⚡️Взлом Hugging Face: компания отзывает токены Spaces
💬 Hugging Face на прошлой неделе обнаружила несанкционированный доступ к платформе Spaces, предназначенной для создания, обмена и размещения ИИ-моделей и ресурсов.
В блоге Hugging Face сообщили, что взлом связан с секретами Spaces, то есть с частными данными, которые используются для доступа к защищённым ресурсам, таким как аккаунты, инструменты и среды разработчика. Есть подозрения, что некоторые из секретов могли быть доступны третьим лицам без авторизации.
В качестве предосторожности, Hugging Face отозвал ряд токенов в этих секретах (токены используются для подтверждения личности). Пользователи, чьи токены были отозваны, уже получили уведомления по электронной почте. Hugging Face рекомендует всем пользователям «обновить любые ключи или токены» и рассмотреть возможность перехода на более безопасные токены с тонкой настройкой доступа.
Пока не ясно, сколько пользователей или приложений пострадали от потенциального взлома. Hugging Face отметила, что компания работает с внешними специалистами по кибербезопасности для расследования инцидента, а также для пересмотра политик и процедур безопасности. Hugging Face также сообщила об инциденте в правоохранительные органы и органы защиты данных.
Кроме того, Hugging Face сообщила TechCrunch, что фирма наблюдает значительное увеличение числа кибератак за последние несколько месяцев, вероятно, из-за значительного роста использования Hugging Face и популяризации ИИ. По словам компании, технически сложно определить, сколько секретов Spaces могли быть скомпрометированы.
Возможный взлом Spaces произошел в то время, когда Hugging Face, являющаяся одной из крупнейших платформ для совместных проектов в области ИИ и науки о данных, сталкивается с усилением внимания к своей безопасности.
В апреле исследователи из ИБ-компании Wiz обнаружили на Hugging Face две критические уязвимости, которые могут позволить злоумышленникам повысить привилегии, получить доступ к моделям других клиентов и даже взять под контроль процессы непрерывной интеграции и развертывания (CI/CD).
🔔 ITsec NEWS
💬 Hugging Face на прошлой неделе обнаружила несанкционированный доступ к платформе Spaces, предназначенной для создания, обмена и размещения ИИ-моделей и ресурсов.
В блоге Hugging Face сообщили, что взлом связан с секретами Spaces, то есть с частными данными, которые используются для доступа к защищённым ресурсам, таким как аккаунты, инструменты и среды разработчика. Есть подозрения, что некоторые из секретов могли быть доступны третьим лицам без авторизации.
В качестве предосторожности, Hugging Face отозвал ряд токенов в этих секретах (токены используются для подтверждения личности). Пользователи, чьи токены были отозваны, уже получили уведомления по электронной почте. Hugging Face рекомендует всем пользователям «обновить любые ключи или токены» и рассмотреть возможность перехода на более безопасные токены с тонкой настройкой доступа.
Пока не ясно, сколько пользователей или приложений пострадали от потенциального взлома. Hugging Face отметила, что компания работает с внешними специалистами по кибербезопасности для расследования инцидента, а также для пересмотра политик и процедур безопасности. Hugging Face также сообщила об инциденте в правоохранительные органы и органы защиты данных.
Кроме того, Hugging Face сообщила TechCrunch, что фирма наблюдает значительное увеличение числа кибератак за последние несколько месяцев, вероятно, из-за значительного роста использования Hugging Face и популяризации ИИ. По словам компании, технически сложно определить, сколько секретов Spaces могли быть скомпрометированы.
Возможный взлом Spaces произошел в то время, когда Hugging Face, являющаяся одной из крупнейших платформ для совместных проектов в области ИИ и науки о данных, сталкивается с усилением внимания к своей безопасности.
В апреле исследователи из ИБ-компании Wiz обнаружили на Hugging Face две критические уязвимости, которые могут позволить злоумышленникам повысить привилегии, получить доступ к моделям других клиентов и даже взять под контроль процессы непрерывной интеграции и развертывания (CI/CD).
🔔 ITsec NEWS
⚡️Chrome просит обновиться? Подумайте дважды, прежде чем позволить ему это сделать
💬 Фальшивые обновления браузеров активно используются для распространения троянов удалённого доступа (RAT) и прочего вредоносного ПО, такого как BitRAT и Lumma Stealer (известный также как LummaC2).
Согласно недавнему отчёту компании по кибербезопасности eSentire, фальшивые обновления браузеров приводят ко множеству заражений вредоносным ПО, включая широко известное SocGholish. В апреле 2024 года было замечено распространение вредоносного ПО FakeBat через аналогичные механизмы фальшивых обновлений.
Атака начинается, когда потенциальная жертва посещает заражённый веб-сайт, содержащий JavaScript-код, который перенаправляет пользователей на поддельную страницу обновления браузера («chatgpt-app[.]cloud»). На этой странице находится ссылка на скачивание архива ZIP («Update.zip»), размещённого на платформе Discord, который автоматически загружается на устройство жертвы.
Использование Discord в качестве вектора атаки становится всё более распространённым: недавний анализ от Bitdefender выявил более 50 000 опасных ссылок, распространяющих вредоносное ПО, фишинг-кампании и спам за последние шесть месяцев.
В ZIP-архиве содержится JavaScript-файл («Update.js»), который запускает выполнение PowerShell-скриптов. Эти скрипты загружают дополнительные полезные нагрузки, включая BitRAT и Lumma Stealer, с удалённого сервера в виде PNG-файлов.
Также загружаются PowerShell-скрипты для обеспечения постоянства и загрузчик на базе .NET, используемый для запуска конечного этапа вредоносного ПО. Эксперты eSentire предполагают, что загрузчик рекламируется как «сервис доставки вредоносного ПО», поскольку используется для распространения как BitRAT, так и Lumma Stealer.
BitRAT — это многофункциональный RAT, позволяющий атакующим собирать данные, добывать криптовалюту, загружать дополнительные бинарные файлы и удалённо управлять заражёнными устройствами. В то же время Lumma Stealer, доступный за $250-1000 в месяц с августа 2022 года, может захватывать информацию из веб-браузеров, криптокошельков и прочих источников.
Компания eSentire отмечает, что приманка в виде фальшивого обновления браузера стала популярным методом проникновения в устройства и сети, демонстрируя способность злоумышленников использовать доверенные имена для максимального охвата и воздействия.
Такие атаки часто используют техники Drive-by загрузок и вредоносную рекламу. В недавнем отчёте ReliaQuest описан новый вариант кампании ClearFake, в которой пользователей обманывают, заставляя вручную копировать и выполнять вредоносный код PowerShell под видом обновления браузера.
Злоумышленники используют поддельные веб-страницы, утверждающие, что «возникла ошибка при отображении этой веб-страницы», и предлагают установить корневой сертификат, следуя ряду шагов, включая копирование и выполнение скрытого кода PowerShell.
После выполнения, PowerShell-код выполняет несколько функций, включая очистку DNS-кэша, отображение сообщения, загрузку дополнительного кода PowerShell и установку вредоносного ПО «LummaC2».
Lumma Stealer стал одним из самых распространённых похитителей информации в 2023 году, наряду с RedLine и Raccoon. Количество журналов, полученных с помощью LummaC2, выставленных на продажу, увеличилось на 110% с третьего по четвёртый квартал 2023 года. Высокая успешность LummaC2 объясняется его эффективностью в инфильтрации систем и извлечении конфиденциальных данных без обнаружения.
В рамках своей защитной деятельности специалистам eSentire удалось оперативно выявить подозрительную активность и изолировать заражённое устройство в системе клиента. Индикаторы компрометации выявленных угроз можно посмотреть здесь.
Этот инцидент подчёркивает важность повышения осведомлённости пользователей о подлинности уведомлений об обновлениях и необходимости скачивания обновлений только из доверенных источников.
🔔 ITsec NEWS
💬 Фальшивые обновления браузеров активно используются для распространения троянов удалённого доступа (RAT) и прочего вредоносного ПО, такого как BitRAT и Lumma Stealer (известный также как LummaC2).
Согласно недавнему отчёту компании по кибербезопасности eSentire, фальшивые обновления браузеров приводят ко множеству заражений вредоносным ПО, включая широко известное SocGholish. В апреле 2024 года было замечено распространение вредоносного ПО FakeBat через аналогичные механизмы фальшивых обновлений.
Атака начинается, когда потенциальная жертва посещает заражённый веб-сайт, содержащий JavaScript-код, который перенаправляет пользователей на поддельную страницу обновления браузера («chatgpt-app[.]cloud»). На этой странице находится ссылка на скачивание архива ZIP («Update.zip»), размещённого на платформе Discord, который автоматически загружается на устройство жертвы.
Использование Discord в качестве вектора атаки становится всё более распространённым: недавний анализ от Bitdefender выявил более 50 000 опасных ссылок, распространяющих вредоносное ПО, фишинг-кампании и спам за последние шесть месяцев.
В ZIP-архиве содержится JavaScript-файл («Update.js»), который запускает выполнение PowerShell-скриптов. Эти скрипты загружают дополнительные полезные нагрузки, включая BitRAT и Lumma Stealer, с удалённого сервера в виде PNG-файлов.
Также загружаются PowerShell-скрипты для обеспечения постоянства и загрузчик на базе .NET, используемый для запуска конечного этапа вредоносного ПО. Эксперты eSentire предполагают, что загрузчик рекламируется как «сервис доставки вредоносного ПО», поскольку используется для распространения как BitRAT, так и Lumma Stealer.
BitRAT — это многофункциональный RAT, позволяющий атакующим собирать данные, добывать криптовалюту, загружать дополнительные бинарные файлы и удалённо управлять заражёнными устройствами. В то же время Lumma Stealer, доступный за $250-1000 в месяц с августа 2022 года, может захватывать информацию из веб-браузеров, криптокошельков и прочих источников.
Компания eSentire отмечает, что приманка в виде фальшивого обновления браузера стала популярным методом проникновения в устройства и сети, демонстрируя способность злоумышленников использовать доверенные имена для максимального охвата и воздействия.
Такие атаки часто используют техники Drive-by загрузок и вредоносную рекламу. В недавнем отчёте ReliaQuest описан новый вариант кампании ClearFake, в которой пользователей обманывают, заставляя вручную копировать и выполнять вредоносный код PowerShell под видом обновления браузера.
Злоумышленники используют поддельные веб-страницы, утверждающие, что «возникла ошибка при отображении этой веб-страницы», и предлагают установить корневой сертификат, следуя ряду шагов, включая копирование и выполнение скрытого кода PowerShell.
После выполнения, PowerShell-код выполняет несколько функций, включая очистку DNS-кэша, отображение сообщения, загрузку дополнительного кода PowerShell и установку вредоносного ПО «LummaC2».
Lumma Stealer стал одним из самых распространённых похитителей информации в 2023 году, наряду с RedLine и Raccoon. Количество журналов, полученных с помощью LummaC2, выставленных на продажу, увеличилось на 110% с третьего по четвёртый квартал 2023 года. Высокая успешность LummaC2 объясняется его эффективностью в инфильтрации систем и извлечении конфиденциальных данных без обнаружения.
В рамках своей защитной деятельности специалистам eSentire удалось оперативно выявить подозрительную активность и изолировать заражённое устройство в системе клиента. Индикаторы компрометации выявленных угроз можно посмотреть здесь.
Этот инцидент подчёркивает важность повышения осведомлённости пользователей о подлинности уведомлений об обновлениях и необходимости скачивания обновлений только из доверенных источников.
🔔 ITsec NEWS
⚡️V3B: эпидемия фишинга окутала европейские банки
💬Специалисты Resecurity обнаружили новый фишинговый комплект V3B, который нацелен на клиентов европейских банков.
Согласно отчету Resecurity, группа киберпреступников продает фишинговый комплект V3B через Telegram. Один из членов группы, известный под псевдонимом «Vssrtje», начал кампанию в марте 2023 года. Стоимость комплекта варьируется от $130 до $450 в месяц.
На данный момент комплект V3B привлек более 1255 опытных киберпреступников, занимающихся мошенничеством, включая социальную инженерию, схемы подмена SIM-карт (SIM Swapping) и банковское мошенничество. Фишинговый комплект V3B нацелен на более чем 54 финансовых учреждений стран Евросоюза.
Фишинговый комплект V3B способен перехватывать конфиденциальную информацию, включая учетные данные и коды OTP (одноразовые пароли), используя методы социальной инженерии. Комплект состоит из двух компонентов: системы перехвата учетных данных на основе сценариев (Scenario-Based Credential Interception System, V3B) и страниц авторизации для онлайн-банкинга.
Комплект основан на кастомизированной CMS и включает шаблоны на нескольких языках (финский, французский, итальянский, польский и немецкий). V3B имитирует процессы аутентификации и верификации в онлайн-банкинге и системах электронной коммерции ЕС. Также V3B обладает продвинутыми функциями, такими как обновляемые токены, меры против ботов, интерфейсы для мобильных и настольных устройств, живой чат и поддержка OTP/TAN/2FA.
Код фишлетов также запутывается (с помощью JavaScript) несколькими способами, чтобы избежать обнаружения антифишинговыми системами и поисковыми системами, а также защитить исходные коды от анализа сигнатур.
Посредством взаимодействия в реальном времени с жертвами, фишинговый комплект V3B позволяет мошенникам получать несанкционированный доступ или способствовать проведению мошеннических транзакций. Фишинговый комплект использует API Telegram в качестве канала связи для передачи перехваченных данных мошеннику, предупреждая его об успешном завершении атаки.
Одна из наиболее примечательных функций — триггер для генерации запроса QR-кода. Многие популярные сервисы, такие как WhatsApp, Discord и TikTok, предлагают форму входа через QR-код, что делает их уязвимыми для атак такого типа. V3B использует расширение браузера для получения QR-кодов с сайта сервиса, а затем перенаправляет жертву на фишинговый сайт. Если жертва сканирует код, злоумышленник получает доступ к учетной записи.
Конечно, технологии, используемые банками для аутентификации клиентов, могут различаться. Однако тот факт, что мошенники начали внедрять поддержку альтернативных механизмов проверки, а не полагаться исключительно на традиционные методы на основе SMS, может подтвердить проблемы, с которыми команды по предотвращению мошенничества столкнутся при борьбе с захватом учетных записей как физических, так и юридических клиентов.
Чтобы защититься от атак фишингового комплекта V3B, внимательно проверяйте адрес отправителя электронных писем, не вводите личные данные на незнакомых сайтах и включайте многофакторную аутентификацию (MFA) для дополнительной безопасности.
🔔 ITsec NEWS
💬Специалисты Resecurity обнаружили новый фишинговый комплект V3B, который нацелен на клиентов европейских банков.
Согласно отчету Resecurity, группа киберпреступников продает фишинговый комплект V3B через Telegram. Один из членов группы, известный под псевдонимом «Vssrtje», начал кампанию в марте 2023 года. Стоимость комплекта варьируется от $130 до $450 в месяц.
На данный момент комплект V3B привлек более 1255 опытных киберпреступников, занимающихся мошенничеством, включая социальную инженерию, схемы подмена SIM-карт (SIM Swapping) и банковское мошенничество. Фишинговый комплект V3B нацелен на более чем 54 финансовых учреждений стран Евросоюза.
Фишинговый комплект V3B способен перехватывать конфиденциальную информацию, включая учетные данные и коды OTP (одноразовые пароли), используя методы социальной инженерии. Комплект состоит из двух компонентов: системы перехвата учетных данных на основе сценариев (Scenario-Based Credential Interception System, V3B) и страниц авторизации для онлайн-банкинга.
Комплект основан на кастомизированной CMS и включает шаблоны на нескольких языках (финский, французский, итальянский, польский и немецкий). V3B имитирует процессы аутентификации и верификации в онлайн-банкинге и системах электронной коммерции ЕС. Также V3B обладает продвинутыми функциями, такими как обновляемые токены, меры против ботов, интерфейсы для мобильных и настольных устройств, живой чат и поддержка OTP/TAN/2FA.
Код фишлетов также запутывается (с помощью JavaScript) несколькими способами, чтобы избежать обнаружения антифишинговыми системами и поисковыми системами, а также защитить исходные коды от анализа сигнатур.
Посредством взаимодействия в реальном времени с жертвами, фишинговый комплект V3B позволяет мошенникам получать несанкционированный доступ или способствовать проведению мошеннических транзакций. Фишинговый комплект использует API Telegram в качестве канала связи для передачи перехваченных данных мошеннику, предупреждая его об успешном завершении атаки.
Одна из наиболее примечательных функций — триггер для генерации запроса QR-кода. Многие популярные сервисы, такие как WhatsApp, Discord и TikTok, предлагают форму входа через QR-код, что делает их уязвимыми для атак такого типа. V3B использует расширение браузера для получения QR-кодов с сайта сервиса, а затем перенаправляет жертву на фишинговый сайт. Если жертва сканирует код, злоумышленник получает доступ к учетной записи.
Конечно, технологии, используемые банками для аутентификации клиентов, могут различаться. Однако тот факт, что мошенники начали внедрять поддержку альтернативных механизмов проверки, а не полагаться исключительно на традиционные методы на основе SMS, может подтвердить проблемы, с которыми команды по предотвращению мошенничества столкнутся при борьбе с захватом учетных записей как физических, так и юридических клиентов.
Чтобы защититься от атак фишингового комплекта V3B, внимательно проверяйте адрес отправителя электронных писем, не вводите личные данные на незнакомых сайтах и включайте многофакторную аутентификацию (MFA) для дополнительной безопасности.
🔔 ITsec NEWS
⚡️Тьма – их союзник: 76% атак вымогателей происходят вне рабочего времени
💬Согласно новому отчету Mandiant, в 2023 году значительно возросла активность программ-вымогателей. Количество публикаций на сайтах утечек данных увеличилось на 75% по сравнению с предыдущим годом, а число расследований Mandiant возросло более чем на 20%.
Особое внимание привлек тот факт, что около 33% новых семейств вымогательского ПО в 2023 году оказались вариантами ранее известных программ. Злоумышленники продолжают использовать легитимные и коммерчески доступные инструменты для реализации своих атак, что отмечает снижение использования Cobalt Strike Beacon и рост применения легитимных средств удаленного доступа.
В 33% инцидентов вымогательское ПО было развернуто в течение 48 часов с момента первого доступа киберпреступников. Более 76% всех развертываний произошли вне рабочего времени, преимущественно рано утром. Это подчеркивает, насколько важно для организаций быть наготове круглосуточно.
По мнению специалистов Mandiant, рост активности вымогательского ПО в 2023 году частично связан с восстановлением киберпреступной экосистемы после бурного 2022 года, когда наблюдался спад из-за политических факторов и утечки чатов Conti. В 2023 году киберпреступники вернулись к активным действиям, используя новые тактики, техники и процедуры (TTPs) для увеличения давления на жертв.
Атаки вымогателей в 2023 году затронули организации в более чем 110 странах, причем среди жертв оказались компании из всех отраслей. Особую тревогу вызывает тенденция вымогателей к нападениям на пациентов медицинских учреждений. Вымогатели угрожают обнародовать личные данные пациентов и даже совершают ложные вызовы экстренных служб, чтобы усилить давление на медицинские организации.
В 2023 году количество публикаций на сайтах утечек данных достигло рекордного уровня с более чем 1300 постами в третьем квартале. Число уникальных сайтов с хотя бы одной публикацией увеличилось на 15%, а число новых сайтов утечек данных выросло на 30% по сравнению с 2022 годом. Примерно 30% публикаций в 2023 году были на новых сайтах, связанных с различными семьями вымогательского ПО, такими как ROYALLOCKER.BLACKSUIT, RHYSIDA и REDBIKE.
По мнению специалистов Mandiant, одной из эффективных мер защиты от программ-вымогателей является использование стратегий защиты и сдерживания угроз, которые включают в себя повышение безопасности инфраструктуры, идентификационных данных и конечных точек.
🔔 ITsec NEWS
💬Согласно новому отчету Mandiant, в 2023 году значительно возросла активность программ-вымогателей. Количество публикаций на сайтах утечек данных увеличилось на 75% по сравнению с предыдущим годом, а число расследований Mandiant возросло более чем на 20%.
Особое внимание привлек тот факт, что около 33% новых семейств вымогательского ПО в 2023 году оказались вариантами ранее известных программ. Злоумышленники продолжают использовать легитимные и коммерчески доступные инструменты для реализации своих атак, что отмечает снижение использования Cobalt Strike Beacon и рост применения легитимных средств удаленного доступа.
В 33% инцидентов вымогательское ПО было развернуто в течение 48 часов с момента первого доступа киберпреступников. Более 76% всех развертываний произошли вне рабочего времени, преимущественно рано утром. Это подчеркивает, насколько важно для организаций быть наготове круглосуточно.
По мнению специалистов Mandiant, рост активности вымогательского ПО в 2023 году частично связан с восстановлением киберпреступной экосистемы после бурного 2022 года, когда наблюдался спад из-за политических факторов и утечки чатов Conti. В 2023 году киберпреступники вернулись к активным действиям, используя новые тактики, техники и процедуры (TTPs) для увеличения давления на жертв.
Атаки вымогателей в 2023 году затронули организации в более чем 110 странах, причем среди жертв оказались компании из всех отраслей. Особую тревогу вызывает тенденция вымогателей к нападениям на пациентов медицинских учреждений. Вымогатели угрожают обнародовать личные данные пациентов и даже совершают ложные вызовы экстренных служб, чтобы усилить давление на медицинские организации.
В 2023 году количество публикаций на сайтах утечек данных достигло рекордного уровня с более чем 1300 постами в третьем квартале. Число уникальных сайтов с хотя бы одной публикацией увеличилось на 15%, а число новых сайтов утечек данных выросло на 30% по сравнению с 2022 годом. Примерно 30% публикаций в 2023 году были на новых сайтах, связанных с различными семьями вымогательского ПО, такими как ROYALLOCKER.BLACKSUIT, RHYSIDA и REDBIKE.
По мнению специалистов Mandiant, одной из эффективных мер защиты от программ-вымогателей является использование стратегий защиты и сдерживания угроз, которые включают в себя повышение безопасности инфраструктуры, идентификационных данных и конечных точек.
🔔 ITsec NEWS
⚡️Киберлето в Санкт-Петербурге: Positive Technologies и музей «Гранд Макет Россия» запустили совместный спецпроект
💬Компания Positive Technologies запустила просветительский проект совместно с национальным шоу-музеем « Гранд Макет Россия ». На протяжении всего лета посетители музея в Санкт-Петербурге смогут узнать много полезного и интересного о хакерах, кибератаках и правилах безопасного поведения в виртуальном мире, а также повысить свою цифровую грамотность.
Кибербезопасность сегодня касается всех: дети начинают пользоваться электронными устройствами буквально с пеленок, поэтому и навыки киберграмотности им нужно прививать с самого детства. Различные игровые форматы помогают сделать процесс обучения увлекательным и эффективным. В апреле в московском метро при участии экспертов компании Positive Technologies и поддержке Минцифры был запущен тематический поезд , посвященный вопросам кибергигиены, а в мае в столице прошел масштабный киберфестиваль Positive Hack Days 2 со множеством конкурсов, квестов и лекций для широкой публики, а также кибербитва Standoff.
«С помощью нового развлекательно-познавательного проекта мы рассказываем о кибербезопасности и взрослым, и детям. Это хороший способ прокачать киберграмотность. Хакеры коварны и изобретательны, но не всесильны — если соблюдать простейшие правила кибергигиены, мы сможем успешно им противостоять», - отметили в компании.
Специальный проект музея «Гранд Макет Россия» и Positive Technologies поможет посетителям освоить азы цифровой гигиены: например, они смогут научиться безопасно совершать покупки онлайн, выявлять фишинговые письма и телефонных мошенников. Здесь же гости узнают, как защищать личные данные, создавать надежные пароли и действовать при кибербуллинге.
Параллельно с осмотром макета гости смогут пройти познавательный квест для повышения уровня киберграмотности. Участники выберут себе аватара или создадут собственного, пройдут по всем этапам игры, находя размещенные на макете подсказки и отвечая на различные блоки вопросов. В финале гости получат промокод, позволяющий сделать фото с космонавтом POSI с помощью интерактивной стойки.
Трижды в день посетители музея смогут своими глазами наблюдать на макете за реализацией пяти недопустимых событий и их последствиями. Гости узнают, почему уязвимы ветряные электростанции, как хакеры могут нарушить движение поездов и устроить блэкаут в целом городе. Кроме того, они увидят, как в результате кибератак можно заблокировать канатную дорогу и взломать спутниковое телевидение.
«Гранд Макет Россия» — самый большой макет России в мире площадью 800 квадратных метров, который является художественным воплощением образа России — от ее дальневосточных рубежей до янтарного побережья Балтийского моря. Гордость музея — система подсветки, визуализирующая смену дня и ночи. Каждые пятнадцать минут на макете наступает ночь, которая постепенно движется с востока на запад. Для освещения макета в это время используется почти 800 тысяч светодиодов.
🔔 ITsec NEWS
💬Компания Positive Technologies запустила просветительский проект совместно с национальным шоу-музеем « Гранд Макет Россия ». На протяжении всего лета посетители музея в Санкт-Петербурге смогут узнать много полезного и интересного о хакерах, кибератаках и правилах безопасного поведения в виртуальном мире, а также повысить свою цифровую грамотность.
Кибербезопасность сегодня касается всех: дети начинают пользоваться электронными устройствами буквально с пеленок, поэтому и навыки киберграмотности им нужно прививать с самого детства. Различные игровые форматы помогают сделать процесс обучения увлекательным и эффективным. В апреле в московском метро при участии экспертов компании Positive Technologies и поддержке Минцифры был запущен тематический поезд , посвященный вопросам кибергигиены, а в мае в столице прошел масштабный киберфестиваль Positive Hack Days 2 со множеством конкурсов, квестов и лекций для широкой публики, а также кибербитва Standoff.
«С помощью нового развлекательно-познавательного проекта мы рассказываем о кибербезопасности и взрослым, и детям. Это хороший способ прокачать киберграмотность. Хакеры коварны и изобретательны, но не всесильны — если соблюдать простейшие правила кибергигиены, мы сможем успешно им противостоять», - отметили в компании.
Специальный проект музея «Гранд Макет Россия» и Positive Technologies поможет посетителям освоить азы цифровой гигиены: например, они смогут научиться безопасно совершать покупки онлайн, выявлять фишинговые письма и телефонных мошенников. Здесь же гости узнают, как защищать личные данные, создавать надежные пароли и действовать при кибербуллинге.
Параллельно с осмотром макета гости смогут пройти познавательный квест для повышения уровня киберграмотности. Участники выберут себе аватара или создадут собственного, пройдут по всем этапам игры, находя размещенные на макете подсказки и отвечая на различные блоки вопросов. В финале гости получат промокод, позволяющий сделать фото с космонавтом POSI с помощью интерактивной стойки.
Трижды в день посетители музея смогут своими глазами наблюдать на макете за реализацией пяти недопустимых событий и их последствиями. Гости узнают, почему уязвимы ветряные электростанции, как хакеры могут нарушить движение поездов и устроить блэкаут в целом городе. Кроме того, они увидят, как в результате кибератак можно заблокировать канатную дорогу и взломать спутниковое телевидение.
«Гранд Макет Россия» — самый большой макет России в мире площадью 800 квадратных метров, который является художественным воплощением образа России — от ее дальневосточных рубежей до янтарного побережья Балтийского моря. Гордость музея — система подсветки, визуализирующая смену дня и ночи. Каждые пятнадцать минут на макете наступает ночь, которая постепенно движется с востока на запад. Для освещения макета в это время используется почти 800 тысяч светодиодов.
🔔 ITsec NEWS
⚡️Zero Day в TikTok: взломаны аккаунты знаменитостей и брендов
💬 TikTok потрясен новой волной кибератак, в результате которых были скомпрометированы официальные аккаунты знаменитостей и брендов, включая учетные записи CNN, Sony и Пэрис Хилтон. Об этом сообщило издание Forbes на основании информации от источников внутри компании.
Зловредный код распространяется через личные сообщения внутри приложения TikTok. Удивительно, но для заражения устройства пользователю достаточно просто открыть сообщение — не нужно ничего скачивать, нажимать или отвечать. Взломанные аккаунты не публикуют новый контент, и на данный момент неизвестно, сколько пользователей пострадало от атаки.
Представитель TikTok отметил, что служба безопасности компании осведомлена о возможной Zero-day уязвимости, нацеленной на ряд аккаунтов брендов и знаменитостей. TikTok принял меры, чтобы остановить атаку и предотвратить подобные инциденты в будущем, а также работает с владельцами пострадавших аккаунтов для восстановления доступа.
В TikTok заявили, что количество скомпрометированных аккаунтов оказалось «очень небольшим», но отказались назвать конкретное число или предоставить подробности о том, как TikTok защищает другие уязвимые аккаунты. У TikTok более миллиарда пользователей по всему миру.
На вопрос о том, продолжают ли хакеры активные действия по компрометации аккаунтов, представитель соцсети не ответил. Представители Пэрис Хилтон, CNN и Sony также не ответили на запросы о комментариях.
Издание Semafor сообщило, что из-за взлома аккаунта на прошлой неделе CNN вынужденно деактивировала учетную запись на несколько дней. Представитель CNN сообщил, что компания работает с TikTok над дополнительными мерами кибербезопасности.
Добавим, что практики работы TikTok находятся под пристальным вниманием законодателей США. Существует опасение, что китайское правительство может использовать материнскую компанию ByteDance для шпионажа за американцами или влияния на отображаемые им сообщения. Такие опасения вылились в целый закон, который требует от ByteDance продать приложение США – иначе TikTok будет запрещен в стране. TikTok и ByteDance оспаривают закон в суде.
Ранее бывший министр финансов США Стивен Мнучин предложил реконструировать приложение с нуля. Мнучин предлагает приобрести приложение без кода, подпадающего под экспортные ограничения, что потребует полной перестройки сервиса. Такая мера, по мнению Мнучина, может позволить приобрести TikTok по сниженной цене.
Также, в ответ на регулирование деятельности приложения, TikTok разрабатывает клон своего алгоритма рекомендаций для 170 миллионов пользователей в США. Американская версия будет работать независимо от ByteDance и удовлетворит законодателей США.
🔔 ITsec NEWS
💬 TikTok потрясен новой волной кибератак, в результате которых были скомпрометированы официальные аккаунты знаменитостей и брендов, включая учетные записи CNN, Sony и Пэрис Хилтон. Об этом сообщило издание Forbes на основании информации от источников внутри компании.
Зловредный код распространяется через личные сообщения внутри приложения TikTok. Удивительно, но для заражения устройства пользователю достаточно просто открыть сообщение — не нужно ничего скачивать, нажимать или отвечать. Взломанные аккаунты не публикуют новый контент, и на данный момент неизвестно, сколько пользователей пострадало от атаки.
Представитель TikTok отметил, что служба безопасности компании осведомлена о возможной Zero-day уязвимости, нацеленной на ряд аккаунтов брендов и знаменитостей. TikTok принял меры, чтобы остановить атаку и предотвратить подобные инциденты в будущем, а также работает с владельцами пострадавших аккаунтов для восстановления доступа.
В TikTok заявили, что количество скомпрометированных аккаунтов оказалось «очень небольшим», но отказались назвать конкретное число или предоставить подробности о том, как TikTok защищает другие уязвимые аккаунты. У TikTok более миллиарда пользователей по всему миру.
На вопрос о том, продолжают ли хакеры активные действия по компрометации аккаунтов, представитель соцсети не ответил. Представители Пэрис Хилтон, CNN и Sony также не ответили на запросы о комментариях.
Издание Semafor сообщило, что из-за взлома аккаунта на прошлой неделе CNN вынужденно деактивировала учетную запись на несколько дней. Представитель CNN сообщил, что компания работает с TikTok над дополнительными мерами кибербезопасности.
Добавим, что практики работы TikTok находятся под пристальным вниманием законодателей США. Существует опасение, что китайское правительство может использовать материнскую компанию ByteDance для шпионажа за американцами или влияния на отображаемые им сообщения. Такие опасения вылились в целый закон, который требует от ByteDance продать приложение США – иначе TikTok будет запрещен в стране. TikTok и ByteDance оспаривают закон в суде.
Ранее бывший министр финансов США Стивен Мнучин предложил реконструировать приложение с нуля. Мнучин предлагает приобрести приложение без кода, подпадающего под экспортные ограничения, что потребует полной перестройки сервиса. Такая мера, по мнению Мнучина, может позволить приобрести TikTok по сниженной цене.
Также, в ответ на регулирование деятельности приложения, TikTok разрабатывает клон своего алгоритма рекомендаций для 170 миллионов пользователей в США. Американская версия будет работать независимо от ByteDance и удовлетворит законодателей США.
🔔 ITsec NEWS
⚡️Zyxel не бросила старые NAS: свежие патчи устраняют сразу три уязвимости
💬 Компания Zyxel выпустила экстренное обновление безопасности для устранения трёх критических уязвимостей в старых моделях NAS-устройств, срок поддержки которых уже истёк.
Уязвимости затрагивают модели NAS326 с прошивкой версии 5.21(AAZF.16)C0 и ранее, а также NAS542 с прошивкой версии 5.21(ABAG.13)C0 и старше.
Эти уязвимости позволяют злоумышленникам выполнять внедрение команд и удалённое выполнение кода. Однако две другие уязвимости, связанные с повышением привилегий и раскрытием информации, не были устранены в этих устройствах. Кто знает, возможно, компания устранит и эти проблемы позже.
Тимоти Хьорт, исследователь безопасности из компании Outpost24, обнаружил и сообщил о всех пяти уязвимостях в Zyxel. Вчера, четвёртого июня, Хьорт опубликовал подробный отчёт и демонстрацию работы PoC-эксплойтов в координации с компанией Zyxel.
Уязвимости, которые были исправлены, включают:
CVE-2024-29972. Уязвимость командной инъекции в программе CGI («remote_help-cgi»), позволяющая неаутентифицированному атакующему отправить специально сформированный HTTP POST-запрос для выполнения команд ОС с использованием учётной записи NsaRescueAngel с привилегиями root.
CVE-2024-29973. Уязвимость внедрения команд в параметре «setCookie», позволяющая атакующему отправить специально сформированный HTTP POST-запрос для выполнения системных команд.
CVE-2024-29974. Ошибка удалённого выполнения кода в программе CGI («file_upload-cgi»), позволяющая неаутентифицированному атакующему загрузить вредоносные конфигурационные файлы на устройство.
Не исправлены следующие уязвимости:
CVE-2024-29975. Ошибка управления привилегиями в исполняемом бинарном файле SUID, позволяющая аутентифицированному локальному атакующему с правами администратора выполнять системные команды от имени пользователя root.
CVE-2024-29976. Проблема управления привилегиями в команде «show_allsessions», позволяющая аутентифицированному атакующему получить информацию о сессиях, включая активные cookie-файлы администратора.
Хотя поддержка данных моделей NAS завершилась 31 декабря 2023 года, Zyxel выпустила исправления для трёх критических уязвимостей в версиях 5.21(AAZF.17)C0 для NAS326 и 5.21(ABAG.14)C0 для NAS542. Это выгодно выделяет компанию на фоне конкурентов, которые зачастую отказываются выпускать исправления для вышедшего из цикла поддержки оборудования.
Представители Zyxel сообщают, что на данный момент не зафиксировано случаев эксплуатации уязвимостей в реальных условиях. Однако, учитывая наличие публичных доказательств концепции эксплойтов, владельцам устройств рекомендуется как можно скорее применить обновления безопасности.
🔔 ITsec NEWS
💬 Компания Zyxel выпустила экстренное обновление безопасности для устранения трёх критических уязвимостей в старых моделях NAS-устройств, срок поддержки которых уже истёк.
Уязвимости затрагивают модели NAS326 с прошивкой версии 5.21(AAZF.16)C0 и ранее, а также NAS542 с прошивкой версии 5.21(ABAG.13)C0 и старше.
Эти уязвимости позволяют злоумышленникам выполнять внедрение команд и удалённое выполнение кода. Однако две другие уязвимости, связанные с повышением привилегий и раскрытием информации, не были устранены в этих устройствах. Кто знает, возможно, компания устранит и эти проблемы позже.
Тимоти Хьорт, исследователь безопасности из компании Outpost24, обнаружил и сообщил о всех пяти уязвимостях в Zyxel. Вчера, четвёртого июня, Хьорт опубликовал подробный отчёт и демонстрацию работы PoC-эксплойтов в координации с компанией Zyxel.
Уязвимости, которые были исправлены, включают:
CVE-2024-29972. Уязвимость командной инъекции в программе CGI («remote_help-cgi»), позволяющая неаутентифицированному атакующему отправить специально сформированный HTTP POST-запрос для выполнения команд ОС с использованием учётной записи NsaRescueAngel с привилегиями root.
CVE-2024-29973. Уязвимость внедрения команд в параметре «setCookie», позволяющая атакующему отправить специально сформированный HTTP POST-запрос для выполнения системных команд.
CVE-2024-29974. Ошибка удалённого выполнения кода в программе CGI («file_upload-cgi»), позволяющая неаутентифицированному атакующему загрузить вредоносные конфигурационные файлы на устройство.
Не исправлены следующие уязвимости:
CVE-2024-29975. Ошибка управления привилегиями в исполняемом бинарном файле SUID, позволяющая аутентифицированному локальному атакующему с правами администратора выполнять системные команды от имени пользователя root.
CVE-2024-29976. Проблема управления привилегиями в команде «show_allsessions», позволяющая аутентифицированному атакующему получить информацию о сессиях, включая активные cookie-файлы администратора.
Хотя поддержка данных моделей NAS завершилась 31 декабря 2023 года, Zyxel выпустила исправления для трёх критических уязвимостей в версиях 5.21(AAZF.17)C0 для NAS326 и 5.21(ABAG.14)C0 для NAS542. Это выгодно выделяет компанию на фоне конкурентов, которые зачастую отказываются выпускать исправления для вышедшего из цикла поддержки оборудования.
Представители Zyxel сообщают, что на данный момент не зафиксировано случаев эксплуатации уязвимостей в реальных условиях. Однако, учитывая наличие публичных доказательств концепции эксплойтов, владельцам устройств рекомендуется как можно скорее применить обновления безопасности.
🔔 ITsec NEWS
⚡️Premo: представлен первый в мире беспроводной процессор
💬Токийский стартап Premo (от латинского слова «быть рядом») представил первый в мире прототип процессора с беспроводными межчиповыми соединениями.
Новый чип использует собственную технологию компании под названием Dualibus , разработанную в сотрудничестве с лабораторией Ириэ и Кадомото при Высшей школе информационных наук и технологий Токийского университета.
Обычно полупроводниковые чипы требуют физических плат и проводки для передачи сигналов между чипами, но технология Dualibus использует принципы магнитного поля для беспроводной связи между чипами.
Компания Premo заявляет, что её чип объединяет в себе процессор, сенсор, источник питания и модуль связи. Используя технологию беспроводного соединения чипов и собственный дизайн процессора, удалось создать миниатюрное устройство, которое значительно уменьшает потребность в печатных платах и проводке.
Компания, основанная в феврале 2020 года, видит применение своей технологии в различных отраслях, таких как инфраструктура, транспорт, потребительские товары, животноводство и интернет вещей (IoT). Чип может быть установлен в местах, где использование традиционных громоздких процессоров невозможно.
Чипы с технологией Dualibus могут уменьшить количество контактных площадок на кремниевых пластинах, что позволит более эффективно использовать полупроводниковую площадь и создавать устройства меньшего размера и гибкой формы. Premo отмечает: «Благодаря близкому расположению и беспроводному соединению между передающей катушкой в большом пальце и приемной катушкой в суставе пальца, технология может быть использована как новый интерфейс пользователя в AR/VR-средах».
Прорыв Premo может проложить путь к созданию более экономичных чипов, которые используют меньше сырья. В настоящее время компания исследует возможность создания поступаковочных чиплетов путем размещения чипов размером с миллиметр.
🔔 ITsec NEWS
💬Токийский стартап Premo (от латинского слова «быть рядом») представил первый в мире прототип процессора с беспроводными межчиповыми соединениями.
Новый чип использует собственную технологию компании под названием Dualibus , разработанную в сотрудничестве с лабораторией Ириэ и Кадомото при Высшей школе информационных наук и технологий Токийского университета.
Обычно полупроводниковые чипы требуют физических плат и проводки для передачи сигналов между чипами, но технология Dualibus использует принципы магнитного поля для беспроводной связи между чипами.
Компания Premo заявляет, что её чип объединяет в себе процессор, сенсор, источник питания и модуль связи. Используя технологию беспроводного соединения чипов и собственный дизайн процессора, удалось создать миниатюрное устройство, которое значительно уменьшает потребность в печатных платах и проводке.
Компания, основанная в феврале 2020 года, видит применение своей технологии в различных отраслях, таких как инфраструктура, транспорт, потребительские товары, животноводство и интернет вещей (IoT). Чип может быть установлен в местах, где использование традиционных громоздких процессоров невозможно.
Чипы с технологией Dualibus могут уменьшить количество контактных площадок на кремниевых пластинах, что позволит более эффективно использовать полупроводниковую площадь и создавать устройства меньшего размера и гибкой формы. Premo отмечает: «Благодаря близкому расположению и беспроводному соединению между передающей катушкой в большом пальце и приемной катушкой в суставе пальца, технология может быть использована как новый интерфейс пользователя в AR/VR-средах».
Прорыв Premo может проложить путь к созданию более экономичных чипов, которые используют меньше сырья. В настоящее время компания исследует возможность создания поступаковочных чиплетов путем размещения чипов размером с миллиметр.
🔔 ITsec NEWS
⚡️Атака на «Snowflake» может стать одной из крупнейших утечек данных в истории
💬На прошлой неделе, благодаря отчёту компании Hudson Rock, стало известно, что на облачную компанию Snowflake была совершена кибератака, в ходе которой были похищены конфиденциальные данные клиентов Snowflake — компаний Ticketmaster и Santander.
Сама Snowflake отреагировала на информацию о потенциальном взломе своих систем крайне негативно. После непродолжительного расследования компания заявила, что её никто не взламывал, а в сторону Hudson Rock было направлено требование удалить ИБ-отчёт, так как информация в нём якобы «не соответствует действительности».
Однако, как оказалось позже, — ещё как соответствует. После привлечения к расследованию компаний Mandiant и CrowdStrike, оказалось, что злоумышленники действительно пытались получить доступ к учётным записям клиентов Snowflake, используя украденные логины и пароли. Как можно догадаться, им успешно удалось это сделать.
За прошедшие дни в киберпространстве появилось сразу несколько заявлений киберпреступников о продаже украденных данных ещё двух крупных компаний, якобы тоже полученных из систем Snowflake. Одновременно издание TechCrunch сообщило о сотнях паролей клиентов Snowflake, оказавшихся в открытом доступе.
Масштабы атаки на клиентов Snowflake, личности нападавших и работа вредоносного инструмента «rapeflake» пока неясны. Однако инцидент подчёркивает рост использования инфостилеров — вредоносных программ для кражи данных в последние годы и необходимость многофакторной аутентификации для защиты учетных записей.
Большая часть инцидента с Snowflake разворачивалась на хакерском форуме BreachForums. ФБР закрыло форум в мае, но он быстро возобновил работу, и члены группы ShinyHunters заявили о продаже 560 млн записей Tickеtmaster и 30 млн Santander. Вероятно, именно ShinyHunters стоит за взломом Snowflake.
Как Tickеtmaster, так и Santander— быстро подтвердили утечки данных, причём обе указали, что не были взломаны напрямую, а пострадали базы данных у стороннего провайдера, которым, судя по всему, в данной ситуации и является Snowflake.
В последние дни на BreachForums появились сообщения о предполагаемых утечках данных из Advance Auto Parts (380 млн клиентских записей) и LendingTree с дочерней QuoteWizard (190 млн записей). Некоторые опубликованные email-адреса сотрудников и клиентов Advance Auto Parts оказались действительными.
Представитель Advance Auto Parts Дэррил Карр заявил, что компания расследует возможную утечку, связанную со Snowflake. LendingTree пока не прокомментировала ситуацию.
Snowflake в своём блоге признала, что учётные записи попали в руки злоумышленников из-за использования логинов и паролей, похищенных инфостилерами. Компания не нашла доказательств компрометации своих сотрудников и выявила доступ только к демо-аккаунту бывшего работника. Однако, судя по масштабу утечек, необходимый уровень доступа у хакеров всё же есть.
Инцидент показывает тесную интеграцию компаний, использующих сторонние сервисы. По словам эксперта Тори Ханта, это признание того, насколько сложно в современных цифровых реалиях контролировать безопасность сторонних поставщиков.
В ответ на атаки Snowflake рекомендовала клиентам включить многофакторную аутентификацию и разрешить доступ только из авторизованных источников. Компаниям, пострадавшим от утечек, следует сбросить свои пароли Snowflake.
Что касательно инфостилеров, которые Snowflake винит в атаке, в последние годы, особенно в пандемию, их использование для кражи логинов, паролей, файлов с устройств — значительно выросло. Кроме того, по словам Иэна Грея из Flashpoint, из-за высокого спроса появилось множество недорогих инфостилеров, доступных буквально каждому злоумышленнику.
«Эти программы разными способами крадут конфиденциальную информацию: cookie, учётные данные, кредитки, криптокошельки. А затем, с помощью полученных данных, хакеры пытаются проникнуть в корпоративные учётные записи», — объясняет Грей.
🔔 ITsec NEWS
💬На прошлой неделе, благодаря отчёту компании Hudson Rock, стало известно, что на облачную компанию Snowflake была совершена кибератака, в ходе которой были похищены конфиденциальные данные клиентов Snowflake — компаний Ticketmaster и Santander.
Сама Snowflake отреагировала на информацию о потенциальном взломе своих систем крайне негативно. После непродолжительного расследования компания заявила, что её никто не взламывал, а в сторону Hudson Rock было направлено требование удалить ИБ-отчёт, так как информация в нём якобы «не соответствует действительности».
Однако, как оказалось позже, — ещё как соответствует. После привлечения к расследованию компаний Mandiant и CrowdStrike, оказалось, что злоумышленники действительно пытались получить доступ к учётным записям клиентов Snowflake, используя украденные логины и пароли. Как можно догадаться, им успешно удалось это сделать.
За прошедшие дни в киберпространстве появилось сразу несколько заявлений киберпреступников о продаже украденных данных ещё двух крупных компаний, якобы тоже полученных из систем Snowflake. Одновременно издание TechCrunch сообщило о сотнях паролей клиентов Snowflake, оказавшихся в открытом доступе.
Масштабы атаки на клиентов Snowflake, личности нападавших и работа вредоносного инструмента «rapeflake» пока неясны. Однако инцидент подчёркивает рост использования инфостилеров — вредоносных программ для кражи данных в последние годы и необходимость многофакторной аутентификации для защиты учетных записей.
Большая часть инцидента с Snowflake разворачивалась на хакерском форуме BreachForums. ФБР закрыло форум в мае, но он быстро возобновил работу, и члены группы ShinyHunters заявили о продаже 560 млн записей Tickеtmaster и 30 млн Santander. Вероятно, именно ShinyHunters стоит за взломом Snowflake.
Как Tickеtmaster, так и Santander— быстро подтвердили утечки данных, причём обе указали, что не были взломаны напрямую, а пострадали базы данных у стороннего провайдера, которым, судя по всему, в данной ситуации и является Snowflake.
В последние дни на BreachForums появились сообщения о предполагаемых утечках данных из Advance Auto Parts (380 млн клиентских записей) и LendingTree с дочерней QuoteWizard (190 млн записей). Некоторые опубликованные email-адреса сотрудников и клиентов Advance Auto Parts оказались действительными.
Представитель Advance Auto Parts Дэррил Карр заявил, что компания расследует возможную утечку, связанную со Snowflake. LendingTree пока не прокомментировала ситуацию.
Snowflake в своём блоге признала, что учётные записи попали в руки злоумышленников из-за использования логинов и паролей, похищенных инфостилерами. Компания не нашла доказательств компрометации своих сотрудников и выявила доступ только к демо-аккаунту бывшего работника. Однако, судя по масштабу утечек, необходимый уровень доступа у хакеров всё же есть.
Инцидент показывает тесную интеграцию компаний, использующих сторонние сервисы. По словам эксперта Тори Ханта, это признание того, насколько сложно в современных цифровых реалиях контролировать безопасность сторонних поставщиков.
В ответ на атаки Snowflake рекомендовала клиентам включить многофакторную аутентификацию и разрешить доступ только из авторизованных источников. Компаниям, пострадавшим от утечек, следует сбросить свои пароли Snowflake.
Что касательно инфостилеров, которые Snowflake винит в атаке, в последние годы, особенно в пандемию, их использование для кражи логинов, паролей, файлов с устройств — значительно выросло. Кроме того, по словам Иэна Грея из Flashpoint, из-за высокого спроса появилось множество недорогих инфостилеров, доступных буквально каждому злоумышленнику.
«Эти программы разными способами крадут конфиденциальную информацию: cookie, учётные данные, кредитки, криптокошельки. А затем, с помощью полученных данных, хакеры пытаются проникнуть в корпоративные учётные записи», — объясняет Грей.
🔔 ITsec NEWS
⚡️Артур Хэйес: Пора покупать биткоин
💬Необходимо открывать лонг по биткоину и позднее по шиткоинам. Подобную рекомендацию дал экс-CEO BitMEX Артур Хэйес, сославшись на изменение макроэкономического фона.
Эксперт обратил внимание на итоги встречи министров финансов и глав ЦБ G7. Одной из рассмотренных тем стала слабость японской иены против прочих резервных валют.
С этим решили бороться через снижение разницы в доходностях между гособлигациями Японии и ее союзников. Последнее станет возможно при смягчении монетарной политики стран G7, поскольку в японский центробанк ее удерживает на околонулевом уровне еще с 2009 года. Регулятор не может позволить себе резкое ужесточение, поскольку ему принадлежит свыше 50% долговых обязательств правительства страны.
На текущей неделе ЕЦБ и Банк Канады понизили ключевой параметр на 25 б. п. Хэйес подчеркнул, что это произошло в условиях превышения инфляцией целевого значения в 2%.
«Проблема в слабой иене. Я считаю, что „плохая девчонка” [глава Минфина США Джанет] Йеллен прекратила спектакль театра Кабуки с повышением ставки. Пришло время заняться сохранением мировой финансовой системы под руководством Pax Americana», — сделал вывод специалист.
Эксперт призвал следить за итоговым заявлением лидеров G7. По его мнению, оно может содержать решение о скоординированных действиях на валютном рынке или рынке облигаций с целью укрепления иены. Его отсутствие будет означать «молчаливое согласие» с необходимостью снижения центробанками кроме ЦБ Японии ключевых ставок.
Экс-CEO BitMEX считает базовым сценарий отсутствия смягчения со стороны ФРС, учитывая набор очков Джо Байденом в декларируемой борьбе с инфляцией в преддверии выборов в ноябре. При этом Хэйес не исключил, что Банк Англии снизит ставку раньше, чем сейчас ожидает рынок.
Эксперт признал, что ослабление политики Банком Канады и ЕЦБ заставило его пересмотреть ожидания касательно возврата криптовалют из «летнего штиля на путь в Северное полушарие». Тенденция очевидна, денежные регуляторы запустили цикл смягчения, добавил он.
«Мы знаем, как играть в эту игру. Это та же самая гребаная игра, в которую мы играем с 2009 года, когда наш Господь и Спаситель Сатоши [Накамото] дал нам оружие, чтобы победить дьявола TradFi», — написал Хэйес.
Специалист сообщил о планах вывода ликвидности из USDe в шиткоины. Он пообещал раскрыть свои позиции в дальнейшем.
«Криптобыки пробуждаются и вот-вот начнут рвать шкуры расточительных центральных банкиров», — заключил он.
Ранее Хэйес спрогнозировал рост биткоина к $70 000 до конца лета.
🔔 ITsec NEWS
💬Необходимо открывать лонг по биткоину и позднее по шиткоинам. Подобную рекомендацию дал экс-CEO BitMEX Артур Хэйес, сославшись на изменение макроэкономического фона.
Эксперт обратил внимание на итоги встречи министров финансов и глав ЦБ G7. Одной из рассмотренных тем стала слабость японской иены против прочих резервных валют.
С этим решили бороться через снижение разницы в доходностях между гособлигациями Японии и ее союзников. Последнее станет возможно при смягчении монетарной политики стран G7, поскольку в японский центробанк ее удерживает на околонулевом уровне еще с 2009 года. Регулятор не может позволить себе резкое ужесточение, поскольку ему принадлежит свыше 50% долговых обязательств правительства страны.
На текущей неделе ЕЦБ и Банк Канады понизили ключевой параметр на 25 б. п. Хэйес подчеркнул, что это произошло в условиях превышения инфляцией целевого значения в 2%.
«Проблема в слабой иене. Я считаю, что „плохая девчонка” [глава Минфина США Джанет] Йеллен прекратила спектакль театра Кабуки с повышением ставки. Пришло время заняться сохранением мировой финансовой системы под руководством Pax Americana», — сделал вывод специалист.
Эксперт призвал следить за итоговым заявлением лидеров G7. По его мнению, оно может содержать решение о скоординированных действиях на валютном рынке или рынке облигаций с целью укрепления иены. Его отсутствие будет означать «молчаливое согласие» с необходимостью снижения центробанками кроме ЦБ Японии ключевых ставок.
Экс-CEO BitMEX считает базовым сценарий отсутствия смягчения со стороны ФРС, учитывая набор очков Джо Байденом в декларируемой борьбе с инфляцией в преддверии выборов в ноябре. При этом Хэйес не исключил, что Банк Англии снизит ставку раньше, чем сейчас ожидает рынок.
Эксперт признал, что ослабление политики Банком Канады и ЕЦБ заставило его пересмотреть ожидания касательно возврата криптовалют из «летнего штиля на путь в Северное полушарие». Тенденция очевидна, денежные регуляторы запустили цикл смягчения, добавил он.
«Мы знаем, как играть в эту игру. Это та же самая гребаная игра, в которую мы играем с 2009 года, когда наш Господь и Спаситель Сатоши [Накамото] дал нам оружие, чтобы победить дьявола TradFi», — написал Хэйес.
Специалист сообщил о планах вывода ликвидности из USDe в шиткоины. Он пообещал раскрыть свои позиции в дальнейшем.
«Криптобыки пробуждаются и вот-вот начнут рвать шкуры расточительных центральных банкиров», — заключил он.
Ранее Хэйес спрогнозировал рост биткоина к $70 000 до конца лета.
🔔 ITsec NEWS
⚡️Спецслужбы Бангладеш сливают данные граждан в частные Telegram-каналы
💬В Бангладеш разразился скандал после того, как два высокопоставленных сотрудника антитеррористического отдела полиции были обвинены в продаже конфиденциальной информации граждан преступникам через Telegram. Как сообщает издание TechCrunch, эти данные включали национальные идентификационные сведения, записи телефонных звонков и прочую «секретную информацию».
По данным письма, подписанного старшим сотрудником местной разведки, генералом Мохаммадом Бейкером, продажа данных произошла в апреле этого года. В письме утверждается, что оба полицейских получили и передали «крайне конфиденциальную информацию» частных лиц в обмен на деньги. Расследование показало, что они регулярно злоупотребляли доступом к системе Национального центра мониторинга телекоммуникаций (NTMC), зачастую обращаясь к ней без необходимости.
Один из обвиняемых — суперинтендант полиции, служащий в Антитеррористическом управлении (ATU). Другой — помощник суперинтенданта полиции, работающий в батальоне быстрого реагирования (RAB), который в 2021 году был подвергнут санкциям со стороны США за связь с исчезновениями и внесудебными казнями.
NTMC, занимающаяся мониторингом телекоммуникаций и перехватом сообщений для обеспечения национальной безопасности, также уже долгое время подвергается критике за недостаток мер по защите свободы слова и неприкосновенности частной жизни. А в последние годы NTMC и вовсе закупала современное оборудование для массовой слежки у иностранных компаний, что лишь усугубило ситуацию.
На основе внутреннего расследования NTMC выяснилось, что полицейские использовали платформу Национальной разведывательной системы (NIP) чаще других, получая доступ к информации, не относящейся к их работе. Генерал Бейкер сообщил, что они отправляли эти данные администратору одного из Telegram-каналов, который затем пытался их продать.
В связи с инициированным расследованием доступ всех пользователей NIP из ATU и RAB был временно приостановлен. Если офицерам потребуется информация для расследований в этот промежуток времени, они смогут получить её в частном порядке на основании официального запроса.
Министерство внутренних дел и Антитеррористическое управление Бангладеш отказались комментировать сложившуюся ситуацию. Представитель Батальона быстрого реагирования также не предоставил никаких комментариев.
Хотя расследование продолжается, источник в местном правительстве сообщил журналистам, что в стране всё ещё остаётся предостаточно недобросовестных чиновников, готовых торговать данными граждан.
🔔 ITsec NEWS
💬В Бангладеш разразился скандал после того, как два высокопоставленных сотрудника антитеррористического отдела полиции были обвинены в продаже конфиденциальной информации граждан преступникам через Telegram. Как сообщает издание TechCrunch, эти данные включали национальные идентификационные сведения, записи телефонных звонков и прочую «секретную информацию».
По данным письма, подписанного старшим сотрудником местной разведки, генералом Мохаммадом Бейкером, продажа данных произошла в апреле этого года. В письме утверждается, что оба полицейских получили и передали «крайне конфиденциальную информацию» частных лиц в обмен на деньги. Расследование показало, что они регулярно злоупотребляли доступом к системе Национального центра мониторинга телекоммуникаций (NTMC), зачастую обращаясь к ней без необходимости.
Один из обвиняемых — суперинтендант полиции, служащий в Антитеррористическом управлении (ATU). Другой — помощник суперинтенданта полиции, работающий в батальоне быстрого реагирования (RAB), который в 2021 году был подвергнут санкциям со стороны США за связь с исчезновениями и внесудебными казнями.
NTMC, занимающаяся мониторингом телекоммуникаций и перехватом сообщений для обеспечения национальной безопасности, также уже долгое время подвергается критике за недостаток мер по защите свободы слова и неприкосновенности частной жизни. А в последние годы NTMC и вовсе закупала современное оборудование для массовой слежки у иностранных компаний, что лишь усугубило ситуацию.
На основе внутреннего расследования NTMC выяснилось, что полицейские использовали платформу Национальной разведывательной системы (NIP) чаще других, получая доступ к информации, не относящейся к их работе. Генерал Бейкер сообщил, что они отправляли эти данные администратору одного из Telegram-каналов, который затем пытался их продать.
В связи с инициированным расследованием доступ всех пользователей NIP из ATU и RAB был временно приостановлен. Если офицерам потребуется информация для расследований в этот промежуток времени, они смогут получить её в частном порядке на основании официального запроса.
Министерство внутренних дел и Антитеррористическое управление Бангладеш отказались комментировать сложившуюся ситуацию. Представитель Батальона быстрого реагирования также не предоставил никаких комментариев.
Хотя расследование продолжается, источник в местном правительстве сообщил журналистам, что в стране всё ещё остаётся предостаточно недобросовестных чиновников, готовых торговать данными граждан.
🔔 ITsec NEWS
⚡️Смерть SORBS: траур в сообществе антиспама
💬
Компания Proofpoint, занимающаяся разработкой программного обеспечения для кибербезопасности, прекратила работу своего сервиса по блокировке спама SORBS (Spam and Open Relay Blocking System). Этот сервис на протяжении многих лет предоставлял информацию о известных источниках спама, помогая создавать блок-листы.
SORBS обеспечивал бесплатный доступ к DNS-базе данных (DNSBL), включающей более 12 миллионов серверов, известных распространением спама, фишинговых атак и других вредоносных писем. Список сервиса обычно включал подозреваемые в отправке или пересылке спама почтовые серверы, взломанные и зараженные сервера, а также сервера с троянскими программами.
Сервис пользовался доверием более 200 тысяч организаций и был высоко оценен за свою точность. SORBS был создан более двадцати лет назад Мишель Салливан, которая управляла им как сотрудник Proofpoint из Австралии.
О причинах закрытия сервиса компания Proofpoint ответила: «Решение о прекращении работы продукта никогда не дается легко и было принято после тщательного рассмотрения различных факторов, влияющих на устойчивость сервиса. Мы можем подтвердить, что SORBS был выведен из эксплуатации 5 июня 2024 года, и сервис больше не содержит данных о репутации. Учитывая широкий выбор потенциальных замен на рынке, Proofpoint не может рекомендовать или одобрить какой-либо конкретный продукт; это зависит от потребностей организации».
После завершения работы SORBS его "Зоны" - 18 списков, каждый из которых был посвящен различным категориям спам-серверов, были очищены от данных. Однако в будущем восстановление информации в "Зонах" потребует минимальных усилий, поскольку кодовая база сервиса осталась нетронутой, что позволит относительно легко возобновить его работу.
Закрытие сервиса SORBS вызвало дискуссии в сообществе по борьбе со спамом о возможном приобретении и дальнейшем управлении этим ресурсом. За время своего существования SORBS претерпел несколько трансформаций. Изначально сервис размещался на инфраструктуре университета, где работала его основательница Мишель Салливан. Однако с ростом влияния и нагрузки на SORBS его пришлось передать компании GFI. Спустя несколько лет GFI передала управление сервисом компании Proofpoint, которая владела им до недавнего закрытия.
Как оказалось, затраты на хостинг и поддержку работы SORBS были настолько высоки, что для одного человека стало невозможно нести это бремя. Осведомленные источники уверены, что предложения о покупке SORBS обязательно поступят, в том числе и от организаций, связанных с распространением спама, которые на протяжении многих лет проявляли интерес к контролю над этим влиятельным сервисом в своих корыстных целях.
Сообщество специалистов по борьбе со спамом надеется, что законные организации возьмут на себя управление SORBS. Хотя существуют альтернативные блок-листы, такие как SpamCop и Spamhaus, прозрачные и открытые методы работы SORBS высоко ценились в течение всего периода его существования.
Прозрачность в работе блок-листов имеет первостепенное значение, поскольку операторы таких ресурсов могут значительно затруднить работу легитимных служб электронной почты. SORBS использовал систему поддержки и специалистов, которые тщательно рассматривали каждый случай попадания в списки. документировали эти обсуждения и сохраняли их в архивах. Таким образом, у сервиса были многолетние записи, подтверждающие, что SORBS не действовал произвольно или мстительно.
🔔 ITsec NEWS
💬
Компания Proofpoint, занимающаяся разработкой программного обеспечения для кибербезопасности, прекратила работу своего сервиса по блокировке спама SORBS (Spam and Open Relay Blocking System). Этот сервис на протяжении многих лет предоставлял информацию о известных источниках спама, помогая создавать блок-листы.
SORBS обеспечивал бесплатный доступ к DNS-базе данных (DNSBL), включающей более 12 миллионов серверов, известных распространением спама, фишинговых атак и других вредоносных писем. Список сервиса обычно включал подозреваемые в отправке или пересылке спама почтовые серверы, взломанные и зараженные сервера, а также сервера с троянскими программами.
Сервис пользовался доверием более 200 тысяч организаций и был высоко оценен за свою точность. SORBS был создан более двадцати лет назад Мишель Салливан, которая управляла им как сотрудник Proofpoint из Австралии.
О причинах закрытия сервиса компания Proofpoint ответила: «Решение о прекращении работы продукта никогда не дается легко и было принято после тщательного рассмотрения различных факторов, влияющих на устойчивость сервиса. Мы можем подтвердить, что SORBS был выведен из эксплуатации 5 июня 2024 года, и сервис больше не содержит данных о репутации. Учитывая широкий выбор потенциальных замен на рынке, Proofpoint не может рекомендовать или одобрить какой-либо конкретный продукт; это зависит от потребностей организации».
После завершения работы SORBS его "Зоны" - 18 списков, каждый из которых был посвящен различным категориям спам-серверов, были очищены от данных. Однако в будущем восстановление информации в "Зонах" потребует минимальных усилий, поскольку кодовая база сервиса осталась нетронутой, что позволит относительно легко возобновить его работу.
Закрытие сервиса SORBS вызвало дискуссии в сообществе по борьбе со спамом о возможном приобретении и дальнейшем управлении этим ресурсом. За время своего существования SORBS претерпел несколько трансформаций. Изначально сервис размещался на инфраструктуре университета, где работала его основательница Мишель Салливан. Однако с ростом влияния и нагрузки на SORBS его пришлось передать компании GFI. Спустя несколько лет GFI передала управление сервисом компании Proofpoint, которая владела им до недавнего закрытия.
Как оказалось, затраты на хостинг и поддержку работы SORBS были настолько высоки, что для одного человека стало невозможно нести это бремя. Осведомленные источники уверены, что предложения о покупке SORBS обязательно поступят, в том числе и от организаций, связанных с распространением спама, которые на протяжении многих лет проявляли интерес к контролю над этим влиятельным сервисом в своих корыстных целях.
Сообщество специалистов по борьбе со спамом надеется, что законные организации возьмут на себя управление SORBS. Хотя существуют альтернативные блок-листы, такие как SpamCop и Spamhaus, прозрачные и открытые методы работы SORBS высоко ценились в течение всего периода его существования.
Прозрачность в работе блок-листов имеет первостепенное значение, поскольку операторы таких ресурсов могут значительно затруднить работу легитимных служб электронной почты. SORBS использовал систему поддержки и специалистов, которые тщательно рассматривали каждый случай попадания в списки. документировали эти обсуждения и сохраняли их в архивах. Таким образом, у сервиса были многолетние записи, подтверждающие, что SORBS не действовал произвольно или мстительно.
🔔 ITsec NEWS
⚡️Борьба за свободу в эпоху ИИ: как иранские женщины сопротивляются цифровому контролю
💬Иранская Республика активно применяет искусственный интеллект (ИИ) для усиления контроля над населением, что особенно отражается на свободах женщин. Как сообщил Бехнам Бен Талеблу, старший научный сотрудник Фонда защиты демократий, «иранский режим внедряет ИИ, чтобы еще больше извлечь выгоду из технологий, объединяющих элементы распознавания лиц, видеонаблюдения, анализа сотовых телефонов, геолокации и интернет-мониторинга». Эти технологии помогают усилить киберпреследование уличных протестующих и женщин, которые неправильно носят хиджаб.
Новые инструменты ИИ станут ключевым элементом законопроекта «О хиджабе и целомудрии», который был одобрен иранским парламентом в сентябре 2023 года и ожидает ратификации Советом стражей. Талеблу отметил, что ИИ стал «вишенкой на торте цифрового подавления Ирана», позволяя освободить больше человеческих ресурсов для репрессивной деятельности.
Статья 30 законопроекта предписывает полиции «создавать и укреплять интеллектуальные системы для идентификации нарушителей с использованием стационарных и мобильных камер». Статья 60 обязывает частные предприятия передавать видеозаписи для проверки соблюдения правил. Нарушение этого требования может привести к потере прибыли на срок от двух до шести месяцев.
Женщины, которые не покрывают волосы должным образом, сталкиваются с штрафами, «социальной изоляцией, изгнанием, закрытием страниц в социальных сетях, конфискацией паспорта на срок до двух лет» и возможным тюремным заключением до 10 лет. Талеблу пояснил, что законопроект позволяет властям использовать ИИ для проведения «правовой и экономической войны против женщин», преследуя их дома, автомобили, банковские счета и источники дохода.
Эксперты ООН утверждают, что законопроект позволяет Ирану управлять «путем системной дискриминации с целью подавления женщин и девочек», что является гендерным преследованием или гендерным апартеидом.
Еще до принятия законопроекта режим начал подготовку к увеличению использования ИИ, устанавливая новые камеры по всей стране с апреля 2023 года. Amnesty International сообщила об увеличении давления на иранских женщин в период с 15 апреля по 14 июня 2023 года. За это время, по данным полиции, было отправлено «почти 1 миллион SMS с предупреждениями женщинам, которые были засняты без хиджаба в автомобилях», а также 133 174 сообщения о блокировке транспортных средств. Около 2000 автомобилей были конфискованы, и более 4000 «повторных нарушителей» были направлены в судебные органы Ирана.
Между апрелем 2023 года и мартом 2024 года Amnesty International установила , что полиция нравов «распорядилась о произвольной конфискации сотен тысяч транспортных средств» из-за неправильного покрытия женщин внутри. Свидетельства показывают, что приказы о конфискации основывались на изображениях, снятых камерами наблюдения, или сообщениях агентов в штатском, патрулирующих улицы и использующих полицейское приложение для фиксации номеров автомобилей. Amnesty также сообщила, что некоторых женщин приговаривали к тюремному заключению или порке, штрафовали или отправляли на «уроки нравственности».
Режим, вероятно, использовал ИИ во время протестов 2022 года после смерти Махсы Амини, избитой после ареста полицией нравов за слишком свободное ношение хиджаба. В октябре 2023 года США усилили запрет на экспорт чипов ИИ в Китай и Иран, чтобы ограничить доступ к передовым технологиям ИИ.
Талеблу предложил дополнительные методы контроля доступа к технологиям, которые могут «усилить цифровой или кибер-репрессивный аппарат Ирана». Он рекомендовал США сотрудничать с европейскими компаниями для увеличения экспортного контроля и отслеживания новых китайских технологических дочерних компаний, работающих в Иране. Постоянное разоблачение и санкционирование новых фирм увеличивает их транзакционные издержки.
🔔 ITsec NEWS
💬Иранская Республика активно применяет искусственный интеллект (ИИ) для усиления контроля над населением, что особенно отражается на свободах женщин. Как сообщил Бехнам Бен Талеблу, старший научный сотрудник Фонда защиты демократий, «иранский режим внедряет ИИ, чтобы еще больше извлечь выгоду из технологий, объединяющих элементы распознавания лиц, видеонаблюдения, анализа сотовых телефонов, геолокации и интернет-мониторинга». Эти технологии помогают усилить киберпреследование уличных протестующих и женщин, которые неправильно носят хиджаб.
Новые инструменты ИИ станут ключевым элементом законопроекта «О хиджабе и целомудрии», который был одобрен иранским парламентом в сентябре 2023 года и ожидает ратификации Советом стражей. Талеблу отметил, что ИИ стал «вишенкой на торте цифрового подавления Ирана», позволяя освободить больше человеческих ресурсов для репрессивной деятельности.
Статья 30 законопроекта предписывает полиции «создавать и укреплять интеллектуальные системы для идентификации нарушителей с использованием стационарных и мобильных камер». Статья 60 обязывает частные предприятия передавать видеозаписи для проверки соблюдения правил. Нарушение этого требования может привести к потере прибыли на срок от двух до шести месяцев.
Женщины, которые не покрывают волосы должным образом, сталкиваются с штрафами, «социальной изоляцией, изгнанием, закрытием страниц в социальных сетях, конфискацией паспорта на срок до двух лет» и возможным тюремным заключением до 10 лет. Талеблу пояснил, что законопроект позволяет властям использовать ИИ для проведения «правовой и экономической войны против женщин», преследуя их дома, автомобили, банковские счета и источники дохода.
Эксперты ООН утверждают, что законопроект позволяет Ирану управлять «путем системной дискриминации с целью подавления женщин и девочек», что является гендерным преследованием или гендерным апартеидом.
Еще до принятия законопроекта режим начал подготовку к увеличению использования ИИ, устанавливая новые камеры по всей стране с апреля 2023 года. Amnesty International сообщила об увеличении давления на иранских женщин в период с 15 апреля по 14 июня 2023 года. За это время, по данным полиции, было отправлено «почти 1 миллион SMS с предупреждениями женщинам, которые были засняты без хиджаба в автомобилях», а также 133 174 сообщения о блокировке транспортных средств. Около 2000 автомобилей были конфискованы, и более 4000 «повторных нарушителей» были направлены в судебные органы Ирана.
Между апрелем 2023 года и мартом 2024 года Amnesty International установила , что полиция нравов «распорядилась о произвольной конфискации сотен тысяч транспортных средств» из-за неправильного покрытия женщин внутри. Свидетельства показывают, что приказы о конфискации основывались на изображениях, снятых камерами наблюдения, или сообщениях агентов в штатском, патрулирующих улицы и использующих полицейское приложение для фиксации номеров автомобилей. Amnesty также сообщила, что некоторых женщин приговаривали к тюремному заключению или порке, штрафовали или отправляли на «уроки нравственности».
Режим, вероятно, использовал ИИ во время протестов 2022 года после смерти Махсы Амини, избитой после ареста полицией нравов за слишком свободное ношение хиджаба. В октябре 2023 года США усилили запрет на экспорт чипов ИИ в Китай и Иран, чтобы ограничить доступ к передовым технологиям ИИ.
Талеблу предложил дополнительные методы контроля доступа к технологиям, которые могут «усилить цифровой или кибер-репрессивный аппарат Ирана». Он рекомендовал США сотрудничать с европейскими компаниями для увеличения экспортного контроля и отслеживания новых китайских технологических дочерних компаний, работающих в Иране. Постоянное разоблачение и санкционирование новых фирм увеличивает их транзакционные издержки.
🔔 ITsec NEWS
⚡️Выкуп не помог: хакеры вновь продают данные, похищенные у Pandabuy
💬Китайская платформа электронной коммерции Pandabuy снова оказалась под ударом киберпреступников. История показала, что выплата выкупа вымогателям не гарантирует безопасность. В данном материале кратко вспомним апрельский инцидент, а также обсудим события последних дней.
В апреле этого года хакер под псевдонимом «Sanggiero» заявил о взломе платформы Pandabuy и утечке данных более 3 миллионов клиентов. Участник форума BreachForums сообщил, что данные были похищены путём эксплуатации нескольких критических уязвимостей в платформе и API. Киберпреступник заявил, что действовал совместно с другим хакером под именем «IntelBroker».
Похищенные данные на тот момент включали:
UserId;
Имена и фамилии;
Номера телефонов;
Электронные адреса;
IP-адреса;
Домашние адреса;
Информацию о заказах.
Основатель сервиса Have I Been Pwned (HIBP) Трой Хант подтвердил, что из всего массива в 3 миллиона строк лишь 1,3 миллиона адресов электронной почты являются действительными. Остальные же — просто дубликаты. Хант добавил эти адреса в базу HIBP, чтобы пользователи могли проверить, были ли они затронуты этим инцидентом.
Несмотря на то, что представители платформы заплатили вымогателям выкуп ещё в апреле, 3 июня 2024 года всё тот же «Sanggiero» вновь выставил на продажу базу данных, украденную у Pandabuy, по цене 40 тысяч долларов. По его словам, эта новая база, которая содержит уже более 17 миллионов строк данных, что значительно больше первоначально заявленного объёма. Якобы потому, что в апреле хакеры намеренно выставили на продажу лишь часть украденных данных.
Представители Pandabuy признали, что компания ещё в апреле выплатила хакеру некую сумму денежного выкупа, чтобы предотвратить утечку клиентских данных. Тем не менее, как показала практика, решение было опрометчивым и крайне неэффективным с точки зрения сохранности данных.
Ввиду недобросовестности хакера, а также возможного распространения информации среди других киберпреступников, компания решила больше не сотрудничать с «Sanggiero».
Платформа попыталась минимизировать значение инцидента, заявив, что данные, предложенные «Sanggiero» в июне, совпадают с ранее утекшими. Однако, с учётом того, что новая база значительно больше, данная утечка может нанести новый удар по пользователям Pandabuy.
Представители платформы подчеркнули, что все уязвимости, использованные для кражи данных, уже были устранены. Также в Pandabuy полагают что хакеры могли тайно продавать данные другим киберпреступникам сразу после уплаты выкупа в апреле.
Возникшая ситуация в очередной раз подчёркивает, что сотрудничество с киберпреступниками не гарантирует безопасности данных. Даже после выполнения требований кибербандитов, включая уплату выкупа, компания-жертва спустя время снова может подвергнуться вымогательству и шантажу.
🔔 ITsec NEWS
💬Китайская платформа электронной коммерции Pandabuy снова оказалась под ударом киберпреступников. История показала, что выплата выкупа вымогателям не гарантирует безопасность. В данном материале кратко вспомним апрельский инцидент, а также обсудим события последних дней.
В апреле этого года хакер под псевдонимом «Sanggiero» заявил о взломе платформы Pandabuy и утечке данных более 3 миллионов клиентов. Участник форума BreachForums сообщил, что данные были похищены путём эксплуатации нескольких критических уязвимостей в платформе и API. Киберпреступник заявил, что действовал совместно с другим хакером под именем «IntelBroker».
Похищенные данные на тот момент включали:
UserId;
Имена и фамилии;
Номера телефонов;
Электронные адреса;
IP-адреса;
Домашние адреса;
Информацию о заказах.
Основатель сервиса Have I Been Pwned (HIBP) Трой Хант подтвердил, что из всего массива в 3 миллиона строк лишь 1,3 миллиона адресов электронной почты являются действительными. Остальные же — просто дубликаты. Хант добавил эти адреса в базу HIBP, чтобы пользователи могли проверить, были ли они затронуты этим инцидентом.
Несмотря на то, что представители платформы заплатили вымогателям выкуп ещё в апреле, 3 июня 2024 года всё тот же «Sanggiero» вновь выставил на продажу базу данных, украденную у Pandabuy, по цене 40 тысяч долларов. По его словам, эта новая база, которая содержит уже более 17 миллионов строк данных, что значительно больше первоначально заявленного объёма. Якобы потому, что в апреле хакеры намеренно выставили на продажу лишь часть украденных данных.
Представители Pandabuy признали, что компания ещё в апреле выплатила хакеру некую сумму денежного выкупа, чтобы предотвратить утечку клиентских данных. Тем не менее, как показала практика, решение было опрометчивым и крайне неэффективным с точки зрения сохранности данных.
Ввиду недобросовестности хакера, а также возможного распространения информации среди других киберпреступников, компания решила больше не сотрудничать с «Sanggiero».
Платформа попыталась минимизировать значение инцидента, заявив, что данные, предложенные «Sanggiero» в июне, совпадают с ранее утекшими. Однако, с учётом того, что новая база значительно больше, данная утечка может нанести новый удар по пользователям Pandabuy.
Представители платформы подчеркнули, что все уязвимости, использованные для кражи данных, уже были устранены. Также в Pandabuy полагают что хакеры могли тайно продавать данные другим киберпреступникам сразу после уплаты выкупа в апреле.
Возникшая ситуация в очередной раз подчёркивает, что сотрудничество с киберпреступниками не гарантирует безопасности данных. Даже после выполнения требований кибербандитов, включая уплату выкупа, компания-жертва спустя время снова может подвергнуться вымогательству и шантажу.
🔔 ITsec NEWS
⚡️Протокол Loopring взломали
💬Протокол Loopring пострадал от хакерской атаки. Известно, что злоумышленник скомпрометировал сервис двухфакторной аутентификации (2FA) проекта.
🚨Incident Alert: Loopring Smart Wallets Compromised🚨
A few hours ago, some Loopring Smart Wallets were targeted in a security breach. The attack exploited wallets with only one Guardian, specifically the Loopring Official Guardian. The hacker initiated a Recovery process,… pic.twitter.com/Y9mYC4j9QJ
— Loopring💙 (@loopringorg) June 9, 2024
«Некоторые смарт-кошельки Loopring подверглись взлому системы безопасности. От атаки пострадали кошельки с одним кошельком Guardian, а именно Loopring Official Guardian. Хакер инициировал процесс восстановления, выдавая себя за владельца кошелька, чтобы сбросить права собственности и вывести активы», — говорится в заявлении.
В The Block объяснили, что с помощью сервиса Guardian пользователи могут указать кошельки доверенных лиц или организаций, которые помогут в операциях по обеспечению безопасности. В заявлении отмечается, что хакеру удалось обойти Loopring Official Guardian и запустить восстановление кошельков с единственным Guardian без разрешения пользователей
Также в Loopring подчеркнули, что они сотрудничают с экспертами из SlowMist, чтобы выяснить детали взлома.
Кроме того, команда добавила, что безопасность и защита пользователей остаются главными приоритетами. В связи с этим был открыт прием заявок на компенсацию для пострадавших пользователей.
В Loopring также опубликовали кошельки злоумышленника. На момент написания статьи на них хранится более $5 млн, по данным DeBank.
Отметим, на фоне этой новости цена токена Loopring (LRC) упала почти на 5% за последние 24 часа, по данным CoinGecko.
🔔 ITsec NEWS
💬Протокол Loopring пострадал от хакерской атаки. Известно, что злоумышленник скомпрометировал сервис двухфакторной аутентификации (2FA) проекта.
🚨Incident Alert: Loopring Smart Wallets Compromised🚨
A few hours ago, some Loopring Smart Wallets were targeted in a security breach. The attack exploited wallets with only one Guardian, specifically the Loopring Official Guardian. The hacker initiated a Recovery process,… pic.twitter.com/Y9mYC4j9QJ
— Loopring💙 (@loopringorg) June 9, 2024
«Некоторые смарт-кошельки Loopring подверглись взлому системы безопасности. От атаки пострадали кошельки с одним кошельком Guardian, а именно Loopring Official Guardian. Хакер инициировал процесс восстановления, выдавая себя за владельца кошелька, чтобы сбросить права собственности и вывести активы», — говорится в заявлении.
В The Block объяснили, что с помощью сервиса Guardian пользователи могут указать кошельки доверенных лиц или организаций, которые помогут в операциях по обеспечению безопасности. В заявлении отмечается, что хакеру удалось обойти Loopring Official Guardian и запустить восстановление кошельков с единственным Guardian без разрешения пользователей
Также в Loopring подчеркнули, что они сотрудничают с экспертами из SlowMist, чтобы выяснить детали взлома.
Кроме того, команда добавила, что безопасность и защита пользователей остаются главными приоритетами. В связи с этим был открыт прием заявок на компенсацию для пострадавших пользователей.
В Loopring также опубликовали кошельки злоумышленника. На момент написания статьи на них хранится более $5 млн, по данным DeBank.
Отметим, на фоне этой новости цена токена Loopring (LRC) упала почти на 5% за последние 24 часа, по данным CoinGecko.
🔔 ITsec NEWS
⚡️Hugging Face представляет Reachy2: революционный робот с открытым кодом
💬Компания Hugging Face, известная своим вкладом в развитие открытого исходного кода для ИИ, совместно с французской компанией Pollen Robotics представила первого работающего гуманоидного робота в рамках программы «Le Robot».
Реми Кадене, ранее работавший инженером-робототехником в программе Tesla Optimus по разработке гуманоидных роботов, а теперь ведущий специалист проекта «Le Robot», продемонстрировал на своей странице в X (бывший Twitter*) видео с роботом Reachy2. Результат сотрудничества двух компаний, стремящихся сделать робототехнику доступной для всех.
Reachy2 - не просто очередной лабораторный эксперимент. Гуманоидный робот способен выполнять различные бытовые задачи и безопасно взаимодействовать с людьми и животными. В видео робот демонстрирует впечатляющие навыки: аккуратно расставляет чашки на сушилке для посуды и передает яблоко человеку плавным, безопасным движением.
Уникальность Reachy2 заключается в процессе его обучения. На начальном этапе человек, надев шлем виртуальной реальности, дистанционно управлял роботом, показывая ему, как выполнять различные задачи. Алгоритм машинного обучения затем изучил 50 видеозаписей этих сеансов телеуправления, каждая длительностью около 15 секунд. Каждое видео связано с отдельным датчиком робота Reachy2.
Процесс обучения робота был интенсивным. После 40 000-60 000 итераций тренировки Reachy2 овладел сложной последовательностью действий: он научился самостоятельно брать яблоко, плавно поворачивать его в руке и возвращаться в исходное положение.
Самое важное - вся эта технология теперь доступна всем: «Мы совместно с Pollen Robotics разместили на платформе Hugging Face набор данных для обучения, а также модель, которую мы использовали для демонстрации», - сообщил Каден VentureBeat. «Вы можете проделать то же самое дома с роботами меньшего размера», - добавил он.
В то время как такие компании, как Figure и Cobot, привлекают сотни миллионов долларов инвестиций для разработки закрытых коммерческих решений, Hugging Face предлагает «мозги» для роботов бесплатно, в виде открытого кода на своей платформе и Github.
Сотрудничество между Hugging Face и Pollen Robotics возникло естественным образом благодаря географической близости и общим интересам в исследовательской области. Cadene рассказал, что обе компании давно следили за успехами друг друга и решили объединить усилия. «Нам нужны были роботы-гуманоиды, а им - программное обеспечение для сквозного обучения», -добавил Кадене.
Pollen Robotics имеет богатую историю создания доступных и открытых технологий. В 2013 году компания создала Poppy - первого, по их словам, 3D-печатного робота-гуманоида с открытым исходным кодом, предназначенного для исследовательских целей. С тех пор Pollen Robotics посвятила себя разработке открытых продуктов, сотрудничая с учеными, художниками и новаторами для поиска новых применений робототехники и обеспечения ее доступности для всех.
Их флагманский продукт, Reachy 1, - полностью управляемый робот с открытым исходным кодом, доступный в различных конфигурациях по цене от $9,750 до $43,500. Он специализируется на взаимодействии с людьми и манипулировании объектами, используя предустановленный ИИ и модульную конструкцию.
Reachy2, представленный как «гигантский шаг вперед», оснащен совершенно новыми биоподобными руками с семью степенями свободы, каждая из которых может поднимать до трех килограммов.
🔔 ITsec NEWS
💬Компания Hugging Face, известная своим вкладом в развитие открытого исходного кода для ИИ, совместно с французской компанией Pollen Robotics представила первого работающего гуманоидного робота в рамках программы «Le Robot».
Реми Кадене, ранее работавший инженером-робототехником в программе Tesla Optimus по разработке гуманоидных роботов, а теперь ведущий специалист проекта «Le Robot», продемонстрировал на своей странице в X (бывший Twitter*) видео с роботом Reachy2. Результат сотрудничества двух компаний, стремящихся сделать робототехнику доступной для всех.
Reachy2 - не просто очередной лабораторный эксперимент. Гуманоидный робот способен выполнять различные бытовые задачи и безопасно взаимодействовать с людьми и животными. В видео робот демонстрирует впечатляющие навыки: аккуратно расставляет чашки на сушилке для посуды и передает яблоко человеку плавным, безопасным движением.
Уникальность Reachy2 заключается в процессе его обучения. На начальном этапе человек, надев шлем виртуальной реальности, дистанционно управлял роботом, показывая ему, как выполнять различные задачи. Алгоритм машинного обучения затем изучил 50 видеозаписей этих сеансов телеуправления, каждая длительностью около 15 секунд. Каждое видео связано с отдельным датчиком робота Reachy2.
Процесс обучения робота был интенсивным. После 40 000-60 000 итераций тренировки Reachy2 овладел сложной последовательностью действий: он научился самостоятельно брать яблоко, плавно поворачивать его в руке и возвращаться в исходное положение.
Самое важное - вся эта технология теперь доступна всем: «Мы совместно с Pollen Robotics разместили на платформе Hugging Face набор данных для обучения, а также модель, которую мы использовали для демонстрации», - сообщил Каден VentureBeat. «Вы можете проделать то же самое дома с роботами меньшего размера», - добавил он.
В то время как такие компании, как Figure и Cobot, привлекают сотни миллионов долларов инвестиций для разработки закрытых коммерческих решений, Hugging Face предлагает «мозги» для роботов бесплатно, в виде открытого кода на своей платформе и Github.
Сотрудничество между Hugging Face и Pollen Robotics возникло естественным образом благодаря географической близости и общим интересам в исследовательской области. Cadene рассказал, что обе компании давно следили за успехами друг друга и решили объединить усилия. «Нам нужны были роботы-гуманоиды, а им - программное обеспечение для сквозного обучения», -добавил Кадене.
Pollen Robotics имеет богатую историю создания доступных и открытых технологий. В 2013 году компания создала Poppy - первого, по их словам, 3D-печатного робота-гуманоида с открытым исходным кодом, предназначенного для исследовательских целей. С тех пор Pollen Robotics посвятила себя разработке открытых продуктов, сотрудничая с учеными, художниками и новаторами для поиска новых применений робототехники и обеспечения ее доступности для всех.
Их флагманский продукт, Reachy 1, - полностью управляемый робот с открытым исходным кодом, доступный в различных конфигурациях по цене от $9,750 до $43,500. Он специализируется на взаимодействии с людьми и манипулировании объектами, используя предустановленный ИИ и модульную конструкцию.
Reachy2, представленный как «гигантский шаг вперед», оснащен совершенно новыми биоподобными руками с семью степенями свободы, каждая из которых может поднимать до трех килограммов.
🔔 ITsec NEWS
⚡️Илон Маск и фальшивые криптобиржи: русскоязычная диаспора Бруклина под ударом
💬Офис окружного прокурора Бруклина изъял 70 доменных имен, связанных с масштабной криптовалютной аферой, схожей по принципам с распространенной схемой pig butchering (разделка свиней). Жертвами стали члены русскоязычной диаспоры, которые потеряли миллионы долларов на фиктивных инвестициях.
Начиная с октября 2023 года, в прокуратуру стали поступать жалобы от русскоговорящих жителей Бруклина. Разбирательством занималось специальное подразделение - Отдел по виртуальным валютам . Следователи выявили типичную для такого рода афер стратегию вовлечения жертв. Все начиналось с рекламы в Facebook*, предлагавшей людям инвестировать средства в криптовалюты. Многие объявления даже включали поддельное видео с Илоном Маском, описывающим все преимущества и выгоды вложений.
Затем жертв связывали с «инвестиционными советниками», говорившими по-русски. Они помогали открыть счета на поддельных криптобиржах. «После нескольких недель или месяцев вложений жертвы пытались вывести средства, но их счета блокировались или от них требовали уплаты якобы дополнительных сборов и налогов», — пояснила прокуратура.
По данным следствия, мошеннические сайты работали из России, а аферисты использовали русский язык, чтобы расположить к себе соотечественников и завоевать их доверие. «Поскольку Россия находится за пределами юрисдикции США, вернуть похищенные деньги крайне сложно, и прокуратура решила сосредоточиться исключительно на блокировке сайтов», — отметили в ведомстве.
Свыше 20 жителей Бруклина лишились в общей сложности более 1 миллиона долларов. В этом районе Нью-Йорка проживает одна из крупнейших русскоязычных общин США — около 120 000 человек. И, как говорит окружной прокурор Эрик Гонзалес, это «лишь часть общего ущерба» от подобных кампаний.
Ранее помощник директора Секретной службы по расследованиям, Брайан Ламберт , назвал инвестиционные криптоаферы «реальной и серьезной угрозой финансовой системе всем США».
По данным ФБР, в прошлом году американцы потеряли почти 4 миллиарда долларов из-за мошеннических операций с криптовалютными инвестициями.
Между тем генпрокурор Нью-Йорка, Летиция Джеймс , предупредила жителей штата об опасности «романтических» афер, посоветовав: «Если что-то выглядит слишком хорошо, чтобы быть правдой, скорее всего, так оно и есть».
🔔 ITsec NEWS
💬Офис окружного прокурора Бруклина изъял 70 доменных имен, связанных с масштабной криптовалютной аферой, схожей по принципам с распространенной схемой pig butchering (разделка свиней). Жертвами стали члены русскоязычной диаспоры, которые потеряли миллионы долларов на фиктивных инвестициях.
Начиная с октября 2023 года, в прокуратуру стали поступать жалобы от русскоговорящих жителей Бруклина. Разбирательством занималось специальное подразделение - Отдел по виртуальным валютам . Следователи выявили типичную для такого рода афер стратегию вовлечения жертв. Все начиналось с рекламы в Facebook*, предлагавшей людям инвестировать средства в криптовалюты. Многие объявления даже включали поддельное видео с Илоном Маском, описывающим все преимущества и выгоды вложений.
Затем жертв связывали с «инвестиционными советниками», говорившими по-русски. Они помогали открыть счета на поддельных криптобиржах. «После нескольких недель или месяцев вложений жертвы пытались вывести средства, но их счета блокировались или от них требовали уплаты якобы дополнительных сборов и налогов», — пояснила прокуратура.
По данным следствия, мошеннические сайты работали из России, а аферисты использовали русский язык, чтобы расположить к себе соотечественников и завоевать их доверие. «Поскольку Россия находится за пределами юрисдикции США, вернуть похищенные деньги крайне сложно, и прокуратура решила сосредоточиться исключительно на блокировке сайтов», — отметили в ведомстве.
Свыше 20 жителей Бруклина лишились в общей сложности более 1 миллиона долларов. В этом районе Нью-Йорка проживает одна из крупнейших русскоязычных общин США — около 120 000 человек. И, как говорит окружной прокурор Эрик Гонзалес, это «лишь часть общего ущерба» от подобных кампаний.
Ранее помощник директора Секретной службы по расследованиям, Брайан Ламберт , назвал инвестиционные криптоаферы «реальной и серьезной угрозой финансовой системе всем США».
По данным ФБР, в прошлом году американцы потеряли почти 4 миллиарда долларов из-за мошеннических операций с криптовалютными инвестициями.
Между тем генпрокурор Нью-Йорка, Летиция Джеймс , предупредила жителей штата об опасности «романтических» афер, посоветовав: «Если что-то выглядит слишком хорошо, чтобы быть правдой, скорее всего, так оно и есть».
🔔 ITsec NEWS
⚡️Volvo массово отзывает свои электромобили из-за опасного бага
💬Компания Volvo была вынуждена приостановить поставки 71 956 единиц своего электрического автомобиля EX30 из-за критической неисправности, влияющей на отображение скорости движения транспортного средства. Автопроизводитель официально объявил отзыв электрокаров, которые уже были доставлены, а также тех, которые только должны были отправиться покупателям.
Причиной инцидента послужила неисправность экрана, отображающего скорость машины. В отличие от многих других моделей, автомобили Volvo EX30 не оснащены аналоговыми спидометрами на приборной панели. Вместо этого у EX30 имеется цифровой дисплей, расположенный справа от водителя.
Как сообщается, в неисправных моделях после запуска автомобиля экран по непонятной причине периодически переключается в тестовый режим, делая информацию о скорости и других важных параметрах недоступной во время движения.
Примечательно, что проблема, по всей видимости, носит программный характер. По данным журналистов, Volvo уже нашла способ её решения и сейчас пытается массово обновить предустановленное в машинах программное обеспечение.
Исходя из сложившейся ситуации, действующим владельцам автомобилей, вероятно, не придётся везти свои транспортные средства к производителю, так как проблему получится устранить через обновление программного обеспечения по воздуху (OTA).
Другие модели автомобилей Volvo не были затронуты этим сбоем. Кроме того, никаких происшествий или травм, связанных с этим дефектом, также зарегистрировано не было.
🔔 ITsec NEWS
💬Компания Volvo была вынуждена приостановить поставки 71 956 единиц своего электрического автомобиля EX30 из-за критической неисправности, влияющей на отображение скорости движения транспортного средства. Автопроизводитель официально объявил отзыв электрокаров, которые уже были доставлены, а также тех, которые только должны были отправиться покупателям.
Причиной инцидента послужила неисправность экрана, отображающего скорость машины. В отличие от многих других моделей, автомобили Volvo EX30 не оснащены аналоговыми спидометрами на приборной панели. Вместо этого у EX30 имеется цифровой дисплей, расположенный справа от водителя.
Как сообщается, в неисправных моделях после запуска автомобиля экран по непонятной причине периодически переключается в тестовый режим, делая информацию о скорости и других важных параметрах недоступной во время движения.
Примечательно, что проблема, по всей видимости, носит программный характер. По данным журналистов, Volvo уже нашла способ её решения и сейчас пытается массово обновить предустановленное в машинах программное обеспечение.
Исходя из сложившейся ситуации, действующим владельцам автомобилей, вероятно, не придётся везти свои транспортные средства к производителю, так как проблему получится устранить через обновление программного обеспечения по воздуху (OTA).
Другие модели автомобилей Volvo не были затронуты этим сбоем. Кроме того, никаких происшествий или травм, связанных с этим дефектом, также зарегистрировано не было.
🔔 ITsec NEWS
⚡️Киберпреступники сели на электросамокаты: как не стать жертвой аферистов, сдающих самокаты в аренду
💬Специалисты компании F.A.C.C.T обнаружили не менее 25 ресурсов, предлагающих обойти правила сервисов кикшеринга. В числе таких ресурсов — группы в социальных сетях, каналы и боты в мессенджерах, где пользователям предлагают различные способы нелегального использования электросамокатов.
Злоумышленники завлекают пользователей выгодными предложениями: покупкой аккаунтов с баллами программы лояльности, скидочными промокодами, помощью в регистрации новых учетных записей, доступом к якобы служебному приложению сотрудников кикшеринг-сервисов для безлимитных поездок и даже инструкциями по массовой регистрации аккаунтов. Цены на такие услуги варьируются от 20 до 2 000 рублей.
Потенциальными покупателями становятся не только несовершеннолетние лица или пользователи, заблокированные за нарушения правил, но и те, кто просто хочет сэкономить на поездках.
Однако, как предупреждают в F.A.C.C.T., использование таких предложений чревато серьезными последствиями:
Штрафами и блокировкой со стороны кикшеринговых сервисов.
Утечкой персональных данных, вирусами и потерей денег.
Уголовной ответственностью, если используются украденные аккаунты.
В компании отметили, что продажа аккаунтов с бонусами и другие предложения могут быть реальны. Однако, подчеркивают специалисты, сделки ведутся через мессенджер, поэтому нет никаких гарантий, что покупателя не обманут.
🔔 ITsec NEWS
💬Специалисты компании F.A.C.C.T обнаружили не менее 25 ресурсов, предлагающих обойти правила сервисов кикшеринга. В числе таких ресурсов — группы в социальных сетях, каналы и боты в мессенджерах, где пользователям предлагают различные способы нелегального использования электросамокатов.
Злоумышленники завлекают пользователей выгодными предложениями: покупкой аккаунтов с баллами программы лояльности, скидочными промокодами, помощью в регистрации новых учетных записей, доступом к якобы служебному приложению сотрудников кикшеринг-сервисов для безлимитных поездок и даже инструкциями по массовой регистрации аккаунтов. Цены на такие услуги варьируются от 20 до 2 000 рублей.
Потенциальными покупателями становятся не только несовершеннолетние лица или пользователи, заблокированные за нарушения правил, но и те, кто просто хочет сэкономить на поездках.
Однако, как предупреждают в F.A.C.C.T., использование таких предложений чревато серьезными последствиями:
Штрафами и блокировкой со стороны кикшеринговых сервисов.
Утечкой персональных данных, вирусами и потерей денег.
Уголовной ответственностью, если используются украденные аккаунты.
В компании отметили, что продажа аккаунтов с бонусами и другие предложения могут быть реальны. Однако, подчеркивают специалисты, сделки ведутся через мессенджер, поэтому нет никаких гарантий, что покупателя не обманут.
🔔 ITsec NEWS
⚡️SecShow: китайский монстр атакует DNS
💬Исследователи кибербезопасности раскрыли деятельность китайской группы под кодовым названием SecShow, которая проводит глобальные атаки через систему доменных имён (DNS) с июня 2023 года.
По данным экспертов компании Infoblox, SecShow работает через китайскую образовательно-исследовательскую сеть (CERNET), активно финансируемую местным правительством.
«Эти атаки направлены на обнаружение и измерение ответов DNS на открытых резолверах», говорится в отчёте. «Конечная цель операций SecShow неизвестна. Собранная сейчас информация хоть и может использоваться в злонамеренных целях, но пока что полезна только для самих атакующих».
Есть предположения, что операция может быть связана с научными исследованиями, включающими измерения с использованием IP-спуфинга на доменах «secshow[.]net», аналогично проекту Closed Resolver Project. Однако это порождает ещё больше вопросов, включая цель сбора данных и смысл использования общего Gmail-адреса для обратной связи.
Открытые резолверы — это DNS-серверы, которые могут принимать и обрабатывать доменные имена от любого пользователя в Интернете, что делает их уязвимыми для DDoS-атак, таких как DNS-усиление (DNS Amplification).
Основой атак является использование серверов имён CERNET для идентификации открытых DNS-резолверов и расчёта DNS-ответов. Процесс включает отправку DNS-запроса с неопределённого источника на открытый резолвер, заставляя сервер имён SecShow возвращать случайный IP-адрес.
Интересно, что эти серверы имён настроены возвращать новый случайный IP-адрес при каждом запросе с другого открытого резолвера, что вызывает увеличение числа запросов благодаря программному продукту Cortex Xpanse от Palo Alto.
«Cortex Xpanse рассматривает доменное имя в DNS-запросе как URL и пытается получить контент с случайного IP-адреса для этого доменного имени», — объясняют исследователи. «Межсетевые экраны, такие как Palo Alto и Check Point, а также другие устройства безопасности, выполняют фильтрацию URL при получении запроса от Cortex Xpanse».
Этот процесс фильтрации инициирует новый DNS-запрос для домена, что заставляет сервер имён возвращать другой случайный IP-адрес, создавая бесконечный цикл запросов.
Некоторые аспекты этих сканирований ранее уже были раскрыты исследователями Dataplane.org и Unit 42. В то же время, сервера имён SecShow перестали отвечать на запросы с середины мая 2024 года.
«В данный момент известного воздействия на сети клиентов нет, за исключением незначительного увеличения активности разрешения DNS для определения, является ли домен злонамеренным», — сообщили эксперты Palo Alto Networks. «Xpanse имеет возможность исключать определённые домены, и по мере идентификации новых командных серверов они добавляются в список блокировки. Мы продолжим внимательно следить и добавлять в блок-лист релевантные домены».
SecShow является второй китайской группой злоумышленников после Muddling Meerkat, выполняющим масштабные DNS-атаки. «Запросы Muddling Meerkat смешивались с глобальным DNS-трафиком и оставались незамеченными более четырёх лет, в то время как запросы SecShow прозрачны и включают информацию об IP-адресах и измерительной информации», — пояснили исследователи.
🔔 ITsec NEWS
💬Исследователи кибербезопасности раскрыли деятельность китайской группы под кодовым названием SecShow, которая проводит глобальные атаки через систему доменных имён (DNS) с июня 2023 года.
По данным экспертов компании Infoblox, SecShow работает через китайскую образовательно-исследовательскую сеть (CERNET), активно финансируемую местным правительством.
«Эти атаки направлены на обнаружение и измерение ответов DNS на открытых резолверах», говорится в отчёте. «Конечная цель операций SecShow неизвестна. Собранная сейчас информация хоть и может использоваться в злонамеренных целях, но пока что полезна только для самих атакующих».
Есть предположения, что операция может быть связана с научными исследованиями, включающими измерения с использованием IP-спуфинга на доменах «secshow[.]net», аналогично проекту Closed Resolver Project. Однако это порождает ещё больше вопросов, включая цель сбора данных и смысл использования общего Gmail-адреса для обратной связи.
Открытые резолверы — это DNS-серверы, которые могут принимать и обрабатывать доменные имена от любого пользователя в Интернете, что делает их уязвимыми для DDoS-атак, таких как DNS-усиление (DNS Amplification).
Основой атак является использование серверов имён CERNET для идентификации открытых DNS-резолверов и расчёта DNS-ответов. Процесс включает отправку DNS-запроса с неопределённого источника на открытый резолвер, заставляя сервер имён SecShow возвращать случайный IP-адрес.
Интересно, что эти серверы имён настроены возвращать новый случайный IP-адрес при каждом запросе с другого открытого резолвера, что вызывает увеличение числа запросов благодаря программному продукту Cortex Xpanse от Palo Alto.
«Cortex Xpanse рассматривает доменное имя в DNS-запросе как URL и пытается получить контент с случайного IP-адреса для этого доменного имени», — объясняют исследователи. «Межсетевые экраны, такие как Palo Alto и Check Point, а также другие устройства безопасности, выполняют фильтрацию URL при получении запроса от Cortex Xpanse».
Этот процесс фильтрации инициирует новый DNS-запрос для домена, что заставляет сервер имён возвращать другой случайный IP-адрес, создавая бесконечный цикл запросов.
Некоторые аспекты этих сканирований ранее уже были раскрыты исследователями Dataplane.org и Unit 42. В то же время, сервера имён SecShow перестали отвечать на запросы с середины мая 2024 года.
«В данный момент известного воздействия на сети клиентов нет, за исключением незначительного увеличения активности разрешения DNS для определения, является ли домен злонамеренным», — сообщили эксперты Palo Alto Networks. «Xpanse имеет возможность исключать определённые домены, и по мере идентификации новых командных серверов они добавляются в список блокировки. Мы продолжим внимательно следить и добавлять в блок-лист релевантные домены».
SecShow является второй китайской группой злоумышленников после Muddling Meerkat, выполняющим масштабные DNS-атаки. «Запросы Muddling Meerkat смешивались с глобальным DNS-трафиком и оставались незамеченными более четырёх лет, в то время как запросы SecShow прозрачны и включают информацию об IP-адресах и измерительной информации», — пояснили исследователи.
🔔 ITsec NEWS