Хакеры, взломы, вирусы

[Ikoss7314]

Prozorro приглашает к сотрудничеству "белых" хакеров

Система Prozorro обновляет программу поиска уязвимостей Bug Bounty на постоянной основе с целью защиты государственной системы закупок от кибератак. Oб этом сообщается на сайте Prozorro.

Как отмечается, белый хакинг признан одним из самых популярных и действенных способов обнаружения уязвимостей в ИТ-системах.

"Нам не привыкать к изменениям, поэтому в 2019 году мы провели пилотный Bug Bounty на уровне центральной базы данных и стали одними из первых государственных предприятий, которые это сделали. В 2020 году мы решили запустить программу поиска уязвимостей Bug Bounty на постоянной основе для всей ИТ- системы. Однако с началом полномасштабного вторжения нам пришлось ее приостановить. На сегодняшний день вопрос защиты государственной системы закупок от кибератак имеет высокий приоритет, поэтому мы восстанавливаем проект", - отметили в Prozorro.

Участие в программе Bug Bounty добровольно. Хантер получает денежное вознаграждение за уязвимости, подтвержденные администратором электронной системы и площадками, являющимися частью электронной системы закупок и участвующими в программе Bug Bounty.

Вознаграждение участнику устанавливается в соответствии с уровнем сложности (критичности) уязвимости, которую он нашел в работе электронной системы закупок.

[Ikoss7314]

Бразильский хакер рассказал на суде, что экспрезидент Болсонару подстрекал его взломать электронные избирательные ящики

Бразильский хакер заявил на слушаниях в Конгрессе, что тогдашний президент Жаир Болсонару хотел, чтобы он взломал электронную систему голосования страны, чтобы выявить ее предполагаемые недостатки перед президентскими выборами 2022 года. Об этом пишет АP.

Хакер Делгатти не предоставил никаких доказательств своего заявления парламентской следственной комиссии в Бразилии. Но его подробные показания вызывают новые обвинения против бывшего лидера Болсонару, которого расследуют за его роль в беспорядках 8 января в столице Бразилии.

Хакер рассказал, что лично встречался с Болсонаро 10 августа 2022 года в президентской резиденции. Встреча длилась от 90 минут до двух часов. Он сказал лидеру, что не может взломать электронную систему голосования, поскольку она не подключена к Интернету.

Адвокаты Болсонаро заявили в своем заявлении, что будут принимать судебные меры против Делгатти, которого они обвиняют в «предоставлении ложной информации и обвинениях без каких-либо доказательств».

Расследования против Болсонару могут лишить его права участвовать в следующей президентской гонке или привести к лишению свободы.

[Ikoss7314]

Крупная кибератака парализовала работу 10 телескопов в Чили и на Гавайях

В начале августа на сеть телескопов в Чили и на Гавайях, которыми управляет координационный центр наземной астрономии NOIRLab Национального научного фонда США (NSF), была проведена кибератака. Угроза была настолько серьёзной, что персонал вынужден был закрыть удалённый доступ ко всей сети от Чили до Гавайев. Телескопы могли быть физически повреждены и эта брешь всё ещё не закрыта. Все дистанционные наблюдения прекращены. Наука встала на паузу.

Об инциденте центр NOIRLab сообщил 1 августа. Его компьютерные системы позволяют астрономам дистанционно управлять множеством других наземных оптических телескопов помимо сети управления телескопами «Джемени».

Непосредственно был атакован телескоп Gemini North («Джемени Север») Обсерватории Джемини на Гавайях (его 8,1-метровый близнец находится в Чили). «Быстрая реакция группы кибербезопасности NOIRLab и группы наблюдения позволила предотвратить повреждение обсерватории», — говорится в пресс-релизе центра. Телескоп в Чили также был отключён от сети в целях безопасности.

Но уже 9 августа центр объявил об отключении также сегмента компьютерной сети Среднемасштабных обсерваторий (MSO) на Серро-Тололо и Серро-Пачон в Чили. Это сделало невозможными удалённые наблюдения на 4-метровом телескопе имени Виктора Бланко (Víctor M. Blanco) и телескопе SOAR (Southern Astrophysical Research Telescope). Тем самым NOIRLab остановила наблюдения и на восьми других телескопах в Чили.

NOIRLab не сообщила никаких подробностей о случившемся даже своим сотрудникам. В центре отказались ответить на запрос Science о том, не является ли этот инцидент атакой типа «выкуп», когда хакеры требуют деньги за возврат информации или контроля над объектом. Представитель NOIRLab сообщил Science, что сотрудники центра, занимающиеся информационными технологиями, «работают круглосуточно, чтобы вернуть телескопы в небо».

В отсутствии дистанционного доступа наблюдения можно вести по старинке: сидя ночами в кресле перед окулярами или приборами телескопов. Но персонал телескопов «сбился с ног», обслуживая заявки учёных. Пока проблема не решена, а что-то прогнозировать в условиях тотальной секретности, которой придерживается NOIRLab, невозможно, научные группы формируют коллективы из аспирантов для дальних командировок для непосредственной работы на местах.

Кто и зачем атаковал сеть обсерваторий, неизвестно. Это могло быть чистой случайностью, не исключают специалисты. Но очевидно, что открытость научных сетей, без которой трудно работать глобально, сыграла с научным сообществом злую шутку. И с этим определённо что-то придётся делать.

[Ikoss7314]

Хакеры распространяют вредоносное ПО, маскируя его под ИИ Google Bard

Хакеры разместили рекламу в Google для распространения вредоносного программного обеспечения. Они пытались замаскироваться под официальный портал искусственного интеллекта Google Bard.

Исследователи по цифровой безопасности из компании ESET первым обратили внимание на подозрительные объявления. Эксперты заметили, что реклама в поисковой системе, которая якобы предлагает воспользоваться ИИ, написана с орфографическими и грамматическими ошибками. А стилистика не соответствовала стандартам Google.

Как выяснили специалисты, объявления перенаправляют на сайт дублинской фирмы rebrand.ly. На страницах портала действительно размещена информация о Bard. Однако его посещение с авторизованной учетной записи в браузере может привести к утечке персональных данных.

А еще реклама содержит кнопку загрузки. Если нажать на нее, на ПК появится файл, который замаскирован под личное пространство Google Drive. Оказалось, что это вредоносная программа под названием GoogleAIUpdate.rar.

По словам исследователя ESET Томаса Улеманна, рекламные объявления, замаскированные под Google Bard, все еще продолжают появляться в поисковой выдаче в разных вариациях. Эксперт назвал новую попытку взлома одной из самых масштабных такого рода.

[vladimir1949]

Количество DDoS-атак на российскую IT-инфраструктуру удвоилось
25.08.2023 [13:30],


Россия по итогам II квартала 2023 года оказалась на девятом месте в мире по общему количеству зарегистрированных DDoS-атак. Как сообщает компания «Гарда», ситуация в данной сфере значительно ухудшилась. В период с апреля по июнь включительно на российскую IT-инфраструктуру пришлось 2,3 % от общего числа DDoS-атак в мире. Это в два раза больше по сравнению с I четвертью текущего года.

► Показать

По оценкам, в I квартале 2023 года количество DDoS-атак в России составило приблизительно 385 тыс. Абсолютные значения за II четверть года не приводятся, но говорится, что по сравнению с тем же периодом 2022-го показатель увеличился на 28 %. При этом число атак на правительственные организации подскочило за год на 118 %, на энергетический сектор — на 74 %, на нефтяную отрасль — на 53 %.


Наиболее атакуемые страны (Источник: «Гарда»)

В исследовании «Гарда» говорится, что по сравнению с I кварталом 2023 года, во II четверти года несколько изменилось распределение активности по дням недели. Число атак в пятницу и воскресенье снизилось по отношению к предыдущему периоду, а заметный рост наблюдается по вторникам и средам.

Зафиксирован рост TCP-флуда: доля таких атак достигла — 18 %. Суммарная доля TCP ACK и TCP SYN составила 42 %, UDP-флуд по-прежнему занимает второе место. При этом число таких атак сократилось с 47 % до 24 %, стабилен уровень атак типа DNS Amplification  —в районе 9-10 %. Доля NTP Amplification значительно выросла  —с 1 % до 10 %.


Источник: «Гарда»

Отмечается, что основная часть DDoS-атак реализуется с использованием ботнетов, в состав которых входят компьютеры не только компаний, но и обычных пользователей по всему миру. В техническом плане сложность таких киберпреступных кампаний постоянно растёт. DDoS-атаки организуются на канальный уровень, сетевую инфраструктуру, TCP/IP-стек и уровень приложения.

Наибольшее количество атак во II квартале 2023 года пришлось на США — около 33,5 % от общего числа. На втором месте находится Китай с результатом в 10 %. Количество атак с территории России снизилось: их доля сократилась с 3,09 % до 2,11 %. Лидерами по данному показателю являются Китай (38 %), Индия (24 %) и Южная Корея (10 %).

[Aleksandr58]

За «смертельным» взломом шлюзов безопасности Barracuda ESG стоит китайская кибергруппировка
30.08.2023
Компании Mandiant (принадлежит Google Cloud) и Barracuda Networks, по сообщению ресурса ComputerWeekly, подтвердили, что взлом шлюзов Barracuda Email Security Gateway (ESG) осуществили китайские хакеры, действующие в интересах правительственных структур КНР. В июне Barracuda Networks проинформировала клиентов о том, что устранить дыру невозможно, а поэтому затронутые шлюзы необходимо попросту выкинуть.

► Показать

В мае нынешнего года Barracuda Networks сообщила о том, что злоумышленники использовали уязвимость «нулевого дня» для взлома устройств ESG. Брешь CVE-2023-2868 позволяет удалённо выполнять произвольный код. В число жертв вошли Samsung, Delta Airlines, Mitsubishi и Kraft Heinz. Позднее компания установила связь атаковавшей шлюзы хакерской группы с Китаем. Этой киберкоманде присвоено название UNC4841. Говорится, что целями UNC4841 стали в основном правительственные структуры в США и Канаде, а также в Великобритании. По данным ФБР, к Сети всё еще подключены уязвимые шлюзы ряда организаций, но повторные атаки не наблюдаются.
Mandiant сообщает, что группировка UNC4841 пытается сохранить доступ к наиболее важным скомпрометированным средам с помощью нескольких вредоносных программ — Skipjack, Depthcharge, Foxtrot и Foxglove. Первые три являются бэкдорами, тогда как Foxglove выступает в качестве средства запуска Foxtrot. По оценкам, немногим более 15 % жертв являются правительственными структурами, а чуть более 10 % — местными органами власти. Атака также затронула IT-компании и организации, работающие в таких сферах, как телекоммуникации, производство, образование, аэрокосмическая и оборонная отрасли. Mandiant заявляет, что UNC4841 проводит шпионские операции именно в пользу китайского государства.

[vladimir1949]

Хакеры из Северной Кореи украли пятую часть всей похищенной преступниками криптовалюты в этом году
06.09.2023 [16:15]

Согласно новому исследованию TRM Labs, в период с января по 18 августа 2023 года связанные с Северной Кореей хакеры украли криптовалюту на $200 млн, что составляет более 20 % всей похищенной злоумышленниками криптовалюты в этом году. По мнению экспертов TRM Labs, похищенные средства используются для реализации военных программ правительства КНДР.

Для кражи криптовалюты хакеры используют различные способы: фишинговые атаки и атаки на цепочки поставок, а также взлом инфраструктуры, включая компрометацию приватного ключа или Seed-фразы, говорится в отчёте TRM Labs.

► Показать

По данным Chainalysis, прошедший 2022 год стал самым удачным для криптохакеров. Ими было похищено $3,8 млрд в криптовалюте, в основном в результате использования децентрализованных финансовых протоколов, и в этом активно участвовали злоумышленники, связанные с Северной Кореей.

В марте прошлого года официальные лица США обвинили хакеров, связанных с Северной Кореей, в краже рекордной суммы криптоактивов на более $600 млн путём взлома блокчейн-моста Ronin, на котором основана популярная блокчейн-игра Axie Infinity, с использованием украденных приватных ключей.

Как сообщает The Wall Street Journal, для этого хакеры под видом вербовщиков передали инженеру из компании Sky Mavis, занимающейся играми на блокчейне, документ, содержащий вредоносное ПО. Это позволило преступникам получить доступ к компьютеру инженера и взломать игру Axie Infinity, благодаря чему удалось похитить 173,6 тыс. Ethereum на сумму более $600 млн и стейблкоины USDC на сумму более $25,5 млн.

[vladimir1949]

Личные данные клиентов «МТС Банка» попали в открытый доступ — в банке считают, что ничего страшного не случилось
07.09.2023 [23:33]

Неизвестный хакер выложил в открытый доступ данные клиентов «МТС Банка», сообщил Telegram-канал «Утечки информации» российского сервиса разведки уязвимостей и утечек данных, а также мониторинга мошеннических ресурсов в даркнете DLBI. Утёкшие данные содержатся в трёх файлах в формате .csv.
Источник изображения: Pixabay

В одном из этих файлов с 1 млн строк содержатся персональные данные клиентов, включая ФИО, дату рождения, пол, номер ИНН, гражданство. В другом файле, содержащем 3,1 млн строк, указаны данные о банковских картах клиентов, включая тип карты (дебетовая, кредитная, корпоративная), частичную информацию о её номере (6 первых и 4 последних цифры), даты выпуска и завершения срока действия карты. В третьем файле указаны 1,8 млн уникальных номеров телефонов клиентов, 50 тыс. уникальных адресов электронной почты и числовые идентификаторы. Хакер сообщил, что у него имеется полная база из 21 млн строк.

► Показать

Ресурс securitylab.ru утверждает, что базу данных «МТС Банка» взломали хакеры из группировки NLB, которые ранее сливали данные клиентов и сотрудников компании «СберЛогистика», образовательного портала «GeekBrains», сервиса электронных книг «Литрес» и многих других.

В свою очередь, «МТС Банк» заверил клиентов, что его инфраструктура не подвергалась атакам, и данные пользователей вне опасности. «Представленная в базе информация не позволяет злоумышленникам совершать финансовые операции от лица клиентов банков, их счета вне опасности, — сообщили в пресс-службе банка. — Проверка базы, опубликованной хакерами, показала, что в ней содержатся персональные данные граждан и маскированные номера банковских карт, выпущенных различными российскими банками. Маскирование представляет собой меру защиты, в рамках которой номер банковской карты виден лишь частично».

«Наличие в базе карт различных эмитентов указывает на то, что утечка произошла не в каком-либо конкретном банке, а, предположительно, у ретейл-компании либо поставщика цифровых сервисов, которые хранят и обрабатывают платёжные данные пользователей именно в таком виде», — добавили в пресс-службе «МТС Банка».

[vladimir1949]

«Лаборатория Касперского»: бэкдор три года распространялся под видом легитимного установщика ПО для Linux

Эксперты «Лаборатории Касперского» обнаружили вредоносную кампанию с использованием Free Download Manager, которая длилась более трёх лет. В ходе атаки легитимное ПО для установки приложений использовалось для распространения бэкдора на устройства под управлением ОС Linux. Жертвы заражались при попытке загрузить программное обеспечение с официального сайта Free Download Manager, что указывает на потенциальную атаку на цепочку поставок. Некоторые образцы вредоносного ПО, использованного в этой кампании, впервые были выявлены в 2013 г. Атаки были зафиксированы в Бразилии, Китае, Саудовской Аравии и России.

► Показать

Обнаруженная вредоносная кампания нацелена на системы Linux. Если жертва открывала в браузере легитимный веб-сайт Free Download Manager, а затем нажимала кнопку загрузки программы для Linux, то в некоторых случаях её перенаправляло на вредоносный URL, с которого скачивалась вредоносная версия, выпущенная в 2020 г. После запуска файла на устройстве жертвы устанавливался бэкдор — разновидность троянца для получения удалённого доступа. С заражённого устройства злоумышленники могли красть различную информацию, в том числе сведения о системе, историю браузера, сохранённые пароли, данные криптовалютных кошельков и даже учётные данные облачных сервисов, таких как Amazon Web Services или Google Cloud.

Эксперты «Лаборатории Касперского» полагают, что это может быть атакой на цепочку поставок. В ходе исследования руководств по установке Free Download Manager на YouTube для компьютеров Linux были обнаружены случаи, когда создатели видео непреднамеренно демонстрировали начальный процесс заражения. Но в другом видео загружалась легитимная версия программного обеспечения. Вероятно, разработчики вредоносного ПО предусмотрели, что жертва перенаправлялась на вредоносную версию ПО с определённой степенью вероятности или на основе цифрового следа потенциальной жертвы. В результате некоторые пользователи сталкивались с вредоносным пакетом, а другие получали легитимный.

«Распространено заблуждение, что для Linux не существует вредоносного ПО, поэтому многие пользователи не устанавливают на такие устройства защитные решения. Однако отсутствие средств обеспечения кибербезопасности как раз делает их более привлекательными для злоумышленников. Ситуация с Free Download Manager демонстрирует, что кибератаки на Linux могут долго оставаться необнаруженными. Чтобы этого избежать, нужно обязательно заботиться об эффективных мерах безопасности для компьютеров и серверов, работающих на этой операционной системе», — сказал Леонид Безвершенко, эксперт по кибербезопасности «Лаборатории Касперского».

[Aleksandr58]

Хакеры за неделю взломали две крупнейшие сети казино в Лас-Вегасе
14.09.2023
Во вторник группа киберпреступников, называющая себя ALPHV/BlackCat, нарушила работу сети казино MGM Resorts. Хакеры утверждают, что добыли чувствительную информацию и требуют выкуп, но компания пока платить отказывается. А сеть казино Caesars Entertainment якобы заплатила «десятки миллионов долларов» хакерам, угрожавшим обнародовать украденную информацию, в том числе данные клиентов. Взлом совершила группировка Scattered Spider, хотя ALPHV также настаивает на своей причастности.

► Показать

Во вторник MGM Resorts начала испытывать перебои в работе игровых автоматов. По состоянию на утро среды MGM Resorts по-прежнему демонстрировала признаки взлома, что, в частности, отражалось в перебоях в работе сайта компании. Сама MGM Resorts утверждает, что её «курорты, включая рестораны, развлечения и игры, в настоящее время работают».

ALPHV использовала методы социальной инженерии для кибератаки на международную сеть отелей и казино. Хакеры утверждают, что для взлома MGM Resorts им потребовался всего один 10-минутный телефонный звонок. Преступникам оказалось достаточно отыскать данные сотрудников казино на LinkedIn, а затем позвонить в службу поддержки.


Группа ALPHV имеет в сообществе кибербезопасности репутацию «выдающегося специалиста в области социальной инженерии для первоначального доступа». После взлома группа обычно использует программы-вымогатели, чтобы вынудить жертву заплатить. Хакеры в первую очередь атакуют крупные корпорации, в частности в июле ALPHV совместно с другими хакерами смогли организовать утечку данных с сайта гиганта индустрии красоты Estée Lauder.

Caesars Entertainment заплатила «десятки миллионов долларов» хакерам, которые угрожали обнародовать данные компании. Атаку совершила группа под названием Scattered Spider (также известная как UNC 3944), использовавшая социальную инженерию для обхода безопасности корпоративной сети. Атака на Caesars началась ещё 27 августа с получения доступа к внешнему поставщику компании, после чего преступникам удалось проникнуть в сеть Caesars Entertainment.


Группа Scattered Spider активизировалась в мае 2022 года и занимается атаками на телекоммуникационные и бизнес-аутсорсинговые организации. Члены группы выдают себя за ИТ-персонал и используют социальную инженерию и другие инструменты, чтобы убедить должностных лиц компании предоставить удалённый доступ. Также они успешно эксплуатируют уязвимости и используют специализированные инструменты для взлома, чтобы обойти защитное программное обеспечение.