TV sat club

Специалисты по кибербезопасности из компании Check Point обнаружили новую схему атак на компьютеры с Windows 10 и Windows 11, использующую уязвимость в устаревшем браузере Internet Explorer, сообщает PCMag. Несмотря на то, что Microsoft официально прекратила поддержку Internet Explorer и навсегда отключила его в своей операционной системе в прошлом году, хакеры нашли способ устанавливать через него вредоносное программное обеспечение. Исследователь Check Point Хайфэй Ли (Haifei Li) выявил, что злоумышленники используют файлы ярлыков Windows с расширением .url, которые можно настроить для вызова Internet Explorer. Сразу скажем, этот метод не позволит обойти современную систему защиты, присутствующую в более новых браузерах, таких как Chrome или Edge.

Атака особенно эффективна при использовании фишинговых писем или вредоносных вложений. Ли обнаружил, что хакеры маскируют ярлыки под PDF-файлы. При открытии такого ярлыка Internet Explorer загружает вредоносную программу в виде файла .hta, если пользователь подтверждает все запросы.
Уилл Дорман, эксперт по безопасности, отметил, что современные браузеры блокируют загрузку файлов .hta, в то время как Internet Explorer лишь выводит текстовое предупреждение, которое пользователи по незнанию могут легко проигнорировать. Особую опасность представляет тот факт, что Microsoft прекратила выпуск обновлений безопасности для Internet Explorer, что и позволяет хакерам использовать неисправленные уязвимости через этот браузер.

Исследование Check Point показало, что эти атаки проводятся как минимум с января 2023 года. Хорошая новость состоит в том, что в ответ на обнаруженную уязвимость Microsoft выпустила патч, предотвращающий запуск Internet Explorer через файловые ярлыки. Специалисты также рекомендуют пользователям Windows быть особенно осторожными при работе с файлами, имеющими расширения .url, полученными из ненадёжных источников.

В США метаданные, показывающие, с какими номерами взаимодействуют клиенты, обычно доступны только правоохранительным органам и только в рамках установленного юридического процесса при проведении расследований. В данном случае злоумышленникам удалось получить доступ к этой информации и похитить её. В сообщении AT&T отмечается, что полиции уже удалось задержать человека, который, предположительно, причастен ко взлому.

«В апреле AT&T узнала, что данные клиентов были незаконно загружены из нашего рабочего пространства на стороннюю облачную платформу. Мы начали расследование и привлекли ведущих экспертов по кибербезопасности, чтобы понять характер и масштаб преступной деятельности. Мы также приняли меры, чтобы закрыть незаконную точку доступа. Расследование показало, что скомпрометированные данные включают в себя файлы, содержащие записи о звонках и текстовых сообщениях AT&T почти всех клиентов сотовой связи AT&T и клиентов операторов мобильных виртуальных сетей (MVNO) в сети AT&T, а также клиентов стационарных линий AT&T, которые взаимодействовали с этими сотовыми операторами в период с 1 мая 2022 года по 31 октября 2022 года», — сказано в заявлении AT&T.

В дополнение к этому, некоторые украденные хакерами данные связаны со звонками, которые абоненты AT&T совершали со 2 января 2023 года, но в этом случае речь идёт об «очень небольшом количестве клиентов». В этом случае украденные метаданные не включали в себя временные метки звонков и SMS-сообщений, т.е. хакеры не могут видеть, когда именно абонент набирал тот или иной номер или отправлял сообщения. При этом злоумышленники могут видеть на какие номера совершались звонки и отправлялись сообщения. Данные не включают ФИО абонентов, но зачастую связать номер телефона с определённым человеком можно с помощью общедоступных онлайн-инструментов. В компании также отметили, что не располагают информацией о том, были ли украденные данные опубликованы публично.

У руках у хакерів опинилося внутрішнє листування співробітників Disney, зображення, логіни, рекламні кампанії, комп’ютерний код, дані про ще не анонсовані проєкти. Також хакери отримали інформацію про трафік і прибуток паризького «Діснейленду», пише Variety. Більшу частину інформації, як стверджується, хакери перехопили з корпоративного месенджера Slack.

Група Nullbulge заявила, що обрала Disney своєю метою через невдоволення тим, як компанія поводиться з контрактами артистів, використовує штучний інтелект і ставиться до споживачів. Хакери виправдовують свої незаконні дії бажанням захистити права художників і забезпечити справедливу оплату їхньої праці.

Експерти зазначають, що інциденти з кібербезпекою стають дедалі поширенішими та вимагають від компаній підвищеної уваги до захисту даних. Disney вже почала внутрішнє розслідування і співпрацює з правоохоронними органами, щоб визначити масштаби витоку і запобігти можливим загрозам у майбутньому.

Видання Variety також нагадало, що десять років тому зі схожою проблемою зіткнулася компанія Sony Pictures. Тоді хакерська атака призвела, як вважається, до найзначнішого витоку корпоративних даних в історії США. Відповідальність на себе взяло хакерське угруповання #GOP, що розшифровується як «Охоронці миру» (Guardians of Peace). GOP також є акронімом для другої, неофіційної назви Республіканської партії США (Great Old Party – Велика стара партія).

Как выяснилось, все пострадавшие каналы были подключены к боту для автопостинга FleepBot. Представители Fleep подтвердили, что сервис столкнулся с несанкционированным доступом и сейчас его команда работает над тем, чтобы устранить проблему. «На данный момент публикация постов во всех каналах приостановлена», — сообщили в Fleep.

Похожий инцидент произошёл в марте 2022 года, когда хакеры взломали бот для сбора статистики Crosser Bot и тоже запустили массовую спам-рассылку. Ввиду того, что FleepBot и Crosser Bot могут иметь что-то общее и в их системе может быть единая инфраструктура, источник «Кода Дурова» допускает, что это может быть делом рук одного и того же злоумышленника, заполучившего доступ к обеим системам.

В любом случае, опрошенные «Кодом Дурова» эксперты на рынке разработки Telegram-ботов, ссылаясь на аналогичную спам-рассылку в марте 2022-го, поставили под сомнение возможность взлома этих двух ботов.

Упор хакеров на этот канал управления скомпрометированными устройствами объясняется двумя основными факторами: распространенностью и простотой. Компании продолжают увеличивать количество сотрудников, работающих в удаленном или гибридном формате, соответственно, число возможностей для злоумышленников растет физически. При этом отправить программу-вымогатель сотруднику на удаленке проще, потому что, например, он находится вне защищенного периметра.

По данным «Информзащиты», в России в первом полугодии 2024 г. количество атак с использованием шифровальщиков в целом выросло примерно на 35%. Более того, на 25% увеличилась и средняя сумма ущерба от злодеяний с использованием программ-вымогателей. Сильнее всего от них страдает сфера услуг, которая в большинстве своем состоит из представителей малого и среднего бизнеса, а также индивидуальных предпринимателей, самозанятых и фрилансеров. Все они не имеют таких возможностей для обеспечения информационной безопасности, как крупные компании.

Также, согласно данным недавнего исследования, количество использующих в своих действиях шифровальщики группировок увеличилось на 20% во II квартале 2024 г., по сравнению с первыми тремя месяцами. Самым активным месяцем стал май, когда количество организаций злоумышленников выросло на 43%. Рост их количества специалисты связывают с восстановлением сферы после действий правоохранителей.

Среди ключевых новых игроков исследователи сферы информационной безопасности называют группировки RansomHub и BlackSuit. Также выделяется деятельность LockBit, которые своими успешными действиями показали другим хакерам способы «выживать». Действия злоумышленников эксперты отмечают в разных странах мира, что говорит о глобальности активности вымогателей.

Приложенная к резюме фотография была подделкой, но проходивший все четыре собеседования человек был достаточно похож на это изображение, и подозрений он не вызвал. Ему удалось успешно пройти проверку, потому что в документах использовалась украденная личность реально существующего человека. На указанный адрес ему отправили рабочую станцию Apple Mac.


Снимок из фотобанка (слева) и созданная ИИ подделка (справа). Источник изображения: blog.knowbe4.com

Как только новый сотрудник приступил к работе, он начал совершать в сети предприятия подозрительные действия, на которые отреагировала система безопасности. Сотрудники компании связались с новым работником, чтобы прояснить ситуацию — тот заявил, что у него наблюдаются проблемы со скоростью подключения, он настраивает маршрутизатор, и, возможно, это привело ко взлому. В реальности он попытался манипулировать файлами с историей сеансов, передать в сеть потенциально опасные файлы и даже запустить несанкционированное ПО. Для загрузки вредоносов он воспользовался одноплатным компьютером Raspberry Pi. Сотрудники службы безопасности продолжали контролировать происходящее и даже попытались позвонить этому работнику, но тот ответил, что не может ответить, а впоследствии и вовсе перестал выходить на связь. Через 25 минут после начала атаки его компьютер был заблокирован в сети.

Последующий анализ показал, что попытки загрузить вредоносное ПО, вероятно, были намеренными, а сам подозрительный сотрудник был «внутренней угрозой или субъектом [другого] государства». KnowBe4 поделилась информацией с экспертами по кибербезопасности компании Mandiant, а также уведомила об инциденте ФБР — выяснилось, что это действительно был фальшивый работник из Северной Кореи. У них есть отлаженная схема. Работодатели отправляют рабочие станции на адреса, где находятся целые «фермы» таких компьютеров. Хакеры подключаются к ним через VPN из КНДР или Китая и выходят в ночную смену, чтобы казалось, будто они работают днём в США. Некоторые из них действительно выполняют задачи, получают хорошую оплату, которая уходит на финансирование деятельности Пхеньяна.

Группа учёных из Республиканского Университета в Монтевидео (Уругвай), разработала ИИ-модель, способную декодировать электромагнитное излучение от мониторного кабеля на расстоянии нескольких метров, сообщает New Scientist. Метод работает следующим образом. Предполагаемые хакеры перехватывают электромагнитное излучение, исходящее от VGA-, HDMI- или DVI-кабеля между компьютером и монитором, затем искусственный интеллект, обученный на наборе соответствующих сигналов, расшифровывает перехваченную информацию и передаёт по назначению.

Для оценки эффективности атаки команда использовала стандартное программное обеспечение, выводящее на экран монитора текстовую информацию, перехватывала сигнал, передаваемый по HDMI-кабелю в монитор, расшифровала его с применением стандартной программы для распознавания текста и сравнивала полученный результат с исходным изображением на экране. Исследование выявило, что в процессе расшифровки 30 % символов интерпретируются неверно, однако оставшихся 70 % вполне хватает, чтобы распознать большую часть текста.

С помощью этой технологии хакеры могут шпионить за экраном компьютеров, когда пользователи вводят какие-либо чувствительные данные. Перехват сигналов может осуществляться с помощью антенны, установленной за пределами здания, или с помощью небольшого устройства, которое снимает и записывает данные перехвата для последующего извлечения.

Руководитель исследования Федерико Ларрока (Federico Larroca) считает, что атаки подобного рода, известные как TEMPEST, вероятно, уже происходят, но только в наиболее значимых промышленных или правительственных учреждениях. Обычным пользователям, считает Ларрока, беспокоиться пока не стоит.

Анализ этой информации вместе с видеозаписями аварий и официальными отчётами позволил воссоздать 222 инцидента с участием Tesla. В 44 случаях автомобили на автопилоте внезапно меняли траекторию направления, а в 31 случае не остановились или не уступили дорогу. Последний сценарий, по данным исследования, обычно приводил к наиболее тяжёлым авариям.

Одним из самых ярких и нашумевших примеров служит столкновение с перевёрнутым прицепом, который система автопилота не смогла распознать как препятствие и автомобиль Tesla врезался в него на полной скорости. Приводятся и другие свидетельства, когда во время тест-драйва система FSD повела себя неадекватно, в следствии чего автомобиль пересёк сплошную линию разметки и едва не спровоцировал аварию на перекрёстке. Также выяснилось, что система FSD плохо распознаёт аварийные сигналы, что приводит к столкновению транспортных средств.

Расследование The Wall Street Journal выявило в автопилоте проблемы как аппаратного, так и программного характера, начиная от медленного обновления алгоритмов до недостаточной калибровки камер. Пока неясно, достаточно ли этих данных, чтобы опровергнуть утверждение Илона Маска (Elon Musk) о том, что система Tesla всё равно безопаснее водителя-человека.

Лазерный метод взлома использует два основных подхода — это целенаправленное внесение сбоев (laser fault injection) и лазерная визуализация состояния логики (laser logic state imaging). В первом случае лазер заставляет транзисторы чипа переключить состояния, просто ударяя по корпусу микросхемы в тех или иных точках, а во втором происходит съём отражённого от оголённого чипа (кремния) лазерного сигнала, который по-разному ведёт себя при отражении от включённого и выключенного транзистора.

Атака методом LFI может банально отключить проверку безопасности микросхемой, например, отключив запрос PIN-кода для входа в аппаратный криптовалютный кошелёк (что было показано на примере). Зато атака LLSI способна на более интересные вещи, вплоть до воссоздания архитектуры чипа, что найдёт применение не только для взлома, но также для реверс-инжиниринга.

Самыми дорогими узлами инструмента RayV Lite стали объектив лазера и FPGA-чип для синхронизации лазеров: оба по $100. Лазеры взяты недорогие — едва ли не из лазерных указок. На современном уровне развития производства микросхем для задач взлома недостаток мощности лазеров можно с лихвой компенсировать длительностью экспозиции, чем и воспользовались разработчики инструмента. Управляет инструментом обычный компьютер Raspberry Pi стоимостью $68. Программный пакет для работы RayV Lite создан на основе открытого кода и также будет распространяться.

Корпус инструмента напечатан на 3D-принтере по открытой модели для станины микроскопа. Шаговые двигатели и специальные пластиковые рычаги позволяют перемещать взламываемый чип в пространстве с шагом в несколько нанометров. В случае нужды корпус можно напечатать заново, если пластиковые детали износятся. Всё вместе позволило уложиться в бюджет $500. Инструмент сможет повторить у себя каждый желающий. Похоже, инструкции по его сборке будут выложены в открытый доступ. Пока речь идёт об инструменте с атакой LFI, позже появится модификация с поддержкой LLSI и, вероятно, со временем выйдет универсальное решение, сочетающее обе атаки.

Как говорят разработчики, они просто поражены, насколько проектировщики чипов не осведомлены о возможностях лазерного взлома. Широкое распространение RayV Lite заставит их повысить ответственность за свои разработки. В конечном итоге вокруг нас засилье микросхем, подавляющее большинство из которых сегодня не устоят перед лазерным взломом.