#news Что делают безопасники, изнывающие от жары в Лас-Вегасе на Black Hat? От скуки тратят $20 на истёкший домен и нечаянно нарушают целостность интернета. Это произошло с WHOIS-сервером под .mobi — он переехал на другой адрес, старый выкупили исследователи. И понеслось.

На нём подняли WHOIS-сервер, чтобы посмотреть, кто по нему ещё стучится. Итог за 5 дней: 135+ тысяч систем и 2,5 миллиона запросов. От всевозможных военных и госструктур, VirusTotal, одной сингапурской ИБ-фирмы… Более того, на сервер шли запросы от центров сертификации — и он возвращал почту безопасников как валидную. В итоге они были в одном клике от того, чтобы выписать себе TLS/SSL от microsoft.mobi. Иными словами, выдача сертификатов под .mobi была скомпрометирована — товарищи стали админами домена верхнего уровня. А могли стать госхакеры. И получить поверхность атаки размером с TLD со всем из этого вытекающим. Подробнее в отчёте, чтиво занимательное.

@tomhunter

#news Передачу данных электромагнитным излучением, через LED-индикаторы, кулеры и SATA-кабели на изолированных от сети системах мы уже видели. Теперь как насчёт… звукового шума от работы пикселей монитора?

Доктор Гури продолжает удивлять. Его новый шпионский вредонос генерирует специальные паттерны пикселей, которые создают звуковые сигналы, передаваемые без внешних устройств. В ход идёт вибрация катушек и конденсаторов в экранах, она же писк катушек, который человек практически не слышит — диапазон от 0 до 22 кГц. Но им можно закодировать и передать данные. Достигается это за счёт bitmap и вывода на экран чередующихся чёрно-белых полос. В итоге пиксели-предатели пересылают информацию на встроенный микрофон на расстоянии нескольких метров. Материал, конечно, чисто лабораторный. Но атака выглядит как прямиком из шпионского боевика. Слышишь пиксели? И я не слышу. А они данные передают.

@tomhunter

#news Платёжный сервис из Флориды Slim CD раскрыл утечку данных кредитных карт 1,7 миллионов человек. Утекло всё, кроме кодов CVV — единственное, что помешало инциденту приобрести впечатляющие масштабы.

Что интересно, хотя злоумышленники получили доступ к данным 14-15 июня, системы были скомпрометированы ещё в августе прошлого года. Так что у компании ушёл целый год, чтобы заметить взлом. На фоне этого отрабатывающий корпоративные извинения пиар-отдел выглядит совсем комично. Точнее, даже извинений не подвезли. Нет и распространённой в таких случаях подачки в виде защиты от кражи идентичности. Но «Slim CD ценит конфиденциальность, приватность и защищённость информации клиентов». А по ним и не скажешь.

@tomhunter

#news Исследователь опубликовал анализ и проверку концепции к CVE\-2024\-38106 — нулевому дню в ядре Windows. Уязвимость на повышение привилегий до System была исправлена в августовском патче и активно эксплуатируется злоумышленниками.

Уязвимость затрагивает процесс «ntoskrnl.exe» и сводится к пресловутому Race Condition. Что интересно, эксплуатировали её северокорейцы. Жертвы социнженерии киберстахановцев из КНДР получали RCE через уязвимость в Хромиуме, а дальше злоумышленники эксплуатировали ядро и закидывали руткит FudModule. Разве что время для таких эксплойтов не самое удачное — после небольшого конфуза от CrowdStrike при словах «ядро Windows» и «уязвимость» десятки тысяч админов начинают нервно трястись, лишаются сна и бросаются накатывать обновления. Подробнее об этой CVE в отчёте.

@tomhunter

#news Давненько не было новостей про любимый поисковик по лицам всех спецслужб, Clearview AI. Речь, конечно же, об очередном штрафе: Нидерландская DPA выписала компании штраф в €30,5 миллионов, а за отказ прекратить нарушения обещает на сдачу выдать ещё €5,1 миллиона санкционных.

В агентстве отметили, что компания грубо нарушает GDPR и незаконно собирает данные. Компания на расследование, как обычно, никак не отреагировала. Представители же сообщают, что Clearview AI в ЕС дел не ведёт, под GDPR не попадает и незаконные штрафы выплачивать не собирается. В связи с этим Нидерланды рассматривают вариант привлечь к ответственности директоров компании. Хотя что-то подсказывает, такое же обращение, как Дуров, они вряд ли получат. Любителям заработать на нарушении приватности вместо её предоставления в нашем цифровом мире слежки всех за всеми живётся гораздо вольготнее.

@tomhunter

#news Новости из мира, где за бреши в кибербезопасности приходится платить. Производитель камер наблюдения из США Verkada выплатит $2,95 миллиона за взломы, от которых компания пострадала в 2020-м и 2021-м годах.

В 2020-м злоумышленник использовал уязвимость в устаревшем сервере для установки ботнета и DDoS-атак. Компания этого не заметила, пока AWS две недели спустя не среагировал на подозрительную активность. А в 2021-м хактивисты получили админку на сервере техподдержки Verkadа и вместе с ней – доступ к 150 тысячам прямых трансляций. И сообщили в деталях СМИ, после того как компания попыталась преуменьшить инцидент. По итогам расследования FTC прошлась по отсутствию базовой ИБ в компании и выписала солидный штраф. А заодно постановила всё это исправить и следующие 20 лет оперативно отчитываться комиссии по каждому ИБ-инциденту. Ибо нечего.

@tomhunter

#news Пятничные новости о выгорании в ИБ-индустрии. Согласно новому отчёту от Bitfender, жизнь у безопасников на Западе не сахар. Больше 70% перерабатывают на выходных, 64% опрошенных недовольны работой и планируют искать новую. Хуже всего британцам: с переработками сталкиваются 81% ИБ-бедолаг.

Среди основных угроз названы фишинг, уязвимости с нулевыми днями и рансомварь — мнение разделились примерно поровну. Почти все безопасники (96%) убеждены, что ИИ-модели создают угрозу для кибербезопасности. А 71% занятых в индустрии людей в прошлом году были недовольны используемыми ими решениями по безопасности. В общем, переработки, выгорания и неудовлетворённость работой правят бал. Число взломов растёт, фишинг становится всё изощрённее, а в половине компаний нет регулярных аудитов. Скачать отчёт и задуматься над своими карьерными решениями можно здесь. А можно провести выходные в блаженном неведении. Если, конечно, не застанете их на работе.

@tomhunter

#news Исследователи представили новую атаку по ML-моделям. Она эксплойтит питоновский формат Pickle, столь же популярный, сколь и незащищённый. В отличие от иных атак по системам разработчика, Sleepy Pickle ведёт к компрометации самой модели.

Атака подразумевает внедрение вредоносного кода в файл Pickle и его доставку по целевой системе жертвы через AitM-атаки, фишинг и иные векторы. При десериализации модель может обзавестись бэкдором или отравленной выдачей. В качестве примера от исследователей в модель вводят информацию «отбеливатель лечит простуду», и юзер на соответствующий вопрос получает предложение пить горячий чай с лимоном, мёдом и отбеливателем. Чем это отличается от модели, натасканной на комментариях щитпостеров с Реддита, неясно. Но у атаки, конечно, могут быть и более серьёзные применения. Подробнее о ней с персистентностью и обфускацией в отчёте, раз и два.

@tomhunter

#news Очередная поучительная ИБ-история из серии «Как не надо мстить работодателю». Или «Не забывайте отзывать данные доступа сотрудников». В Сингапуре в 2022-м был уволен QA-инженер местной компании NCS. Расстроенный увольнением товарищ Кандула Нагараджу обнаружил, что его логин всё ещё активен. И четыре месяца спустя закинул вайпер на сервера бывшего работодателя.

Скрипт потёр 180 тестовых серверов компании, с которыми ранее работал герой истории. В итоге на восстановлении NCS потеряла почти 700 тысяч долларов. А мстительный Нагараджу получил 2 года и 8 месяцев тюрьмы — на его ноуте нашли и вредоносный скрипт, и историю поиска по его использованию. На фото лицо человека, чей пранк не удался.

@tomhunter

#news Sticky Werewolf продолжает свои атаки по российской инфраструктуре. Целью недавней кампании стала авиационная отрасль. Злоумышленники рассылают фишинговые письма от лица ОКБ «Кристалл» с предложением поучаствовать в видеоконференции.

В архиве декой-пдфка и две .lnk-файла под видом доковских, ведущие на малварь на WebDAV-серверах. В качестве итоговой вредоносной нагрузки подтягиваются инфостилер и троян удалённого доступа. Так что группировка продолжает вести деятельность, направленную на шпионаж и стягивание данных. Судя по всему, даже без неловких конфузов с вредоносом, как у собратьев по хактивизму из Scaly Wolf. Подробнее о свежей цепочке атаки в отчёте.

@tomhunter