T.Hunter

#news Передовые новости инфобеза из Индонезии: президент запретил разработку новых приложений для правительства. Причина проста: их число перевалило за 27 тысяч. Одно министерство набрало в пользование 500 приложений. Новые же создают при вступлении в должность министров, губернаторов и чиновников.

Разгадка, судя по всему, очень проста: в 2024-м правительство запросило под разработку приложений 6,2 триллиона рупий — почти 400 миллионов долларов. Так что за науёмной цифровизацией, видимо, элементарно скрывается коррупционная схема. Как это всё работает и поддерживается можно только догадываться. Но теперь лавочку прикрывают вместе с анонсом индонезийских Госуслуг — единая платформа призвана положить конец бесконечному разрастанию мелких приложений. Судя по всему, по персональному для каждого чиновника.

@tomhunter

Завтра, 29 мая в 12:00 по Москве, пройдёт вебинар Код ИБ | БЕЗОПАСНАЯ СРЕДА. Темой выпуска станет «Как происходит предупреждение киберугроз?» Участники обсудят DPR (Data Risk Protection) как процесс предупреждения угроз — иными словами, то как проходит работа по их выявлению изнутри.

От T.Hunter участие в эфире примут руководитель нашего департамента расследований Игорь Бедеров и Product Owner Денис Симонов. Зарегистрироваться можно здесь. Присоединяйтесь, будет интересно!

@tomhunter

#news Редкий зверь на на территории РФ: причиной масштабного «технического сбоя» у СДЭК, судя по всему, стала рансомварь-атака. Ответственность за неё взяли на себя хакеры из Head Mare, рансомварь в системах так же подтвердил источник в компании.

СДЭК с 26 мая перестала выдавать и принимать посылки по всей стране, что указывало на прилёгшие системы. Ну а теперь Head Mare опубликовала скриншоты из внутренних систем и передаёт привет безопасникам, обслуживающим СДЭК. Восстановление работы теперь упирается в наличие бэкапов у не пуганной рансомварью российской компании. И вся интрига в том, когда у СДЭК был последний. Спойлер: злоумышленники из Head Mare утверждают, что бэкапы в компании делали раз в полгода. Посылки-то, может, и в безопасности, а вот системы…

@tomhunter

#news Индия отметилась масштабной утечкой данных миллионов граждан. Включая биометрию полицейских и военных. Фотографии, отпечатки пальцев, подписи, почты, свидетельства о рождении, дипломы — проще сказать, что не утекло.

Причиной утечки стала незащищённая база данных от пары девелоперских компаний, в ней 1,6 миллиона документов почти на полтерабайта. Самое интересное — около 300 тысяч документов по физподготовке полицейских с ключевыми данными на них. Плюс данные из мобильных приложений полиции, включая логины и пароли в открытом виде. Что примечательно, в 2022-м в Индии значительно расширили полномочия полиции по сбору биометрических данных. И теперь они утекли, включая биометрию самих полицейских и военных. Это к вопросу о том, что когда ИБ-индустрия протестует против сбора всего и вся, к ней стоит прислушаться. Иначе будут конфузы уровня Индии.

@tomhunter

#news Утёкший договор Samsung с сервисными центрами раскрывает детали политики компании касаемо ремонта устройств. Спойлер: дела хуже, чем у Apple. Два ключевых момента. Компания требует ежедневных обновлений по ремонту. Со сливом данных клиентов в базу — имена, контактные данные, адреса, идентификаторы. И второе: устройства со сторонними запчастями должны быть немедленно разобраны, а данные провинившегося клиента — переданы Samsung.

То есть если вы принесёте на замену батареи телефон с неоригинальным экраном, его должны уничтожить и настучать на вас компании. Это прописано в контракте корпорации, на публику утверждающей, что «Сторонние запчасти — это реальность, которую нужно принять». Очевидно, Samsung её принимать не спешит. Почитать договор можно здесь (PDF).

@tomhunter

#news Пятничные новости, снова от мира ИИ-моделей. Пока Google ломает поиск форсированным внедрением ИИ, процесс приносит совсем уж комические ситуации. По сети разошёлся скриншот рецепта соуса для пиццы от Гугла: чтобы сыр не растекался, добавьте в него 1/8 чашки нетоксичного клея. Источник? Комментарий на Reddit 11-летней давности.

Иными словами, предположения о том, что скрапинг форумных помоек ИИ-моделями отравит выдачу, были верны. Наш будущий кремниевый повелитель познаёт мир глазами юзеров Reddit и Tumblr — вот они, грядущие рукотворные ужасы, выходящие за рамки понимания. По крайней мере, теперь понятно, за что Google платит Reddit $60 миллионов в год за доступ к API по партнёрке, к которой на днях подключилась и OpenAI. Чтобы товарищ под ником Fucksmith из 2013-го советовал пользователям Гугла есть клей.

@tomhunter

#news Пока Apple отмалчивается касаемо всплывших у юзеров удалённых фотографий, в Synactiv вскрыли недавнее обновление реверс-инжинирингом. Как утверждает компания, баг связан с iOS, а не iCloud. А именно существенными изменениями в одной из функций PhotoLibraryServices.

В свежем патче Apple убрала из функции скан и ре-импорт фото из системы, из-за чего и были переиндексированы старые локальные файлы и добавлены обратно в галерею. Анализ кода показал, что фото лежали в файловых системах и просто подтянулись после глитча в функции переноса данных. В общем, и ИБ-фирма выдала вердикт, и аналогичные мнения инсайдеров из Apple на Reddit оперативно подвезли — всё сводится к тому, что это просто глюк iOS. И не забывайте, никаких бэкдоров в яблочных устройствах нет!

@tomhunter

#news Microsoft анонсировала дорожную карту по отказу от VBScript. Во второй половине 2024-го с релизом Windows 11 24H2 скриптовый язык перейдёт в разряд дополнительных компонентов.

К 2027-му VBScript не будет предустановлен в системах, а на последнем этапе, даты которого пока не анонсированы, его окончательно уберут, удалят связанные библиотеки, и проекты на языке перестанут функционировать. В общем, у 30-летнего скриптового старичка ещё в запасе времени до конца десятилетия. Что занятно, его пустили под нож в рамках избавления продуктов Microsoft от векторов атаки. И параллельно с этой дорожной картой анонсирована Recall. Получается, всё в Редмонде сбалансировано: одну поверхность атаки порезали, но планируют добавить другую, ещё более масштабную. Чтобы ни злоумышленники, ни инфобез-фирмы не ушли обиженными.

@tomhunter

#news Как и ожидалось, ИБ-сообщество встретило новую фичу от Microsoft с огромным энтузиазмом. Единогласное мнение: Recall станет кошмаром для приватности и масштабной поверхностью атаки, а будущие утечки данных будут впечатляющими.

Снапшоты паролей и банковских аккаунтов, конфиденциальных документов и приватных фото — Recall соберёт их все. А затем также беспристрастно сольёт инфостилерам и любому добравшемуся до устройства. В то, что Microsoft не будет эксплойтить фичу и стягивать собранные ею данные на сервера, тоже мало кто верит. В том числе зашевелились и регуляторы: британский потребовал от компании объяснений. Кевин Бомонт и вовсе окрестил Recall встроенным кейлоггером. В общем, пока разработчиков спайвари обкладывают санкциями, Microsoft открыто анонсирует собственную в качестве фичи. Но эта спайварь, как водится, кого надо спайварь. Так что ждите её в скором времени у каждого юзера с Windows 11.

@tomhunter

#news Veeam предупредила пользователей о критической уязвимости в Veeam Backup Enterprise Manager. Она позволяет неаутентифицированному злоумышленнику зайти в веб-интерфейс под любым аккаунтом. Уязвимость вместе с несколькими другими исправлена в свежей версии. Если нет возможности накатить обновления, VBEM можно отключить. Кроме того, менеджер не развёрнут по умолчанию, так что не все инстансы уязвимы. И если он не используется, его можно просто удалить.

Раньше баги в софте от Veeam использовали в атаках, включая уязвимость в марте 2023-го, по которой активно работали рансомварь-группировки. Так что ИБ-отделы 74% компаний из Global 2000, пользующихся решениями Veeam, ждёт увлекательный квест «Пропатчь меня, пока работодатель не попал на несколько десятков миллионов долларов». Возможно, пройдут его не все.

@tomhunter

#news Недавнее исследование сбора устройствами от Apple и Google информации о точках Wi-Fi как ночной кошмар ИБ-параноика. Исследователи геолоцировали миллиарды устройств по всему миру. В основном благодаря тому, что яблочные изделия отправляют по API MAC-адреса точек доступа — до 400 ближайших к тому, с которого идёт запрос.

В сущности API Apple сливает на свои устройства кучу данных о местоположении ближайших точек для геолокации. На карте выше анализ индексации яблочного API. С его помощью, например, отследили терминалы Starlink в зоне конфликта. И маршруты беженцев по их телефонам. И многое другое. Starlink закрыла брешь, добавив на уровне софта рандомизатор BSSID. Apple предложила добавлять «_nomap» к имени Wi-Fi для отключения индексации. И идея хорошая: яблочный юзер не только носит в кармане персональный маячок, но и сливает Apple геолокацию всех роутеров в округе как послушный корпоративный дрон. Вот он, киберпанк, который мы заслужили.

@tomhunter

#news В логгере Fluent Bit обнаружили критическую уязвимость на повреждение памяти, CVE-2024-4323, 9.8 по CVSS. Баг вызван переполнением кучи во встроенном HTTP-сервере. Серьёзности проблеме добавляет распространённость софта: 13 миллиардов скачиваний. Развёрнут Fluent Bit в Amazon AWS, Microsoft Azure, в кубах и прочих контейнерах, у десятков IT-гигантов и далее по списку.

Уязвимость позволяет неаутентифицированному злоумышленнику вызвать отказ в обслуживании и перехватить конфиденциальную информацию. Есть заход и под RCE, но надёжный эксплойт под переполнение кучи вряд ли появится в скором времени. Баг исправлен в версии Fluent Bit 3.0.4, а пока фиксы не выкатят для всех платформ, админы могут ограничить доступ к API или отключить уязвимый эндпоинт, чтобы блокировать потенциальные атаки.

@tomhunter

#news Microsoft анонсировала новую фичу под Windows 11 назло всем инфобез-параноикам. Recall будет записывать всё, что юзер делает на своём компьютере с помощью ИИ-модели и собирать в таймлайн приложений, сайтов и документов. Позже по снапшотам можно, например, вернуться к конкретному письму, вкладке или чату в Teams.

Хранится это всё якобы будет локально, отдельные снапшоты можно удалять, а также фильтровать содержимое приложений и прочих инкогнито-вкладок из истории. Но даже если до серверов Microsoft это всё не доберётся, остаётся вопрос, как это будет защищено на устройствах. И не появится ли у инфостилеров новый вектор атаки. В общем, такая вот ранее не задокументированная интересная фича. Желающие ей пользоваться есть?

@tomhunter

#news Злоумышленники активно эксплуатируют слабое место в дизайне FoxitPDF для доставки малвари. При запуске софт выдаёт окно с предложением включить фичи, если юзер доверяет файлу, и следом ещё одно с предупреждением об открытии файла. В обоих окнах по умолчанию идёт вариант согласиться, что повышает шанс выполнения вредоноса.

В кампаниях, эксплуатирующих эту уязвимость, замечены с десяток троянов удалённого доступа, инфостилеры и криптомайнеры. Часть мотивированы финансово, часть заточены под шпионаж, в том числе по оборонке. Эксплойтом это назвать сложно, скорее, тянет на фишинг. Так что уязвимость в сущности не в самом софте, а в нашем кривом wetware, склонном кликать на всё подряд без задней мысли. Подробнее о проблеме в отчёте.

@tomhunter

#news Вслед за перехватом BreachForums ФБР мгновенно всплыли желающие занять вакантное местечко: небезызвестный хакер USDoD объявил о создании новой площадки, Breach Nation. Запуск запланирован на 4 июля.

В пространном посте амбициозный злоумышленник делится планами и обещает платформу для всех-всех киберпреступников, чтобы никто не ушёл обиженным. Между тем слухи об аресте товарища Baphomet множатся, но пока ждём официальных заявлений от безопасников в погонах. ShinyHunters же утверждают, что его арест привёл к перехвату большей части инфраструктуры форума. Иными словами, конвейер от админа новой итерации RaidForums до скорого тюремного заключения продолжает работать на полную катушку.

@tomhunter

#news Пятничные новости с анализом самых распространённых пин-кодов в мире. Результаты более чем предсказуемые: в топе 1234, 1111, 0000 и далее по списку простых последовательностей. На первом месте пин-код, составляющий почти 11% от 3,4 миллионов изученных, первая тройка — 18% от массы. Почётное 10 место за 6969.

Используя же всего 20 комбинаций, можно отгадать 26% пин-кодов. Годы рождения тоже не особо надёжны: в топе на 7 месте молодёжь из 2000-го. В целом же комбинации на 19?? в первых 20% проанализированного дата-сета. Среди наиболее уникальных различимых паттернов нет. Когда же речь заходит о 5-значных кодах, воображение юзеров совсем даёт слабину: 22,8% составляет последовательность 12345. Больше цифрового аутизма на вечер с графиками и картами по ссылке.

@tomhunter

#news Раньше всплывали новости о гениальной преступной схеме северокорейцев — работе айтишниками в компаниях по всему миру для финансирования КНДР. А теперь последовало наказание: в США и Польше арестованы некие Кристина Мари Чэпмен и Александр Диденко. Им предъявлены обвинения по полудюжине статей о мошенничестве.

Чэпмен держала дома в США ферму из 60 рабочих ноутбуков, к которым подключались северокорейцы, чтобы создать иллюзию работы из Штатов. Она же отмывала их зарплаты. Диденко тоже участвовал в создании ферм, а помимо этого держал платформу UpWorkSell с поддельными личностями, сотни прокси-серверов и сервисы денежных переводов. В итоге северокорейские стахановцы заработали ~$7 миллионов, нанесли ущерб своим трудолюбием более 300 компаниям в США, а арестованным грозят сроки до 97,5 и 67,5 лет, соответственно. Вот и поработали.

@tomhunter

#news Пока Apple продвигает свою технику под брендом приватности для элиты всех сортов, пользователи знакомятся с обратной стороной использования яблочной продукции. В iOS 17.5 на устройствах начали всплывать удалённые ранее фото.

Старые фотографии появляются как недавно добавленные, на очищенных по гайдлайнам от Apple устройствах, после смены нескольких и годы спустя. Один юзер заявил о появившихся фото из 2010-го года. С такими датами, вероятнее всего, они выгружаются из iCloud. Другие пользователи заявляют о том, что у них после апдейта вернулись стёртые голосовые сообщения, как уже было с бетой. В общем, либо Apple годами и десятилетиями хранит удалённые юзерами данные, либо они всплыли в результате глитча просто из неперезаписанных частей хранилищ. В любом случае такая вот приватность. Со звёздочкой.

@tomhunter

#news О продаже нулевого дня под Outlook можно не переживать. По крайней мере, о продаже через BreachForums: сегодня сайт был перехвачен ФБР. Красочная заглушка вместо форума, всё как полагается. Безопасники в погонах утверждают, что у них на руках бэкенд-данные сайта. Если это действительно так, почты, айпишники и сообщения юзеров скоро будут изучать под лупой.

Перехвачен также и канал в Телеграме, в котором теперь висит сообщение ФБР с аккаунта Бафомета с призывом стучать на обитателей форума по всем каналам связи. Свежая версия BreachForums продержалась с июня 2023-го, после того как сайт подняли хакеры из ShinyHunters. Теперь на нём красуются аватарки администраторов, самих ShinyHunters и товарища Baphomet, с решёточками. Что как бы намекает на дальнейшие планы любителей чертовски хорошего кофе в отношении продолжателей дела Pompompurin’a и Omnipotent.

@tomhunter

#news В Нидерландах вынесли приговор одному из проводников цифрового будущего, сооснователю криптомиксера Tornado Cash. 31-летний Алексей Перцев приговорён к 5 годам и 4 месяцам заключения. У него также конфискуют ~$2 миллиона в крипте и Порше.

Перцев был арестован в августе 2022-го сразу после санкций США в адрес Tornado Cash. Защита настаивала на том, что Перцев — невинный борец за приватность крипто-сообщества, а беспринципные киберпреступники абьюзили платформу для своих грязных дел. Увы, суд с этим не согласился и постановил, что криптомиксер был специально заточен под отмывание денег. В общем, спойлер того, что ждёт Романа Шторма, одного из разработчиков, в Штатах в сентябре.

@tomhunter

#news Тревожные новости для пользователей Outlook. На одном небезызвестном форуме всплыл пост о продаже RCE-эксплойта под нулевой день. Злоумышленник утверждает, что протестировал его на версиях Microsoft Outlook 2016, 2019 LTSC 2021 и Microsoft 365 Apps for Enterprise.

Цена вопроса — 1,700,000 долларов. Детали эксплойта раскроют покупателям, товарищи из ShinyHunters в качестве посредника, журналистов просят не беспокоить. Пока неясно, скрывается ли за этим что-то серьёзное или очередной незатейливый скам, но ShinyHunters накинули злоумышленнику репы и записали его в серьёзные юзеры, за которого они ручаются. Потенциальный ущерб от нулевого дня в Outlook сложно переоценить. Так что как минимум стоит следить за новостями.

@tomhunter

#news Пока проходит отпевание LockBit, в сетевых дебрях идёт масштабная кампания с рассылкой энкриптора LockBit Black. Миллионы фишинговых писем шлют с конца апреля через ботнет Phorpiex, скорее всего, в комплекте с рансомварью, собранной утёкшим в 2022-м билдером.

С самой LockBit эта рассылка, судя по всему, никак не связана. Фишинг простенький, без энтузиазма, с ZIP-архивом и бинарником внутри. Последний подтягивает через ботнет вредоносную нагрузку. Между тем желающим добить LockBit не составит труда создать им проблем. Достаточно было бы повторить фокус со слитым билдером в начале года, когда кое-кто хакнул им российскую компанию. Так что такой сценарий от желающих отвесить прощального пинка одному случайному невинному человеку никого не удивит.

@tomhunter

#news По следам отгремевших новостей о деаноне LockBitSupp к делу подключается тяжёлая артиллерия: у Кребса классика OSINT-анализа по Дмитрию Хорошеву. Спойлер: это не случайный невинный человек, а персонаж с историей киберпреступных дел длиною в 14 лет.

По следам почтовых ящиков и доменов Хорошева найдены посты на Opensc и Antichat в начале десятых. На форуме Zloy он был известен под ником NeroWolfe, кодер на C и C++ и разработчик малвари. С опсеком у него было не очень: на ящик с xakep[.]ru под аккаунты с хакерских форумов была создана страница в VK под реальным именем. Ну а после исчезновения последнего на три года в 2019-м всплыл небезызвестный товарищ Putinkrab, продававший RaaS на C. Прямых связей между ним и NeroWolfe Кребс не приводит, но параллелей достаточно. Материал как всегда интересный, а Хорошеву не позавидуешь: федералы слили на него всё, вплоть до адреса, ИНН и паспортных данных.

@tomhunter

#news В новую неделю с новостей о чужой продуктивности: за два года рансомварь-группировка Black Basta взломала более 500 организаций. Согласно свежему отчёту от CISA, на ноябрь 2023-го злоумышленники получили не менее $100 миллионов выкупов от жертв.

Black Basta считают возможным ребрендингом Conti. Профессионализм, отсутствие рекламы и набора на форумах, 20 жертв в первые пару недель после запуска — всё указывает на то, что это не новички и с начальным доступом у них всё в порядке. Группировка также успела взломать компании в 12 из 16 секторов критической инфраструктуры. Можно делать ставки, соберёт ли Black Basta полный набор, прежде чем по их собственную инфраструктуру придёт ФБР.

@tomhunter

#news Пятничных новостей пост. Разборки вокруг Signal после свежей публикации о связях с Госдепом набирают обороты. По-крупному набрасывает пламенный борец за всея свободы и опенсорс Дуров: разработанное на деньги Госдепа шифрование Signal во всем штатовском бигтехе, сам Signal набит агентурой разведки и сливает переписку судам, пользуйтесь только неподкупным Telegram и т.д и т.п.

К драме подключились прочие известные фигуры: хваливший Signal Маск жалуется на некие уязвимости, Бутерин пинает мессенджер за наличие цензурных аппаратчиков среди председателей. В ответ президент Signal парирует, ссылаясь на уязвимости в самом Telegram и то, что Дуров много болтает про приватность, а за кулисами сотрудничает с властями. Что справедливо. В общем, сцепились жаба с гадюкой и выясняют, кто больший борец за свободу слова. Ответ очевиден: никто из вышеперечисленных. Но при желании, конечно, можно записаться в фанбои той или иной играющей на публику в либертарианство знаменитости.

@tomhunter

#news Dell сообщила о масштабной утечке пользовательских данных: потенциально затронуты 49 миллионов клиентов. Компания начала рассылку предупреждений позавчера, а данные, судя по всему, всплыли на продажу на Breach Forums в конце апреля. Взломан сайт компании с базой данных по покупкам с 2017-го по 2024-й годы.

В своем заявлении Dell доверительно сообщает, что не считает, что украденные данные могут представлять опасность. Между тем в сливе имена и адреса покупателей, что довольно серьёзно, особенно с учётом масштабов. Пост с Breach Forums пропал — вполне возможно, базу приобрели злоумышленники. И теперь активно ищут возможности монетизировать покупку. Так что попавших в слив клиентов Dell могут ждать письма счастья с флешками с малварью и прочие радости.

@tomhunter

#news Занятные новости про очередной приватный, защищённый и неподкупный сервис, мессенджер Signal. Как выяснилось, есть серьёзные основания сомневаться в его надёжности. На три миллиона долларов инвестиций от связанного с Госдепом фонда. И ввиду не менее интересного председателя Signal Foundation, Кэтрин Махер.

Интересна она тем, что имеет крепкие связи с американской внешней политикой. Дамочка работала в организации, финансируемой правительством США, и курировала цифровые инициативы по арабской весне. А позже она мутировала в заморскую Мизулину, боролась с дезинформацией в Википедии и топила за онлайн-цензуру и блокировки. В общем, с такими председателями доверять Signal стоит, только пока переписка в нём не противоречит интересам американских спецслужб. Собственно, это касается чуть ли не каждого модного приватного мессенджера — финансирование у них зачастую из очень любопытных источников.

@tomhunter

#news По следам предполагаемого раскрытия личности LockBitSupp и обвинений во взломе более 2000 жертв и вымогательства минимум $100 миллионов товарищ вышел на связь с Кребсом в Tox. Ответ, конечно, предсказуемый.

«Это не я. Не понимаю, как ФБР связали меня с этим беднягой. Где в этом логика? Тебе не жалко случайного невинного человека?» Но как тактично подмечает Кребс, товарищ LockBitSupp имеет склонность лукавить. Что в последние месяцы особенно заметно. В общем, с бравадой пока не очень. Можно было бы пойти по следам Wazawaka, начать постить фото, раздавать интервью и ничего не стесняться, ссылаясь на то, что пока ФБР и ФСБ не начнут дружить против рансомварщиков, бояться им нечего. Тем временем ИБ-индустрия развлекается, изучая вкусовые и прочие пристрастия Хорошева по слитым данным Яндекса. А в нижнем интернете клепают мемы с героем новостей. Приметы эпохи.

@tomhunter

#cve Наша традиционная подборка самых интересных CVE прошлого месяца уже на Хабре. В апреле десяточками по CVSS отметились уязвимости на внедрение команд в ПО для анализа сетевого трафика Flowmon и PAN-OS. Как обычно, всплыли несколько критических уязвимостей в плагинах для Wordpress.

Внимания заслуживают также нулевой день в межсетевых экранах от Cisco на отказ в обслуживании, уязвимости в продуктах Splunk и RCE в десктопном приложении Telegram — с маленькой опечаткой в коде в качестве напоминания, что лучше пользоваться веб-версией. За подробностями добро пожаловать на Хабр!

@tomhunter

#digest Подводим итоги новостей от мира инфобеза за апрель. В прошлом месяце комментарии на GitHub и GitLab засветились в качестве хостинга малвари. С рансомварь-сцены ушло ещё одно громкое имя: группировка HelloKitty отметилась ребрендингом.

Компания Change Healthcare познакомилась с двойным вымогательством на качественно новом уровне и подсчитывает убытки от отсутствовавшей на одном аккаунте MFA. А в Польше началось масштабное расследование использования спайвари Pegasus прошлым правительством. Об этом и других интересных ИБ-новостях апреля читайте на Хабре!

@tomhunter