Хакеры, взломы, вирусы

[Aleksandr58]

Хакери заволоділи даними власників ШІ-помічника Rabbit R1, щоб звернути увагу на проблеми з безпекою

02.08.2024
Співробітник компанії Rabbit, яка створила девайс на базі штучного інтелекту Rabbit R1, надав хакерам доступ до API продукту. Це дозволило їм читати промпти користувачів та фактично видавати себе за сервіс, надсилаючи повідомлення з поштового сервера компанії. Про це пише Gizmodo.

► Показать

У червні 2024 року команда хакерів, які називають себе Rabbitude, опублікувала звіт, в якому стверджувалося, що вони отримали доступ до великої частини внутрішньої кодової бази Rabbit.

Вони заволоділи ключем для сервісу перетворення тексту в голос ElevenLabs, який дозволив їм переглядати всі минулі текстові повідомлення користувачів. Спершу Rabbit заперечував проблему, але згодом змінив свої API-ключі.

“У червні співробітник (якого звільнили після цього випадку) злив ключі API самопроголошеній групі “хактивістів”, яка написала статтю, в якій стверджувала, що має доступ до внутрішнього вихідного коду Rabbit і деяких ключів API. Rabbit негайно відкликав і змінив ці ключі API, а також перемістив додаткові секрети в AWS Secrets Manager”, – пише представник Rabbit.

Хакери стверджують, що злом відбувся ще у травні 2024 року та Rabbit було відомо про це. Але компанія вирішила ігнорувати проблему, поки Rabbitude не опублікували свою статтю наступного місяця.

Щоб довести, що хакери дійсно мають доступ до ключів компанії, один із членів Rabbitude надіслав медіа Gizmodo електронного листа з внутрішнього поштового сервера Rabbit.

Rabbitude заявляє, що проблема не в тому, що вони заволоділи конфіденційними даними користувачів Rabbit R1, а в тому, що будь-хто з команди Rabbit має доступ до цієї інформації. Компанія не повинна була зашивати свої ключі API в код, це дозволило занадто великій кількості людей отримати внутрішній доступ.

[Aleksandr58]

Хакеры научились массовой и незаметной рассылке вредоносного ПО через взлом интернет-провайдеров
03.08.2024
Китайская хакерская группировка StormBamboo, она же Evasive Panda, взломала интернет-провайдера и начала заражать компьютеры его абонентов вредоносным ПО. Такое открытие сделали эксперты по кибербезопасности из компании Volexity, расследуя взлом ресурсов некой организации.

► Показать

Первоначально эксперты Volexity предположили, что скомпрометирован был брандмауэр подвергшейся атаке организации, но дальнейшее расследование показало, что происхождение вредоносного ПО прослеживается «вверх по течению на уровне интернет-провайдера». Источником проблемы оказалось «отравление DNS» — атака, при которой хакер манипулирует системой доменных имён и перенаправляет трафик пользователей на вредоносные ресурсы.

Volexity уведомила провайдера о проблеме, и тот изучил работу оборудования, которое осуществляет маршрутизацию трафика в сети — провайдер произвёл перезагрузку и отключил часть компонентов сети, после чего симптомы отравления DNS прекратились. Ответственность за атаку эксперты возложили на китайскую хакерскую группировку StormBamboo, также известную как Evasive Panda.

Перехватив управление системой DNS в сети провайдера, злоумышленники подменили ресурсы, к которым обращаются пользовательские программы за обновлениями — в частности, бесплатный проигрыватель медиафайлов 5KPlayer. Когда приложения пытались получить обновления, они получали вместо них пакеты вредоносного ПО. Эту схему атаки хакеры StormBamboo применили к нескольким программным продуктам, в которых используются небезопасные механизмы обновления.

В Volexity не назвали ни интернет-провайдера, ни число пострадавших в результате атаки компьютеров, но сообщили, что речь идёт о «множественных инцидентах», которые датируются серединой 2023 года. Компьютеры жертв работали под управлением Windows и macOS, а среди вредоносов отметились MACMA и MGBot — они позволяют злоумышленникам удалённо делать снимки экрана, перехватывать нажатия клавиш, красть файлы и пароли. При атаке на ресурсы провайдера предположительно использовался предназначенный для работе в среде Linux зловред CATCHDNS.

[vladimir1949]

Специалистами «Лаборатории Касперского» обнаружен Android-троян для точечного шпионажа
05.08.2024 [14:19]

Специалисты «Лаборатории Касперского» обнаружили Android-троян, используемый злоумышленниками для кибершпионажа за владельцами смартфонов из России. Он получил имя LianSpy и использовался как минимум с середины 2021 года. Шпионаж носил не массовый характер, а обнаружить вредонос было трудно, поскольку атакующие активно скрывали следы его деятельности.

Обнаружить LianSpy впервые удалось весной этого года. С тех пор специалисты «Лаборатории Касперского» выявили более 10 жертв вредоноса. В компании не уточнили, на кого именно были нацелены использующие троян злоумышленники, поскольку эксперты оперируют анонимизированными данными, полученными на основе срабатывания сервиса компании.

► Показать

«LianSpy маскируется под системные приложения и финансовые сервисы. При этом атакующих не интересует финансовая информация жертв. Функциональность зловреда включает сбор и передачу атакующим списка контактов с заражённого устройства, а также данных журналов звонков, списка установленных приложений», — рассказал эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Калинин. Он добавил, что троян может записывать экран смартфона при открытии определённых приложений, преимущественно мессенджеров. В дополнение к этому троян способен обходить уведомления, показывающие, что в данный момент на смартфоне используется камера или микрофон, путём отключения появляющихся во время записи экрана предупреждений.

В сообщении сказано, что устройства могли заражаться удалённо путём эксплуатации нескольких неустановленных уязвимостей или при получении физического доступа к устройству. Однако точно определить способ распространения вредоноса не удалось, поскольку в распоряжении экспертов для анализа был только сам троян. Активация LianSpy не требует каких-либо действий со стороны жертвы. При запуске троян функционирует в фоновом режиме, получая практически полный контроль над устройством.

В «Лаборатории Касперского» отметили, что LianSpy использует необычные для мобильного шпиона техники. Кроме того, для передачи данных с заражённых устройств злоумышленники задействуют только публичные сервисы, что затрудняет процесс атрибуции кампании к конкретной группировке. Не исключено, что в данном случае злоумышленников интересуют какие-то конфиденциальные данные, которые есть в распоряжении определённого круга людей.

[Aleksandr58]

Українські хакери вразили пітерського інтернет-провайдера

Кібератака розгортається з 1 серпня.
Хакери з IT Army of Ukraine здійснили масову кібератаку на пітерського інтернет-провайдера «Простор Телеком». Про це вони повідомили у своєму телеграм-каналі.

Компанія повідомила клієнтам, що атака триває з 1 серпня. Внаслідок атаки відбулася часткова та повна «деградація» послуг зв’язку.

► Показать

«Атака безперервно триває зі збільшенням обсягу атакованих ресурсів і зміною напрямків. Ціллю атаки є порушити роботу серверів та інфраструктур», — повідомив провайдер і додав, що спільно з державними фахівцями намагається її стримувати.

«Символічно звісно, бо це явно не перша й точно не остання деградація, яка відбувається у країні, де громадяни не прагнуть контролювати свою владу. Пам'ятаєте, оце все про культурну столицю — тепер це місто звичайного сорому, як і всі інші міста на рашці, — зазначили хакери з IT Army of Ukraine. — Вам не здається, що наші операції — це далеко не остання причина розпочатої ізоляції інтернету у ворога?».

Зазначимо, на початку липня IT Army of Ukraine атакували цифрову інфраструктуру московського провайдера iflat, що призвело до його тимчасового виведення з ладу. Раніше вони провели DDoS-атаку на російського інтернет-провайдера «Юг-Линк», який працював у різних регіонах країни-агресорки.

У червні IT Army of Ukraine зупинила роботу основного провайдера російських банків «Мастертел», клієнтами якого є «Альфа-Банк», «ВТБ», «Сбербанк» та інші. До цього українська IT-армія зламала провайдера адміністрації воєнного злочинця Володимира Путіна та низки держструктур.

[vladimir1949]

Хакер показал, как с помощью невидимого лазера удалённо считывать текст, набираемый на ноутбуке (Видео)
08.08.2024 [19:30]

Похоже, что в открытом доступе появились хакерско-шпионские технологии на базе инфракрасного лазера для считывания информации, набираемой на компьютере. На конференции по безопасности Defcon известный хакер Сэми Камкар (Samy Kamkar) продемонстрирует установку, которая по отражённым от ноутбука вибрациям позволяет точно восстановить набираемый текст или подслушать разговор. Для работы установки достаточно прямой видимости любой отражающей поверхности устройства.

Камкар утверждает, что он создал одну из самых высокоточных реализаций лазерного микрофона в мире. Результатом стала система с открытым исходным кодом, которая потенциально может улавливать практически всё, что печатается или произносится вслух в комнате объекта наблюдения.

► Показать

Лучше всего трюк со слежкой за нажатием клавиш работает при наведении лазера на хорошо отражающую свет деталь ноутбука. «Логотип Apple — это почти зеркало, — говорит Камкар. — Это действительно хорошая отражающая поверхность». В некоторых случаях исследователю удавалось даже улавливать музыку, хотя двойное оконное стекло существенно ухудшало разборчивость отражённого сигнала.

Шпионская лазерная технология Камкара не является совершенно новой концепцией: как метод наблюдения за нажатием клавиш, так и подслушивание звука являются по сути его версиями лазерного микрофона, изобретённого десятилетия назад. Заслуга Камкара в значительно повышенной точности работы подобного устройства и открытом исходном коде системы.

[youtube][/youtube]

Чтобы уменьшить помехи и шум в отражённом инфракрасном сигнале, он использовал модуляцию с частотой 400 килогерц с дальнейшей фильтрацией. Получившийся сигнал был усилен и отправлен на повышающий преобразователь, а затем — на цифровое программируемое радио для его анализа. Другими словами, Камкар преобразовал звук в свет, а затем обратно в звук.

«Я думаю, что создал первый лазерный микрофон, который на самом деле модулируется в области радиочастот, — говорит Камкар. — Как только у меня появляется радиосигнал, я могу обращаться с ним как с радио и могу использовать все инструменты, которые существуют для радиосвязи».

В процессе определения нажатой клавиши Камкар использовал программу iZotopeRX для дальнейшего удаления помех, а затем программное обеспечение с открытым исходным кодом Keytap3, которое преобразовывает звук нажатия клавиш в разборчивый текст. Исследователи безопасности годами демонстрировали, что нажатия клавиш можно анализировать и преобразовывать в текст благодаря различиям в аудиосигнатуре каждой клавиши. Например, относительно точный текст был получен из звуков нажатия клавиш, записанных в процессе видеозвонка.

[youtube][/youtube]

По свидетельству журналистов Wired, результаты, полученные Камкаром впечатляют — некоторые восстановленные образцы текста были почти полностью разборчивы, с пропущенной буквой на каждое слово или два. По их словам, лазерный микрофон Камкара воспроизводил удивительно чистый звук, заметно лучше, чем другие подобные образцы, находящиеся в открытом доступе.



Камкар признаёт, что не знает, чего достигла подобная технология в коммерческих реализациях, доступных правительствам или правоохранительным органам, не говоря уже о секретных образцах, которые созданы или используются разведывательными агентствами. «Я бы предположил, что они делают это или что-то в этом роде», — говорит он.

В отличие от создателей профессиональных шпионских инструментов, Камкар публикует полные схемы своего набора для самостоятельного шпионажа с лазерным микрофоном. «В идеале я хочу, чтобы общественность знала обо всем, что делают разведывательные агентства, и о том, что будет дальше, — говорит Камкар. — Если вы не знаете, что что-то возможно, вы, вероятно, не сможете от этого защититься».



Как можно защититься от бесшумного, невидимого, дальнобойного лазерного шпионажа? Компаниям и лицам, беспокоящимся о своей безопасности, рекомендуется устанавливать многослойные или отражающие стекла. Существуют устройства, которые крепятся к оконным стёклам и заставляют их вибрировать, создавая помехи для лазерного микрофона.

Камкар не тестировал свою систему против подобных устройств, но предлагает значительно более дешёвое решение: «Не работайте на компьютерах, которые видны из окна. Или просто не мойте окна».

[vladimir1949]

Anthropic заплатит до $15 000 хакерам, которые найдут уязвимости в её ИИ-системах
09.08.2024 [17:14]

Компания Anthropic объявила о запуске расширенной программы поиска уязвимостей, предлагая сторонним специалистам по кибербезопасности вознаграждение до 15 000 долларов за выявление критических проблем в своих системах искусственного интеллекта.

Инициатива направлена на поиск «универсальных методов обхода», то есть способов взлома, которые могли бы последовательно обходить меры безопасности ИИ в таких областях высокого риска, как химические, биологические, радиологические и ядерные угрозы, а также в области киберпространства. Как сообщает ресурс VentureBeat, компания Anthropic пригласит этичных хакеров для проверки своей системы ещё до её публичного запуска, чтобы сразу предотвратить потенциальные эксплойты, которые могут привести к злоупотреблению её ИИ-системами.

► Показать

Интересно, что данный подход отличается от стратегий других крупных игроков в области ИИ. Так, OpenAI и Google имеют программы вознаграждений, но они больше сосредоточены на традиционных уязвимостях программного обеспечения, а не на специфических для ИИ-индустрии эксплойтах. Кроме того, компания Meta✴ недавно подверглась критике за относительно завуалированную позицию в области исследований безопасности ИИ. Напротив, явная нацеленность Anthropic на открытость устанавливает новый стандарт прозрачности в этом вопросе.

Однако эффективность программ поиска уязвимостей в решении всего спектра проблем безопасности ИИ остаётся спорной. Эксперты отмечают, что может потребоваться более комплексный подход, включающий обширное тестирование, улучшенную интерпретируемость и, возможно, новые структуры управления, необходимые для обеспечения глобального соответствия систем искусственного интеллекта человеческим ценностям.

Программа стартует как инициатива по приглашению (закрытое тестирование) в партнёрстве с известной платформой HackerOne, но в будущем Anthropic планирует расширить программу, сделав её открытой и создав отдельную независимую модель для отраслевого сотрудничества в области безопасности ИИ.

[Aleksandr58]

Хакери атакували Польське антидопінгове агентство та оприлюднили особисті дані спортсменів


Установа запевняє, що вжила необхідних заходів для захисту систем. Про кібернапад уже повідомили поліції, Управлінню захисту персональних даних та Міністерству спорту Польщі.
Польське антидопінгове агентство (POLADA) зазнало хакерської атаки, внаслідок чого дані установи були оприлюднені, а сайт не працює. Про це повідомило «Польське радіо».

► Показать

Хакери викрали та оприлюднили особисту інформацію польських спортсменів, зокрема олімпійців.

Так, колишній атлет, олімпієць Марке Плявґо написав у соцмережі Х, що адреси, номери телефонів та результати допінг-тестів після витоку POLADA досі є у відкритому доступі. За його словами, обсяг викрадених даних становить кілька десятків гігабайтів.

За даними POLADA, до нападу причетне угруповання, яке підтримують служби ворожої країни. Назва цієї країни не уточнюється.

В агентстві запевнили, що вжили необхідних заходів для захисту систем, а про кібератаку було повідомлено до поліції, Управління захисту персональних даних та Міністерства спорту. Усім спортсменам також розіслали електронні листи, в яких повідомили про злом бази даних на серверах установи.

[Aleksandr58]

В Україні завершили розслідування щодо хакерських атак на провідні світові компанії

За шість років зловмисники зашифрували понад 1 тисячу серверів світових підприємств та спричинили збитків на понад 3 млрд грн.
Українські правоохоронці завершили розслідування у справі проти учасників міжнародної хакерської групи, яка атакувала найпотужніші світові компанії Франції, Норвегії, Німеччини, Нідерландів, Канади та США. Про це повідомив Офіс генерального прокурора.

Слідство встановило, що перші атаки з використанням самостійно розробленого шкідливого програмного забезпечення відбулися у 2018 року, вони тривали до листопада 2023 року, коли для знешкодження злочинного угруповання та аналізу цифрових даних до Києва прибули понад 20 правоохоронців з Норвегії, Франції, Німеччини та Федерального бюро розслідувань США.

► Показать

Зловмисники зламували облікові записи працівників підприємств, використовуючи інформацію з відкритих джерел та методи соціальної інженерії. З привласнених акаунтів хакери розповсюджували шкідливий програмний код у корпоративній екосистемі. У такий спосіб отримували доступ до серверів та викрадали з них інформацію.

Після цього дані на комп’ютерах жертв зашифровувалися і ставали непридатними для використання. За дешифрування інформації члени міжнародної хакерської групи вимагали мільйонні виплати у криптовалюті.



Наприклад, за відновлення роботи серверів однієї з провідних хімічних компаній Нідерландів зловмисники вимагали перерахувати 450 біткоїнів на підконтрольний криптогаманець, що в еквіваленті становить 48 млн грн.

Встановлено, що за кілька років злочинної діяльності зловмисники зашифрували понад 1 тисячу серверів світових підприємств та спричинили збитків на понад 3 млрд грн в перерахунку на національну валюту.

У ході розслідування правоохоронці провели понад 80 санкціонованих обшуків у приміщеннях та автомобілях фігурантів на Київщині, а також у Черкаській, Рівненській та Вінницькій областях. Виявили та вилучили комп’ютерну техніку, банківські та сім-картки, «чорнові» записи, десятки електронних носіїв інформації, майже 4 млн грн та криптовалютні активи.



У подальшому поліцейські спільно з іноземними колегами виявили криптоактиви на понад 24 млн грн в еквіваленті, квартири, будинки, 9 елітних автомобілів та 24 земельних ділянки загальною площею майже 12 га, що належать учасникам хакерської групи. За клопотанням слідства судом накладено арешт на майно.

Розслідування здійснювалося у межах кримінального провадження за ч. 2 ст. 361 (несанкціоноване втручання в роботу інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж), ч. 2 ст. 361-1 (створення з метою протиправного використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут), ч. 4 ст. 189 (вимагання) Кримінального кодексу України.

Торік трьом фігурантам повідомили про підозру. На сьогодні двох підозрюваних оголошено в державний та міжнародний розшук.

[Aleksandr58]

Хакеры могут «откатить» Windows до старой версии, чтобы использовать известные уязвимости

09.08.2024
Исследователь в сфере информационной безопасности Алон Леви (Alon Levie) из компании SafeBreach обнаружил две уязвимости в центре обновления Windows. Их эксплуатация позволяет понизить версию операционной системы для отмены применённых исправлений безопасности с целью последующего использования известных уязвимостей для атак. Проблема затрагивает Windows 11, Windows 10 и Windows Server.

► Показать

Используя упомянутые уязвимости, злоумышленник может удалить с устройства с Windows загруженные ранее обновления безопасности, чтобы получить возможность эксплуатации старых уязвимостей, которые уже были исправлены. По сути, злоумышленник может «откатить» обновлённую ОС до более старой версии, в которой остаются актуальными уже исправленные уязвимости.

Эта новость является неприятной для пользователей Windows, которые регулярно обновляют ОС и устанавливают актуальные патчи безопасности. По данным источника, Microsoft было известно об упомянутой проблеме с февраля 2024 года, но пока софтверный гигант не выпустил исправления для этих уязвимостей. Известно, что Microsoft работает над исправлением, а также опубликовала некоторые подробности о CVE-2024-38202 и CVE-2024-21302, которые помогут ограничить возможный ущерб, пока нет официального патча.

В конечном счёте упомянутые уязвимости могут дать злоумышленнику полный контроль над процессом обновления для понижения версий критических компонентов Windows, таких как динамические библиотеки (DLL) и ядро NT. Исследователь также обнаружил, что весь стек виртуализации находится под угрозой. Ему удалось понизить версию гипервизора Hyper-V, Secure Kernel и Credential Guard. Всё это даёт возможность использования ранее закрытых уязвимостей для компрометации системы. При этом при проверке через центр обновлений Windows сама система выглядит так, как будто всё ещё обновлена до актуальной версии.

По данным Microsoft, в настоящий момент нет никаких доказательств того, что уязвимости центра обновления Windows использовались во время реальных хакерских атак. Когда именно будет выпущен патч для устранения проблемы, пока неизвестно.

[Aleksandr58]

Microsoft обвинила иранских хакеров в кибератаках на американских чиновников
09.08.2024
Эксперты по кибербезопасности Microsoft заявили, что связанные с иранскими властями хакеры в июне пытались взломать учётную запись высокопоставленного американского чиновника, а за несколько недель до этого предприняли попытку взломать аккаунт должностного лица окружного уровня, передаёт Reuters.

► Показать

Иран усилил попытки взлома чиновников в США в попытках повлиять на результаты выборов, которые состоятся в ноябре, говорится в докладе Microsoft. Республика также активизировала подставные учётные записи в соцсетях с целью посеять в США политическую рознь, добавили высокопоставленные сотрудники американской разведки. Миссия Ирана при ООН в Нью-Йорке заявила, что её действия в киберпространстве были «оборонительными и соразмерными угрозам, с которыми он столкнулся».

По версии Microsoft, подконтрольная иранским спецслужбам группировка киберпреступников направила фишинговое письмо высокопоставленному лицу, связанному с предвыборной президентской кампанией; другая группировка, также предположительно связанная с иранскими спецслужбами, «скомпрометировала учётную запись пользователя с минимальными правами доступа в правительстве на уровне округа». Эту деятельность в компании связали с масштабной попыткой иранских хакеров получить разведданные о политических кампаниях в США и повлиять на колеблющиеся штаты.

Взлом учётной записи был произведён в мае в рамках масштабной «операции по распылению паролей», в ходе которой используются известные или украденные пароли на многих аккаунтах, пока один из них не оказывается взломанным. В результате инцидента злоумышленники не взломали других учётных записей, а владелец скомпрометированного аккаунта был об этом уведомлен.

Ещё одна иранская группировка, по сведениям Microsoft, запустила «скрытые» новостные сайты, материалы для которых при помощи искусственного интеллекта брались с добросовестных ресурсов. Целями проекта были представители противоположных политических воззрений.