Хакеры, взломы, вирусы

[Aleksandr58]

Китайские хакеры несколько месяцев имели доступ к японским оборонным ресурсам, но в Токио утечки не подтвердили
08.08.2023
Китайские кибервойска осуществили взлом японских военных сетей и в течение нескольких месяцев имели «постоянный, глубокий доступ» к ним, пишет Washington Post. Уязвимость обнаружили американские эксперты, но в Японии решили обойтись своими силами и утечку данных не подтвердили.

► Показать

Уязвимость японских военных ресурсов обнаружили в конце 2020 года эксперты американского Агентства национальной безопасности. После этого в Японию вылетели лично глава АНБ и командующий Киберкомандования США генерал Пол Накасоне (Paul Nakasone) и заместитель советника Белого дома по вопросам национальной безопасности Мэтью Поттингер (Matthew Pottinger), чтобы сообщить об инциденте властям страны.

По факту инцидента была проведена серия брифингов, в которых принимал участие премьер-министр Японии, но хакерские атаки из Китая продолжались несколько месяцев до начала 2021 года. Киберкомандование США предложило Японии помощь в очистке систем от вредоносного ПО, заразившего военные ресурсы страны, однако получило отказ — в Токио не хотели, чтобы вооружённые силы другой страны получили открытый доступ к её системам. Япония привлекла местные компании, специализирующиеся на вопросах кибербезопасности, а вклад США был ограничен отчётами об обнаруженных уязвимостях.

По итогам инцидента в Японии решили активизировать стратегию национальной безопасности, в том числе сформировать подразделение для круглосуточного мониторинга сетей, в котором будут задействованы 4000 сотрудников. В ответ на предание инцидента огласке японские власти опубликовали весьма сдержанный комментарий. Главный секретарь кабинета министров Японии Хирокадзу Мацуно (Hirokazu Matsuno) подтвердил, что страна всегда поддерживала тесные связи с США на разных уровнях. «В связи с характером вопроса я не могу предоставить более подробных данных, но мы не подтвердили факта утечки секретной информации в результате кибератак», — заявил чиновник.

[Aleksandr58]

Хакеры могут взламывать ПК из-за "лазейки" в чипах Intel: как уберечь счета и аккаунты

09 августа 2023
Чипы Intel Ice Lake одни из подверженных уязвимости "Downfall"
Новая ошибка "Downfall" помогает злоумышленникам получить доступ к секретным данным, но Intel уже выпустила исправление.

► Показать

Компания Intel объявила, что выпустила исправление для уязвимости процессора, которая затрагивает многие модели ее чипов, начиная с 2015 года и до продающихся сегодня, сообщает Wired. Уязвимость может быть использована для обхода барьеров, предназначенных для изоляции и, следовательно, конфиденциальности данных в системе. В этом случае хакеры способны получить ценные и конфиденциальные данные от жертв, включая финансовые данные, электронные письма и сообщения, а также пароли и ключи шифрования.

Издание отмечает, что за пять лет с момента обнаружения таких известных уязвимостей, как "Spectre" и "Meltdown", корпорация Intel вложила значительные средства в выявление аналогичных типов проблем при проектировании. Но потребность в скорости остается бизнес-императивом, а потому подобные уязвимости, незамеченные еще на этапах разработки процессоров, были и будут.

Что касается проблемы "Downfall", то она встречается в коде чипа, который может использовать инструкцию, известную как Gather, для более быстрого доступа к разрозненным данным в памяти. Уязвимость затрагивает семейство чипов Skylake (с 2015 по 2019 год), семейство Tiger Lake (дебютировало в 2020 году) и семейство Ice Lake (появилось в 2019 году).

Чипы Intel текущего поколения, в том числе семейства Alder Lake, Raptor Lake и Sapphire Rapids, не затронуты, поскольку попытки использовать уязвимость будут заблокированы. Intel недавно добавила специальную защиту против подобной "дыры безопасности". Для других процессоров уже выпущена "заплатка", которая решит проблему.

Выпуск исправлений для таких уязвимостей, как "Downfall", всегда сложен, потому что в большинстве случаев они должны пройти через каждого производителя, который собирает компьютеры или серверы с определенным типом микросхем. Эти производители берут код, предоставленный Intel, и создают специализированные исправления, которые затем могут быть загружены пользователями. После нескольких лет выпуска исправлений в этой сложной экосистеме корпорация Intel научилась координировать процесс, но на это все еще требуется время.

Ранее Фокус сообщал, что хакеры взломали сайт МосгорБТИ и слили данные о москвичах, которые поддерживают войну в Украине. Информация об общественных деятелях, политиках, военных и представителях спецслужб РФ передана Силам обороны Украины.

А киберэксперты нашли способ вычислить местонахождение любого телефона, отправляя обычные SMS. Процедура сложная, но специальные алгоритмы ее ускоряют.

[vladimir1949]

«Тоже начал бредить»: пиратская группировка Skidrow рассказала, кем на самом деле является «полностью русская» хакер Empress
17.08.2023 [11:33]

В сообществе игровых пиратов разгорелся скандал. Видная группировка Skidrow заявила, что позиционирующий себя «полностью русской» девушкой хакер Empress является на самом деле не тем, за кого себя выдаёт.

Конфликт начался в середине августа, когда Empress раскритиковала Skidrow за взлом платформера Fe. По мнению хакера, группировка лишь эксплуатировала базовые элементы движка Unity, тогда как к самой защите Denuvo не прикасалась.

► Показать

В ответ на это Skidrow опубликовала продолжительное сообщение, в котором по пунктам разобрала обвинения Empress (без ответных оскорблений дело не обошлось) и уличила хакера во лжи.


Отрывок из сообщения Skidrow (источник изображения: Skidrow)

Skidrow утверждает, что за псевдонимом Empress на самом деле скрывается болгарский хакер мужского пола Voksi. Энтузиаст боролся с Denuvo, пока летом 2018 года в его дом не нагрянула полиция и не изъяла его оборудование.

Напомним, на тот момент 21-летний (26-летний сейчас) хакер из болгарского Димитровграда в прощальном сообщении на форуме Reddit сообщил, что «больше не сможет делать то, что делал», после чего пропал со сцены.

«Этот современный Дон Кихот из Болгарии в своей бесконечной борьбе с пресловутыми ветряными мельницами DRM, как и герой оригинальной истории, тоже начал бредить», — гласит сообщение Skidrow.

Стоит отметить, что какими-либо доказательствами сделанные утверждения Skidrow не подкрепила. То же самое, впрочем, актуально и для Empress с заявлениями насчёт своего происхождения.

[Ikoss7314]

Хакеры из Anonymous атаковали сайты предприятий ядерной энергетики Японии

Международная хакерская группа Anonymous осуществила кибератаки на сайтах, связанных с ядерной энергетикой в ​​Японии, в знак протеста против запланированного выброса очищенной радиоактивной воды из поврежденной атомной станции "Фукусима-1" в море. Oб этом сообщает агентство Kyodo.

Группа Anonymous активизировала свои кибератаки в прошлом месяце. Это произошло после того, как Международное агентство по атомной энергии заявило, что планируемый сброс очищенной радиоактивной воды с АЭС «Фукусима» соответствует мировым стандартам безопасности.

Целью хакерской атаки стали следующие организации: Японское агентство по атомной энергии, Компания Japan Atomic Power Co, Японское общество атомной энергии.

Хакеры из группы Anonymous совершили целенаправленные DDoS-атаки, причем атаку возглавляла базирующаяся в Италии группа. Также подтверждена активность группы, базирующейся во Вьетнаме.

Японское агентство по атомной энергии заявило, что после атаки трафик на ее вебсайте примерно в 100 раз превышает обычный показатель, но пользователи могут дальше просматривать сайт, поскольку агентство приняло контрмеры по атаке.

Ранее группа Anonymous опубликовала "целевой список" своих атак. Это произошло после того, как правительство Японии в 2021 году официально решило выпустить очищенную воду с атомной электростанции "Фукусима-1", принадлежащей Tokyo Electric Power Company Holdings Inc.

[vladimir1949]

Уязвимость в WinRAR позволяла хакерам запускать произвольный код при открытии RAR-архивов
19.08.2023 [16:33]

В известном архиваторе WinRAR обнаружена уязвимость, которая отслеживается под номером CVE-2023-40477 — ей присвоен рейтинг 7,8 из 10 (высокий). Заранее уведомлённые о проблеме разработчики уже исправили ошибку в программе, и в версии WinRAR 6.23 уязвимость уже закрыта.

► Показать

Проект Zero Day Initiative перечисляет следующие тезисы, связанные с уязвимостью старых версий WinRAR:

уязвимость позволяла злоумышленникам выполнять произвольный код;
механизм её работы был связан с обработкой восстановления томов;
приложение некорректно проверяло пользовательские данные;
в результате вредоносное ПО получало доступ за пределами выделенного буфера памяти;
для эксплуатации уязвимости необходимо было заставить пользователя самостоятельно запустить специально созданный вредоносный архив RAR.
Проблему выявил исследователь кибербезопасности под ником goodbyeselene. Он сообщил о своём открытии разработчикам WinRAR в начале июня. Исправленная версия WinRAR 6.23, не содержащая уязвимости, вышла 2 августа, а информация о проблеме оглашена 17 августа — у пользователей было достаточно времени для обновления программы.

Ранее программа «Проводник» в составе предварительной версии Windows 11 получила поддержку формата RAR. Она была реализована при помощи открытой библиотеки libarchive, которая также поддерживает форматы LHA, PAX, TAR, TGZ и 7Z. Возможность распаковки в стабильной версии системы появится в сентябре, а создание архивов станет доступным лишь в следующем году. Разработчиков WinRAR это известие, кажется, не напугало: специализированный архиватор предлагает более широкий набор параметров, чем интегрированная функция в файловом менеджере.

[Ikoss7314]

Prozorro приглашает к сотрудничеству "белых" хакеров

Система Prozorro обновляет программу поиска уязвимостей Bug Bounty на постоянной основе с целью защиты государственной системы закупок от кибератак. Oб этом сообщается на сайте Prozorro.

Как отмечается, белый хакинг признан одним из самых популярных и действенных способов обнаружения уязвимостей в ИТ-системах.

"Нам не привыкать к изменениям, поэтому в 2019 году мы провели пилотный Bug Bounty на уровне центральной базы данных и стали одними из первых государственных предприятий, которые это сделали. В 2020 году мы решили запустить программу поиска уязвимостей Bug Bounty на постоянной основе для всей ИТ- системы. Однако с началом полномасштабного вторжения нам пришлось ее приостановить. На сегодняшний день вопрос защиты государственной системы закупок от кибератак имеет высокий приоритет, поэтому мы восстанавливаем проект", - отметили в Prozorro.

Участие в программе Bug Bounty добровольно. Хантер получает денежное вознаграждение за уязвимости, подтвержденные администратором электронной системы и площадками, являющимися частью электронной системы закупок и участвующими в программе Bug Bounty.

Вознаграждение участнику устанавливается в соответствии с уровнем сложности (критичности) уязвимости, которую он нашел в работе электронной системы закупок.

[Ikoss7314]

Северокорейские хакеры нацелились на учения США и Южной Кореи

Полиция Южной Кореи заявила, что северокорейские хакеры пытались взломать крупные совместные военные учения США и Южной Кореи, которые должны были начаться в понедельник. Об этом сообщает со ссылкой на DW.

«Полицейское расследование подтверждает, что ответственность за атаку несет северокорейская хакерская группа», — говорится в сообщении.

Отмечается, что никакой секретной военной информации раскрыто не было.

Так, предстоящие 11-дневные летние учения Ulchi Freedom Guardian направлены на укрепление готовности союзников к противодействию современным ядерным и ракетным угрозам со стороны Северной Кореи.

Следователи связывают попытку взлома с северокорейской группировкой, широко известной в сообществе кибербезопасности как Kimsuky.

Сообщается, что кибер-злоумышленники пытались получить доступ через электронные письма, отправленные южнокорейским подрядчикам, работающим в центре моделирования совместных военных учений Южной Кореи и США.

«Хакерская группа Kimsuky получила признание за свои стратегии «целевого фишинга», когда жертв обманом заставляют раскрывать пароли или побуждают нажимать на вредоносные вложения или ссылки», - говориться в сообщении.

Отмечается, что совместное расследование южнокорейской полиции и американских военных показало, что IP-адрес, связанный с этой попыткой взлома, совпадает с IP-адресом кибератаки 2014 года на оператора ядерного реактора Южной Кореи.

По данным Агентства кибербезопасности и безопасности инфраструктуры США в 2020 году, Кимсуки «скорее всего, поручил северокорейскому режиму глобальную миссию по сбору разведданных».

Предыдущие отчеты исследователей подчеркивали внимание группы к вопросам внешней политики и национальной безопасности, связанным с Корейским полуостровом.

[vladimir1949]

Специалисты три года следили за хакерами, взламывающими виртуальную машину-приманку

Исследователи из компании GoSecure создали виртуальную машину-приманку (honeypot), которая незаметно анализировала действия хакеров, пытавшихся её взломать.

За несколько лет было зафиксировано более 190 миллионов событий, записано более 100 часов атак, получено 470 файлов, используемых хакерами, и более 20 000 RDP-захватов. В итоге удалось собрать ценную информацию о методах и инструментах, используемых хакерами. В некоторых случаях — даже личную информацию.

Исследователи разбили хакеров на пять категорий, основываясь на персонажах из настольной игры Dungeons and Dragons:

► Показать

Рейнджеры. Эти люди тщательно анализировали взломанные компьютеры, производя своего рода разведку. Проверяли характеристики сети и хоста, иногда меняли пароли. Этим они прокладывали пути для своих последователей.
Варвары. Эта категория использовала скомпрометированные компьютеры‑приманки для взлома других ПК, работая со списками IP‑адресов, имён пользователей и паролей. То есть, ничего своего они не привносили и ничего полезного после себя не оставляли. В работе варвары использовали Masscan и NLBrute.
Волшебники каким-то чудом использовали honeypot в качестве платформы для атак на другие компьютеры. Они пытались скрыть свои следы и фактическое происхождение атак, перепрыгивая через скомпрометированные хосты.
Воры же пытались монетизировать обнаруженную уязвимую систему, устанавливая криптомайнеры. Они также ставили программы для мошенничества с кликами или генерации поддельного трафика на подконтрольные сайты. Некоторые пытались продать доступ к honeypot другим хакерам.
Барды. Эти злоумышленники взламывали виртуальную машину без определённой цели. К примеру, один из таких через RDP искал в Google «самый мощный вирус», другой скачивал взрослый контент и отправлял его себе через Telegram. Возможно, они использовали скомпрометированные компьютеры для обхода цензуры.

По словам специалистов, сервера-приманки не только дают представление об используемых хакерами инструментах, но и могут заставить их изменить стратегии взлома, что повлияет на анализ рентабельности действий и, таким образом, принесёт пользу всем.

[Ikoss7314]

Крупная кибератака парализовала работу 10 телескопов в Чили и на Гавайях

В начале августа на сеть телескопов в Чили и на Гавайях, которыми управляет координационный центр наземной астрономии NOIRLab Национального научного фонда США (NSF), была проведена кибератака. Угроза была настолько серьёзной, что персонал вынужден был закрыть удалённый доступ ко всей сети от Чили до Гавайев. Телескопы могли быть физически повреждены и эта брешь всё ещё не закрыта. Все дистанционные наблюдения прекращены. Наука встала на паузу.

Об инциденте центр NOIRLab сообщил 1 августа. Его компьютерные системы позволяют астрономам дистанционно управлять множеством других наземных оптических телескопов помимо сети управления телескопами «Джемени».

Непосредственно был атакован телескоп Gemini North («Джемени Север») Обсерватории Джемини на Гавайях (его 8,1-метровый близнец находится в Чили). «Быстрая реакция группы кибербезопасности NOIRLab и группы наблюдения позволила предотвратить повреждение обсерватории», — говорится в пресс-релизе центра. Телескоп в Чили также был отключён от сети в целях безопасности.

Но уже 9 августа центр объявил об отключении также сегмента компьютерной сети Среднемасштабных обсерваторий (MSO) на Серро-Тололо и Серро-Пачон в Чили. Это сделало невозможными удалённые наблюдения на 4-метровом телескопе имени Виктора Бланко (Víctor M. Blanco) и телескопе SOAR (Southern Astrophysical Research Telescope). Тем самым NOIRLab остановила наблюдения и на восьми других телескопах в Чили.

NOIRLab не сообщила никаких подробностей о случившемся даже своим сотрудникам. В центре отказались ответить на запрос Science о том, не является ли этот инцидент атакой типа «выкуп», когда хакеры требуют деньги за возврат информации или контроля над объектом. Представитель NOIRLab сообщил Science, что сотрудники центра, занимающиеся информационными технологиями, «работают круглосуточно, чтобы вернуть телескопы в небо».

В отсутствии дистанционного доступа наблюдения можно вести по старинке: сидя ночами в кресле перед окулярами или приборами телескопов. Но персонал телескопов «сбился с ног», обслуживая заявки учёных. Пока проблема не решена, а что-то прогнозировать в условиях тотальной секретности, которой придерживается NOIRLab, невозможно, научные группы формируют коллективы из аспирантов для дальних командировок для непосредственной работы на местах.

Кто и зачем атаковал сеть обсерваторий, неизвестно. Это могло быть чистой случайностью, не исключают специалисты. Но очевидно, что открытость научных сетей, без которой трудно работать глобально, сыграла с научным сообществом злую шутку. И с этим определённо что-то придётся делать.

[Ikoss7314]

Хакеры из КНДР пытались похитить информацию о военных учениях в Южной Корее

Хакеры из КНДР провели кибероперацию против совместных американо-южнокорейских военных учений, запланированных на эту неделю. Oб этом со ссылкой на правоохранителей Южной Кореи пишет Reuters.

“Хакеры, вероятно, связаны с северокорейской группой, которую исследователи называют Кимсуку. Слом они организовали с помощью электронных писем южнокорейским подрядчикам, которые выполняли работу совместного центра военных симуляций США и Южной Кореи”, - говорится в материале.

Отмечается, что злоумышленникам не удалось похитить секретную информацию.

Полиция Южной Кореи и американские военные провели совместное расследование и обнаружили, что IP-адреса, которые использовались в этой попытке взлома, соответствовали тем, которые установили в попытке взлома южнокорейского оператора АЭС в 2014 году. Тогда Южная Корея обвинила Северную Корею в том, что она стояла за кибернападением», – напоминает Reuters.