Хакеры, взломы, вирусы

[vladimir1949]

Хакеры стали использовать отключенный Internet Explorer для атак на Windows 10 и 11
11.07.2024 [04:37]

Хакеры нашли уязвимость в Windows для атак через давно устаревший и отключенный браузер Internet Explorer, несмотря на меры безопасности Microsoft. Для этого используются файлы с ярлыками .url и .hta. Если пользователь подтверждает их открытие, то на его компьютер немедленно загружается вредоносное ПО.

► Показать

Специалисты по кибербезопасности из компании Check Point обнаружили новую схему атак на компьютеры с Windows 10 и Windows 11, использующую уязвимость в устаревшем браузере Internet Explorer, сообщает PCMag. Несмотря на то, что Microsoft официально прекратила поддержку Internet Explorer и навсегда отключила его в своей операционной системе в прошлом году, хакеры нашли способ устанавливать через него вредоносное программное обеспечение.

Исследователь Check Point Хайфэй Ли (Haifei Li) выявил, что злоумышленники используют файлы ярлыков Windows с расширением .url, которые можно настроить для вызова Internet Explorer. Сразу скажем, этот метод не позволит обойти современную систему защиты, присутствующую в более новых браузерах, таких как Chrome или Edge.

Атака особенно эффективна при использовании фишинговых писем или вредоносных вложений. Ли обнаружил, что хакеры маскируют ярлыки под PDF-файлы. При открытии такого ярлыка Internet Explorer загружает вредоносную программу в виде файла .hta, если пользователь подтверждает все запросы.

Уилл Дорман, эксперт по безопасности, отметил, что современные браузеры блокируют загрузку файлов .hta, в то время как Internet Explorer лишь выводит текстовое предупреждение, которое пользователи по незнанию могут легко проигнорировать. Особую опасность представляет тот факт, что Microsoft прекратила выпуск обновлений безопасности для Internet Explorer, что и позволяет хакерам использовать неисправленные уязвимости через этот браузер.

Исследование Check Point показало, что эти атаки проводятся как минимум с января 2023 года. Хорошая новость состоит в том, что в ответ на обнаруженную уязвимость Microsoft выпустила патч, предотвращающий запуск Internet Explorer через файловые ярлыки. Специалисты также рекомендуют пользователям Windows быть особенно осторожными при работе с файлами, имеющими расширения .url, полученными из ненадёжных источников.

[Aleksandr58]

Хакеры похитили «почти всю» базу абонентов AT&T — одного из крупнейших сотовых операторов в США

Американская телекоммуникационная компания AT&T подтвердила факт взлома своей облачной платформы, в результате чего хакеры получили доступ к номерам телефонов «почти всех» абонентов, а также данным учёта звонков и SMS-сообщений за несколько месяцев. Похищенные данные в основном касаются звонков и сообщений, сделанных в период с мая по октябрь 2022 года, и представляют собой беспрецедентную утечку для AT&T и телекоммуникационной отрасли в целом.

► Показать

В США метаданные, показывающие, с какими номерами взаимодействуют клиенты, обычно доступны только правоохранительным органам и только в рамках установленного юридического процесса при проведении расследований. В данном случае злоумышленникам удалось получить доступ к этой информации и похитить её. В сообщении AT&T отмечается, что полиции уже удалось задержать человека, который, предположительно, причастен ко взлому.

«В апреле AT&T узнала, что данные клиентов были незаконно загружены из нашего рабочего пространства на стороннюю облачную платформу. Мы начали расследование и привлекли ведущих экспертов по кибербезопасности, чтобы понять характер и масштаб преступной деятельности. Мы также приняли меры, чтобы закрыть незаконную точку доступа. Расследование показало, что скомпрометированные данные включают в себя файлы, содержащие записи о звонках и текстовых сообщениях AT&T почти всех клиентов сотовой связи AT&T и клиентов операторов мобильных виртуальных сетей (MVNO) в сети AT&T, а также клиентов стационарных линий AT&T, которые взаимодействовали с этими сотовыми операторами в период с 1 мая 2022 года по 31 октября 2022 года», — сказано в заявлении AT&T.

В дополнение к этому, некоторые украденные хакерами данные связаны со звонками, которые абоненты AT&T совершали со 2 января 2023 года, но в этом случае речь идёт об «очень небольшом количестве клиентов». В этом случае украденные метаданные не включали в себя временные метки звонков и SMS-сообщений, т.е. хакеры не могут видеть, когда именно абонент набирал тот или иной номер или отправлял сообщения. При этом злоумышленники могут видеть на какие номера совершались звонки и отправлялись сообщения. Данные не включают ФИО абонентов, но зачастую связать номер телефона с определённым человеком можно с помощью общедоступных онлайн-инструментов. В компании также отметили, что не располагают информацией о том, были ли украденные данные опубликованы публично.

[vladimir1949]

Мошенники начали звонить и предлагать «улучшение качества связи» под угрозой отключения услуг

Можно лишится личной информации, доступа к «Госуслугам» и денег

О новой схеме телефонного мошенничества рассказал оператор МТС. Злоумышленники звонят своим потенциальным жертвам якобы от имени сотового оператора и убеждают в срочной необходимости совершить технические обновления для улучшения качества связи.

Жертвам рассказывают о плановой замене оборудования на сотовых вышках, из-за которой якобы требуется выполнить ряд технических действий со стороны абонента, в том числе, обновление настроек. Если абонент оказался недоверчивым или просто отказывается выполнить «необходимые» действия, ему угрожают временным отключением интернета и вообще услуг связи.

Если абонент соглашается, то его просят продиктовать код от личного кабинета на портале «Госуслуг» или у оператора связи.

[Aleksandr58]

18 Лип, 2024
Хакери викрали понад терабайт даних у компанії Disney

Зловмисники отримали листування, логіни та інформацію про нові проєкти.

Хакерська група під назвою Nullbulge заявила, що провела кібератаку на Disney, і в її розпорядженні перебуває понад терабайт даних, викрадених у компанії. Компанія почала розслідування. Про це повідомляє The Hollywood Reporter.

► Показать

У руках у хакерів опинилося внутрішнє листування співробітників Disney, зображення, логіни, рекламні кампанії, комп’ютерний код, дані про ще не анонсовані проєкти. Також хакери отримали інформацію про трафік і прибуток паризького «Діснейленду», пише Variety. Більшу частину інформації, як стверджується, хакери перехопили з корпоративного месенджера Slack.

Група Nullbulge заявила, що обрала Disney своєю метою через невдоволення тим, як компанія поводиться з контрактами артистів, використовує штучний інтелект і ставиться до споживачів. Хакери виправдовують свої незаконні дії бажанням захистити права художників і забезпечити справедливу оплату їхньої праці.

Експерти зазначають, що інциденти з кібербезпекою стають дедалі поширенішими та вимагають від компаній підвищеної уваги до захисту даних. Disney вже почала внутрішнє розслідування і співпрацює з правоохоронними органами, щоб визначити масштаби витоку і запобігти можливим загрозам у майбутньому.

Видання Variety також нагадало, що десять років тому зі схожою проблемою зіткнулася компанія Sony Pictures. Тоді хакерська атака призвела, як вважається, до найзначнішого витоку корпоративних даних в історії США. Відповідальність на себе взяло хакерське угруповання #GOP, що розшифровується як «Охоронці миру» (Guardians of Peace). GOP також є акронімом для другої, неофіційної назви Республіканської партії США (Great Old Party – Велика стара партія).

[Aleksandr58]

Хакеры взломали Telegram-бота, из-за чего сотни каналов опубликовали политический спам
21.07.2024
Сегодня утром несколько сотен Telegram-каналов опубликовали однотипные сообщения с политическим содержанием. Виной тому стал взлом бота, который многие администраторы используют для автоматического размещения публикаций — хакеры использовали его для распространения своих сообщений на огромную аудиторию, сообщил «Код Дурова». Хотя в основном спам-рассылка распространялась через украинские каналы, был затронут и ряд российских.

► Показать

Как выяснилось, все пострадавшие каналы были подключены к боту для автопостинга FleepBot. Представители Fleep подтвердили, что сервис столкнулся с несанкционированным доступом и сейчас его команда работает над тем, чтобы устранить проблему. «На данный момент публикация постов во всех каналах приостановлена», — сообщили в Fleep.

Похожий инцидент произошёл в марте 2022 года, когда хакеры взломали бот для сбора статистики Crosser Bot и тоже запустили массовую спам-рассылку. Ввиду того, что FleepBot и Crosser Bot могут иметь что-то общее и в их системе может быть единая инфраструктура, источник «Кода Дурова» допускает, что это может быть делом рук одного и того же злоумышленника, заполучившего доступ к обеим системам.

В любом случае, опрошенные «Кодом Дурова» эксперты на рынке разработки Telegram-ботов, ссылаясь на аналогичную спам-рассылку в марте 2022-го, поставили под сомнение возможность взлома этих двух ботов.

[vladimir1949]

«Информзащита»: хакеры стали чаще использовать удаленный доступ для атак программами-вымогателями

Хакеры в первом полугодии 2024 г. стали на 15% чаще использовать инструменты подключения удаленного доступа для совершения атак с использованием программ-вымогателей по сравнению с аналогичным периодом 2023 г. Такие данные приводят эксперты «Информзащиты».

«Программы типа ransomware, известные также как программы-вымогатели или шифровальщики, были, есть и всегда будут одним из основных инструментов злоумышленников. Сейчас мы отмечаем рост в 15%, по сравнению с первым полугодием прошлого года. Это вполне значительные показатели, у которых к тому же сохраняется перспектива роста», – сказал эксперт третьей линии центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Шамиль Чич.

► Показать

Упор хакеров на этот канал управления скомпрометированными устройствами объясняется двумя основными факторами: распространенностью и простотой. Компании продолжают увеличивать количество сотрудников, работающих в удаленном или гибридном формате, соответственно, число возможностей для злоумышленников растет физически. При этом отправить программу-вымогатель сотруднику на удаленке проще, потому что, например, он находится вне защищенного периметра.

По данным «Информзащиты», в России в первом полугодии 2024 г. количество атак с использованием шифровальщиков в целом выросло примерно на 35%. Более того, на 25% увеличилась и средняя сумма ущерба от злодеяний с использованием программ-вымогателей. Сильнее всего от них страдает сфера услуг, которая в большинстве своем состоит из представителей малого и среднего бизнеса, а также индивидуальных предпринимателей, самозанятых и фрилансеров. Все они не имеют таких возможностей для обеспечения информационной безопасности, как крупные компании.

Также, согласно данным недавнего исследования, количество использующих в своих действиях шифровальщики группировок увеличилось на 20% во II квартале 2024 г., по сравнению с первыми тремя месяцами. Самым активным месяцем стал май, когда количество организаций злоумышленников выросло на 43%. Рост их количества специалисты связывают с восстановлением сферы после действий правоохранителей.

Среди ключевых новых игроков исследователи сферы информационной безопасности называют группировки RansomHub и BlackSuit. Также выделяется деятельность LockBit, которые своими успешными действиями показали другим хакерам способы «выживать». Действия злоумышленников эксперты отмечают в разных странах мира, что говорит о глобальности активности вымогателей.

[vladimir1949]

Компания из США случайно наняла северокорейского хакера, и тот сразу начал загружать вирусы
25.07.2024 [12:45]

Американская компания KnowBe4, которая специализируется на вопросах кибербезопасности, невольно наняла хакера из КНДР, который попытался загрузить вредоносное ПО в сеть компании сразу же, как приступил к «работе». Об этом рассказал её основатель и директор Стю Сьюверман (Stu Sjouwerman).

KnowBe4 работает в 11 странах мира, а её штаб-квартира располагается во Флориде. Компания проводит тренинги по вопросам кибербезопасности и защиты от фишинга для корпоративных клиентов. Однажды KnowBe4 разместила вакансию и получила резюме от кандидата на должность — он предоставил фотографию, которая была изготовлена на основе стокового снимка при помощи редактора с искусственным интеллектом. Кадровики провели удалённое собеседование, проверили биографию соискателя, рекомендации и приняли его на должность главного инженера-программиста.

► Показать

Приложенная к резюме фотография была подделкой, но проходивший все четыре собеседования человек был достаточно похож на это изображение, и подозрений он не вызвал. Ему удалось успешно пройти проверку, потому что в документах использовалась украденная личность реально существующего человека. На указанный адрес ему отправили рабочую станцию Apple Mac.


Снимок из фотобанка (слева) и созданная ИИ подделка (справа). Источник изображения: blog.knowbe4.com

Как только новый сотрудник приступил к работе, он начал совершать в сети предприятия подозрительные действия, на которые отреагировала система безопасности. Сотрудники компании связались с новым работником, чтобы прояснить ситуацию — тот заявил, что у него наблюдаются проблемы со скоростью подключения, он настраивает маршрутизатор, и, возможно, это привело ко взлому. В реальности он попытался манипулировать файлами с историей сеансов, передать в сеть потенциально опасные файлы и даже запустить несанкционированное ПО. Для загрузки вредоносов он воспользовался одноплатным компьютером Raspberry Pi. Сотрудники службы безопасности продолжали контролировать происходящее и даже попытались позвонить этому работнику, но тот ответил, что не может ответить, а впоследствии и вовсе перестал выходить на связь. Через 25 минут после начала атаки его компьютер был заблокирован в сети.

Последующий анализ показал, что попытки загрузить вредоносное ПО, вероятно, были намеренными, а сам подозрительный сотрудник был «внутренней угрозой или субъектом [другого] государства». KnowBe4 поделилась информацией с экспертами по кибербезопасности компании Mandiant, а также уведомила об инциденте ФБР — выяснилось, что это действительно был фальшивый работник из Северной Кореи. У них есть отлаженная схема. Работодатели отправляют рабочие станции на адреса, где находятся целые «фермы» таких компьютеров. Хакеры подключаются к ним через VPN из КНДР или Китая и выходят в ночную смену, чтобы казалось, будто они работают днём в США. Некоторые из них действительно выполняют задачи, получают хорошую оплату, которая уходит на финансирование деятельности Пхеньяна.

[Aleksandr58]

Исследователи научили ИИ красть информацию с монитора по излучению от HDMI-кабеля
28.07.2024
Новое исследование показало, что хакеры могут использовать искусственный интеллект для расшифровки электромагнитного излучения, исходящего от кабеля, который соединяет компьютер и монитор, и затем считывать с экрана информацию. Атака особенно актуальна при аналоговом соединении ПК и монитора.

► Показать

Группа учёных из Республиканского Университета в Монтевидео (Уругвай), разработала ИИ-модель, способную декодировать электромагнитное излучение от мониторного кабеля на расстоянии нескольких метров, сообщает New Scientist. Метод работает следующим образом. Предполагаемые хакеры перехватывают электромагнитное излучение, исходящее от VGA-, HDMI- или DVI-кабеля между компьютером и монитором, затем искусственный интеллект, обученный на наборе соответствующих сигналов, расшифровывает перехваченную информацию и передаёт по назначению.

Для оценки эффективности атаки команда использовала стандартное программное обеспечение, выводящее на экран монитора текстовую информацию, перехватывала сигнал, передаваемый по HDMI-кабелю в монитор, расшифровала его с применением стандартной программы для распознавания текста и сравнивала полученный результат с исходным изображением на экране. Исследование выявило, что в процессе расшифровки 30 % символов интерпретируются неверно, однако оставшихся 70 % вполне хватает, чтобы распознать большую часть текста.

С помощью этой технологии хакеры могут шпионить за экраном компьютеров, когда пользователи вводят какие-либо чувствительные данные. Перехват сигналов может осуществляться с помощью антенны, установленной за пределами здания, или с помощью небольшого устройства, которое снимает и записывает данные перехвата для последующего извлечения.

Руководитель исследования Федерико Ларрока (Federico Larroca) считает, что атаки подобного рода, известные как TEMPEST, вероятно, уже происходят, но только в наиболее значимых промышленных или правительственных учреждениях. Обычным пользователям, считает Ларрока, беспокоиться пока не стоит.

[Aleksandr58]

Хакеры получили доступ к процессорам Tesla FSD аварийных автомобилей и раскрыли тревожащие данные
31.07.2024 [05:18]
Независимое расследование, проведенное The Wall Street Journal, показало, что система помощи водителю Tesla Autopilot может приводить к смертельным авариям из-за ошибочных решений, принимаемых алгоритмом. Журналисты издания извлекли компьютеры Tesla с функцией FSD из аварийных автомобилей и с помощью хакеров, как сообщает Notebookcheck, получили доступ к необработанным данным автопилота.

► Показать

Анализ этой информации вместе с видеозаписями аварий и официальными отчётами позволил воссоздать 222 инцидента с участием Tesla. В 44 случаях автомобили на автопилоте внезапно меняли траекторию направления, а в 31 случае не остановились или не уступили дорогу. Последний сценарий, по данным исследования, обычно приводил к наиболее тяжёлым авариям.

Одним из самых ярких и нашумевших примеров служит столкновение с перевёрнутым прицепом, который система автопилота не смогла распознать как препятствие и автомобиль Tesla врезался в него на полной скорости. Приводятся и другие свидетельства, когда во время тест-драйва система FSD повела себя неадекватно, в следствии чего автомобиль пересёк сплошную линию разметки и едва не спровоцировал аварию на перекрёстке. Также выяснилось, что система FSD плохо распознаёт аварийные сигналы, что приводит к столкновению транспортных средств.

Расследование The Wall Street Journal выявило в автопилоте проблемы как аппаратного, так и программного характера, начиная от медленного обновления алгоритмов до недостаточной калибровки камер. Пока неясно, достаточно ли этих данных, чтобы опровергнуть утверждение Илона Маска (Elon Musk) о том, что система Tesla всё равно безопаснее водителя-человека.

[vladimir1949]

Хакеры сконструировали 500-долларовое лазерное устройство для взлома и реверс-инжиниринга чипов
02.08.2024 [10:37]

На грядущей конференции Black Hat в Лас-Вегасе сотрудники компании NetSPI — белые хакеры Сэм Бомонт (Sam Beaumont ) и Ларри «Патч» Троуэлл (Larry “Patch” Trowell) — представят недорогое устройство RayV Lite для аппаратного взлома чипов с помощью лазеров. Инструмент RayV Lite — это попытка создать бюджетный вариант сверхдорогих лазерных инструментов спецслужб для взлома и реверс-инжиниринга чипов. И эта попытка удалась.

По словам разработчиков, с помощью RayV Lite с открытым кодом лазерный (оптический) взлом чипов сможет совершать широкий круг специалистов и любителей. Стоимость профессионального оборудования для подобных целей достигает $150 тыс., тогда как Бомонт и Троуэлл вложились в бюджет всего лишь $500. По их словам, это «одомашнивание» хакерских инструментов, что позволит, как они надеются, усилить защиту от подобных методов взлома, к которому сегодня подавляющее число разработчиков чипов относятся с безразличием.

► Показать

Лазерный метод взлома использует два основных подхода — это целенаправленное внесение сбоев (laser fault injection) и лазерная визуализация состояния логики (laser logic state imaging). В первом случае лазер заставляет транзисторы чипа переключить состояния, просто ударяя по корпусу микросхемы в тех или иных точках, а во втором происходит съём отражённого от оголённого чипа (кремния) лазерного сигнала, который по-разному ведёт себя при отражении от включённого и выключенного транзистора.

Атака методом LFI может банально отключить проверку безопасности микросхемой, например, отключив запрос PIN-кода для входа в аппаратный криптовалютный кошелёк (что было показано на примере). Зато атака LLSI способна на более интересные вещи, вплоть до воссоздания архитектуры чипа, что найдёт применение не только для взлома, но также для реверс-инжиниринга.

Самыми дорогими узлами инструмента RayV Lite стали объектив лазера и FPGA-чип для синхронизации лазеров: оба по $100. Лазеры взяты недорогие — едва ли не из лазерных указок. На современном уровне развития производства микросхем для задач взлома недостаток мощности лазеров можно с лихвой компенсировать длительностью экспозиции, чем и воспользовались разработчики инструмента. Управляет инструментом обычный компьютер Raspberry Pi стоимостью $68. Программный пакет для работы RayV Lite создан на основе открытого кода и также будет распространяться.

Корпус инструмента напечатан на 3D-принтере по открытой модели для станины микроскопа. Шаговые двигатели и специальные пластиковые рычаги позволяют перемещать взламываемый чип в пространстве с шагом в несколько нанометров. В случае нужды корпус можно напечатать заново, если пластиковые детали износятся. Всё вместе позволило уложиться в бюджет $500. Инструмент сможет повторить у себя каждый желающий. Похоже, инструкции по его сборке будут выложены в открытый доступ. Пока речь идёт об инструменте с атакой LFI, позже появится модификация с поддержкой LLSI и, вероятно, со временем выйдет универсальное решение, сочетающее обе атаки.

Как говорят разработчики, они просто поражены, насколько проектировщики чипов не осведомлены о возможностях лазерного взлома. Широкое распространение RayV Lite заставит их повысить ответственность за свои разработки. В конечном итоге вокруг нас засилье микросхем, подавляющее большинство из которых сегодня не устоят перед лазерным взломом.