469375212160438275)
- Overview by @LunaSecIO: https://www.lunasec.io/docs/blog/log4j-zero-day/
- Vulnerable Hashes by @mubix: https://github.com/mubix/CVE-2021-44228-Log4Shell-Hashes
- IP’s Exploiting by @GreyNoiseIO: https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
- Detection Rules by @cyb3rops: https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
(Отсюда https://twitter.com/FrankMcG/status/1469375212160438275)
Компания Volvo как-то уже отмечалась в канале в 2018 году с проблемами информационных систем, а тут, кажется, её взломали. Данных маловато, во-первых, не ясно, когда это произошло. Все, что известно из скудного пресс-релиза: взломали и получили доступ к каким-то инженерным системам, и очень общее и ничего не значащее «это может повлиять на функционирование компании». Посмотрим, будут ли детали.
https://www.media.volvocars.com/global/en-gb/media/pressreleases/292817/notice-of-cyber-security-breach-by-third-party-1
https://www.media.volvocars.com/global/en-gb/media/pressreleases/292817/notice-of-cyber-security-breach-by-third-party-1
читатель прислал ссылку с хорошей компиляцией информации по log4j
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
а тут просто хорошее описание проблемы
https://www.lunasec.io/docs/blog/log4j-zero-day/
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
а тут просто хорошее описание проблемы
https://www.lunasec.io/docs/blog/log4j-zero-day/
Gist
BlueTeam CheatSheet * Log4Shell* | Last updated: 2021-12-20 2238 UTC
BlueTeam CheatSheet * Log4Shell* | Last updated: 2021-12-20 2238 UTC - 20211210-TLP-WHITE_LOG4J.md
=== РЕКЛАМА ====
14 декабря в 14:00 Positive Technologies презентует PT XDR — новое решение для обнаружения киберугроз и реагирования на них
В честь этого Positive Technologies приглашает всех, кто интересуется рынком ИБ, на презентацию решения в онлайн-формате.
Эксперты расскажут и продемонстрируют, что такое XDR и как они позволяют ловить хакеров, каков «правильный» рецепт XDR, нацеленного на результативную для бизнеса безопасность. Также компания анонсирует финальный элемент XDR-решения — продукт для защиты конечных точек.
Кстати, узнать о том, что такое XDR можно из YouTube-ролика: https://www.youtube.com/watch?v=kdBwKcGhVNA
Участники Positive Launch Day 2021 смогут самостоятельно влиять на ход трансляции, а также получить ценные призы.
Программа мероприятия, а также «позитивная» версия любимой аналоговой игры по ссылке
14 декабря в 14:00 Positive Technologies презентует PT XDR — новое решение для обнаружения киберугроз и реагирования на них
В честь этого Positive Technologies приглашает всех, кто интересуется рынком ИБ, на презентацию решения в онлайн-формате.
Эксперты расскажут и продемонстрируют, что такое XDR и как они позволяют ловить хакеров, каков «правильный» рецепт XDR, нацеленного на результативную для бизнеса безопасность. Также компания анонсирует финальный элемент XDR-решения — продукт для защиты конечных точек.
Кстати, узнать о том, что такое XDR можно из YouTube-ролика: https://www.youtube.com/watch?v=kdBwKcGhVNA
Участники Positive Launch Day 2021 смогут самостоятельно влиять на ход трансляции, а также получить ценные призы.
Программа мероприятия, а также «позитивная» версия любимой аналоговой игры по ссылке
YouTube
Погружение в XDR
Объем инвестиций компаний в информационную безопасность постоянно увеличивается, но также растет число взломов и их сложность. Поэтому на рынке кибербезопасности возникают новые классы решений. В этом ролике рассказываем про такой класс решений, как XDR,…
Когда Apple запустила свои трекеры AirTag, то у пользователей Android не было нормальной возможности узнать о том, что за ними могут следить с помощью такого трекера. Теперь Apple выпустила приложение для пользователей Android, которое делает именно это:
https://play.google.com/store/apps/details?id=com.apple.trackerdetect
https://www.cnet.com/tech/mobile/apple-launches-airtags-and-find-my-detector-app-for-android-in-effort-to-boost-privacy/
(Ну, за исключением того, что теперь всем пользователям Андроид надо это приложение поставить, а что делать тем, у кого нет смартфона - вообще непонятно
https://play.google.com/store/apps/details?id=com.apple.trackerdetect
https://www.cnet.com/tech/mobile/apple-launches-airtags-and-find-my-detector-app-for-android-in-effort-to-boost-privacy/
(Ну, за исключением того, что теперь всем пользователям Андроид надо это приложение поставить, а что делать тем, у кого нет смартфона - вообще непонятно
Google Play
Tracker Detect - Apps on Google Play
Tracker Detect looks for Find My compatible item trackers that may be with you.