• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Здравия всем, дамы и господа. За окном снег и ёлочки, скоро новый год. Но предпраздничная суета никак не мешает мне писать для вас. Приятного чтения.

IbIt.jpg


Взломали Volvo

Сам по себе взлом – явление не редкое, а вот факт того, что компания признала взлом – что-то совершенно невероятное. Компания по началу описывала инцидент, как “потенциальную угрозу”, однако потенциал начал реализовываться 30 ноября, когда в сети всплыли данные о внутренних разработках компании. А 25 ноября даркнет-портал, принадлежащий группировке киберпреступников Snatch, внес шведского производителя автомобилей в список пострадавших компаний от атак злоумышленников. Хакеры отмечают, что если представители Volvo не смогут грамотно избежать утечки, Snatch не доставит много проблем опубликовать похищенные данные, однако такой ход доставит много проблем Volvo, ведь они сейчас занимаются разработкой электромобилей и публикация наработок в этой области может сильно ухудшить положение компании. Будем надеяться, что в Volvo поймут наконец, что если признать взлом, потери будут мееньше, чем после этого пытаться удалять слитые данные.


ВУЗ на “Байкал” и “Эльбрус”

Минпроторг и минобранауки планирует перевести российские высшие учебные заведения на отечественные компьютеры на базе процессоров “Байкал” и “Эльбрус”. Эксперты говорят, что это только начало всероссийского перехода на отечественные ПК. На первых порах использование российских компьютеров будет затруднено по причине меньшей мощности отечественных аналогов и отсутствия специального ПО. Одной из основных причин такого скорого начала работ по импортозамещению – санкции США против российских ВУЗов. Согласно введённым ограничениям, российские ВУЗы теперь не могут закупать американские компьютеры и ПО.


Aquarius NS M11

Отечественный КПК в формате смартфона открыт для покупки корпоративными клиентами. Представлен он был 13 декабря российским произвдителем электроники “Аквариус”. В качестве ОС там стоит Аврора 4.0. В «Аквариусе» настаивают, что их смартфон полностью отечественный. Там называют его карманным персональным компьютером. Компания уточнила, что уже выпустила первую тестовую партию из 200 смартфонов и проводит их проверку. «Аквариус» планирует до конца этого года произвести еще 3 тыс. новых мобильных устройств. Рассказали также, что новый КПК оснащен мощным 8-ми ядерным процессором ARM, имеет широкий набор проводных и беспроводных интерфейсов, мультисенсорный экран 6.67” и аккумулятор емкостью 5000 мАч.


Увольнение непривитых?
Такое где-то уже было… Ах да, в России в самом начале пандемии. Правда потом увольнять только по причине непривитости запретили, поэтому такое больше не практикуется, ну или во всяком случае практикуется не так массово. Так вот, к чему это. Google на этой неделе разослала всем своим 150 тысячам сотрудников уведомления о том, что если они до 18 января не привьются, то будут отправлены в «оплачиваемый административный отпуск» на 30 дней. После этого, при дальнейшем невыполнении условий вакцинации, компания отправит их в «неоплачиваемый личный отпуск» на срок до шести месяцев. Они сохранят все свои льготы в течение первых 92 дней этого отпуска. Если по прошествии шести месяцев они все еще не пройдут вакцинацию, то «их работа в Google прекращается». Фактически, компания пообещала лишить зарплаты и в дальнейшем уволить своих сотрудников если те не привьются. Думается мне, это станет ещё одной причиной массовых недовольств в компании.


Цивилизация пришла откуда не ждали

Максим мельников, глава сервиса по поиску недвижимости ЦИАН заявил, что запрет сдачи квартир “только славянам” сделает рынок более цивилизованным. Гендиректор ЦИАН пояснил, что на платформе доля объявлений о сдаче жилья только людям определенных национальностей не более 10%, а сам запрет должен предоставить больше возможностей именно людям, кто имеет неславянскую внешность. Его задача — убрать с площадки проблемы дискриминации клиентов по национальному признаку. Планируется ещё добавить отметку, что арендодатель лоялен к разным вероисповеданиям и национальностям, чтобы можно было привлечь пользователей.


Аквапарк в серверной ГИБДД

18 декабря МВД РФ подтвердило глобальный сбой в Федеральной информационной системе Госавтоинспекции, который заблокировал штатную работу с пользователями Межрайонных регистрационно-экзаменационных отделений ГИБДД (МРЭО) по всей стране. Из-за этих неполадок органы МВД не могут оказывать государственные услуги гражданам — проводить регистрацию транспортных средств, выдавать водительские удостоверения, не работает система информирования пользователей о наложенных административных штрафах за нарушения ПДД. Во многих регионах страны, например Санкт-Петербурге и Ленинградской области, а также Свердловской области, в Москве и области, В Красноярском крае и Новосибирске скопились большие очереди из автовладельцев.

19 же декабря МВД РФ подтвердило, что отказ в работе федеральной информационной системы ГИБДД произошел из-за коммунальной аварии в серверных помещениях. Ведомство пояснило, что в результате нештатного инцидента все серверы, на которых хранились информационные массивы по линии работы Госавтоинспекции, оказались залиты водой и обесточены. Специалисты ведомства занимаются устранением аварии.

Вечером 19 декабря МВД РФ сообщило, что специалисты ведомства полностью восстановили работу федеральной информационной системы ГИБДД. Она не работала в течение полутора суток из-за коммунальной аварии в серверных помещениях — стойки с серверами и СХД были залиты водой. технические специалисты ведомства в круглосуточном режиме занимались восстановительными мероприятиями для возвращения оборудования для федеральной информационной системы ГИБДД в работу. Сейчас доступ к ведомственным информационным ресурсам Госавтоинспекции возобновлен в полном объеме.


EFF призывает насторожиться

Недавно в Google Chrome обновилась платформа для расширений и к ней у фонда электронных рубежей есть вопросы. Manifest V3 предусматривает множество изменений по сравнению с Manifest V2. Одним из самых серьезных является ограничение использования API webRequest, которое позволяет расширениям перехватывать и блокировать либо перенаправлять сетевые запросы. Вместо него расширения должны будут работать с declarativeNetRequest API, которое отдает эту работу в руки Chrome. EFF заявляет, что эти изменения — нечестная сделка для пользователей. EFF считает, что Manifest V3 ограничит возможности расширений, предназначенных для защиты конфиденциальности пользователей: в соответствии с новыми спецификациями такие расширения, как блокировщики трекеров трафика, перестанут работать. Что касается другого оправдания Chrome для Mv3 — повышения производительности — исследование Принстонского и Чикагского университетов 2020 года показало, что подобные расширения конфиденциальности улучшают производительность браузера, указывают в Фонде.


Тёмный Смотретьмужчина

Новое вредоносное ПО под названием DarkWatchman – это легкий и высокопроизводительный JavaScript RAT (троян для удаленного доступа) в сочетании с кейлоггером C#. Согласно техническому отчету исследователей Prevailion, новый RAT используется русскоязычными злоумышленниками, которые ориентированы в основном на российские организации. Первые признаки существования DarkWatchman появились в начале ноября, когда некий пользователь начал распространять вредоносное ПО через фишинговые электронные письма с вредоносными вложениями в формате ZIP. Эти вложения ZIP-файлов содержат исполняемый файл, использующий значок для имитации текстового документа. Этот исполняемый файл представляет собой самоустанавливающийся архив WinRAR, который установит RAT и кейлоггер. Если он открыт, пользователю отображается всплывающее сообщение-приманка с надписью «Неизвестный формат», но на самом деле полезные данные были установлены в фоновом режиме. DarkWatchman - это очень легкая вредоносная программа, размер JavaScript RAT составляет всего 32 КБ, а скомпилированная программа занимает всего 8,5 КБ. Он использует большой набор бинарных файлов, скриптов и библиотек, а также включает скрытые методы передачи данных между модулями. Интересным аспектом DarkWatchman является использование механизма безфайлового хранения реестра Windows для кейлоггера. Вместо того, чтобы хранить кейлоггер на диске, создается запланированная задача для запуска DarkWatchman RAT каждый раз, когда пользователь входит в Windows. Кейлоггер распространяется как обфусцированный исходный код C #, который обрабатывается и сохраняется в реестре как команда PowerShell в кодировке Base64. Когда RAT запускается, он выполняет этот сценарий PowerShell, который, в свою очередь, компилирует кейлоггер (с использованием CSC) и выполняет его. Его функционал перечислен следующими пунктами:
  • запуск EXE-файлов (с возвращаемым выводом или без него);​
  • загрузка файлов DLL;​
  • выполнение команд в командной строке;​
  • выполнение команд WSH;​
  • выполнение разных команд через WMI;​
  • выполнение команд PowerShell;​
  • исполнение JavaScript;​
  • загрузка файлов на сервер C2 с машины жертвы;​
  • удаленная остановка и удаление RAT и Keylogger;​
  • удаленное обновление адреса сервера C2;​
  • обновление RAT и Keylogger удаленно;​
  • установка автозапуска;​
  • генерация домена (DGA) для отказоустойчивости C2;​
  • если у пользователя есть права администратора, удаление теневых копий с помощью vssadmin.exe.​


Угнали платёжные данные!

Четыре связанных онлайн-сайта спортивного снаряжения раскрыли кибератаку, в ходе которой злоумышленники украли кредитные карты 1 813 224 клиентов.
Хотя об атаке мало что известно, юридическая фирма, представляющая четыре веб-сайта, заявила, что 1 октября 2021 года была украдена личная информация и информация о кредитной карте, включая полный CVV. Были затронуты 4 веб-сайта:
  • Tackle Warehouse LLC (tacklewarehouse.com) - Рыболовные снасти;​
  • Running Warehouse LLC (runningwarehouse.com) - Одежда для бега;​
  • Tennis Warehouse LCC (tennis-warehouse.com) - Теннисная одежда;​
  • Skate Warehouse LLC (skatewarehouse.com) – скейтборды и одежда для катания.​
Сайты впервые узнали о взломе 15 октября, а после расследования 29 ноября подтвердили клиентов, у которых была украдена их платежная информация. Детали, которые были скомпрометированы в результате этого инцидента, следующие:
  • Полное имя​
  • Номер финансового счета​
  • Номер кредитной карты (с CVV)​
  • Номер дебетовой карты (с CVV)​
  • Пароль учетной записи веб-сайта​
  • После завершения расследования 16 декабря 2021 года сайты разослали пострадавшим уведомления.​
Ни в одном из опубликованных уведомлений для затронутых клиентов не содержится каких-либо подробностей о характере инцидента, поэтому фактические способы получения данных остаются неизвестными. Однако, как указано в описании «Внешнее нарушение системы (взлом)», это похоже на взлом базы данных, а не на внедрение скиммеров карт на веб-сайты, хотя оба сценария вероятны.


Conti & Log4Shell

Программа-вымогатель Conti использует критически важный эксплойт Log4Shell для получения быстрого доступа к внутренним экземплярам VMware vCenter Server и шифрования виртуальных машин. Злоумышленники не стали тратить много времени на внедрение нового вектора атаки и стали первыми из групп криптовымогателей, кто использовали в своём репертуаре новую уязвимость. Раз речь зашла про Conti, хотелось бы сделать некоторый анонс. На неделе я выпущу большую статью с разбором отчёта по крупному иниденту с Conti. Ждите в скором времени.


Блиц

  • Яндекс отбирает клиентскую базу у приложений-хранилищ скидочных карт.
    В приложении Яндекс появился раздел для бонусных карт
  • Возможно, в Германии скоро появится завод TSMC.
  • Компания “Доктор Веб” рассказала о недавно появившемся якобы генераторе qr-кодов о вакцинации. Свободный проход в ТЦ не обещают, но троянами обеспечат.
  • NSO Group, возможно, продаст подразделение Pegassus и бизнес в целом. Вероятнее всего причина столь резкого решения – недавний скандал из-за слива списка возможных целей для взлома. Два фонда из США уже ранее высказывались о покупке и закрытии (или полном перепрофилировании) Pegassus.
  • Dell представила концепцию экологиичного и ремонтопригодного ноутбука.
  • Совет при президенте по правам человека планирует дать возможность гражданам отказаться (полностью или частично) от вовлечения в цифровое пространство при взаимодействии с государством и обществом.
  • “НЕТ” онлайн-платформам в школе! Ой… Конечно же, “да”, мы ошиблись.
  • Apple удалила упоминания о системе CSAM со страницы, посвященной безопасности детей. Тем не менее, работа над функцией продолжается. То есть они просто взяли и сделали вид, что этого нет? Ну что сказать, у них не получилось, интернет помнит всё.
  • Германия хочет ужесточить контроль над Telegram.
Здесь новости и нашли своё завершение. Скоро также находит завершение и 2021 год, но перед этим успеет выйти ещё один дайджест, так что поздравления будут там. Ждите статью про Conti, а за сим откланяюсь.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!