T.Hunter

2021-06-27 14:24:34 Вот представь форум. На форуме сидят киберпреступники и занимаются своими обычными киберпреступными делами. Что же такого должен сделать киберпреступник, чтобы коллеги неодобрительно покачали головами и забанили его форумный аккаунт?

Самый забавный и самый же очевидный проступок — скам скамеров. Решает человек прикупить логи какой-нибудь ворующей пароли малвари, а продавец берёт с него деньги и благополучно исчезает. Если жертва убедительно докажет недобропорядочность торговца логами, админы форума забанят его аккаунт.

Нельзя неуважительно относиться к команде форума. Например, один незадачливый пользователь создал топик, в котором поинтересовался, не сотрудничает ли форум с органами. Модерация шутки не оценила, и пользователь поймал бан.

Разумеется, безжалостно банятся аккаунты, которых заподозрили в таком сотрудничестве. Обычно ИБ-исследователи выделяются среди форумчан пустыми аккаунтами и повышенным вниманием к названиям компаний, ставших жертвами преступников.

Ещё банят за несоблюдение кодекса чести киберпреступника, известного также как свод правил форума. Одно из самых общепринятых довольно известно: не таргетить свою же страну. Неприлично, понимаете ли, воровать что у коллег, что у сограждан.

В общем, ничто человеческое не чуждо.

https://www.digitalshadows.com/blog-and-research/why-do-users-get-banned-from-cybercriminal-forums/ Открыть/Комментировать

2021-06-25 18:28:29 Недавно немало шума наделала история о взломе Electronic Arts. Напоминаю, хакеры залогинились в корпоративный Слак, написали во внутреннюю техподдержку и пожаловались, что посеяли телефон на последней вечеринке, не могут теперь никуда зайти. Поддержка посочувствовала да выдала им доступы. Находчивые тусовщики забрали немало ценностей, например исходники Frostbite и FIFA 21. Последние позднее отправились на продажу.

Внимательный читатель может поинтересоваться, как они в Слак-то вообще залогинились. Очень просто — купили слитые куки на Genesis Market, специальной закрытой площадке под это дело.

На маркете приобретается не конкретная куки, а «бот» — взломанная машина, часть ботнета. Все логины и явки, имеющиеся на этом боте, достаются покупателю. Если хочется, ещё можно воспользоваться браузерным расширением от Генезиса, чтобы полностью скопировать браузер жертвы. Иногда такое позволяет обходить 2FA: сервис просто распознает куки и не запрашивает дополнительных подтверждений.

Перед покупкой можно посмотреть, куки для каких сайтов есть на конкретном боте. Исследователи из ИБ-компании сообщают, что на Генезисе нашлось аж 3500 с лишним кук от Слака!

В завершение напомню тебе, что любым ценным данным в куках не место. Спрячь их хотя бы в менеджер паролей. Или в сейф, надёжно закопанный в потайном бункере.

https://www.vice.com/en/article/n7b3jm/genesis-market-buy-cookies-slack Открыть/Комментировать

2021-06-23 17:16:24 Думаю, не только мне начинали звонить с великодушными предложениями дать денег на разнообразных выгодных условиях, стоило только дыхнуть в сторону какого-нибудь банка своими данными. Ну да ладно, виртуальных номеров для таких широких душ не жалко.

А тут вот финтех-сервис начал получать жалобы от пользователей. Сливаете, мол, данные: едва финтех одобрил кредит, на номер тут же посыпались кредитные предложения от брокеров и других банков. Финтех изучил вопрос и пришёл к выводу, что спам льётся выборочно, только примерно трети пользователей. Всё проверили, от формы подачи заявки на кредит до обрабатывающего часть заявок сотрудника, и везде было чисто.

Оказывается, все данные сливает оператор: почитывает смски, выцепляет из них ключевые слова, приправляет данными из других источников и делится полученным с релевантными конторами. Даже договор с этими самыми конторами есть. Формально всё даже вполне законно. Ну, почти — просто никто не взялся. На самом деле абоненты не выдавали оператору согласий на всё, поэтому реализация довольно серая.

Неназванный финтех из ситуации вышел весьма благополучно — договорился с оператором, что с его клиентами так поступать не будут. А тебе посоветую всё же не делиться с различными формами настоящим номером, если до сих пор так делаешь. Сыплющихся со всех сторон щедрейших предложений потом не оберёшься.

https://habr.com/ru/company/domclick/blog/561774/ Открыть/Комментировать

2021-06-20 17:14:02 Вот казалось бы, смотришь — милейшая женщина. Верстает себе сайты, на форумах раздаёт советы тем, кто только начал постигать фронтенд, да рассказывает на страничке ВК, как хочет быть крутым программистом и летать к клиентам в разные страны. А потом раз, и милейшую женщину арестовывают во время перелёта над Майями как опасную киберпреступницу, работавшую над небезызвестным Trickbot.

Брайан Кребс изучил историю 55-ти летней Аллы Витте, которую в начале июня осудили за финансовые преступления в США. Оказывается, подкованная в делах малверных преступница до парадоксального беспечно относилась к собственной безопасности: её персональные данные были доступны всем членам кибергруппировки. Кроме того, малварь Trickbot лежала на сайте с её именным доменом, а сама Алла преспокойненько путешествовала там, где её могли перехватить американские спецслужбы. Спецслужбы, собственно, это и сделали.

В дополнение к истории Аллы Брайан Кребс рассматривает рекрутинговые процессы кибергруппировки Trickbot. Ничего особенного: сидят на каком-нибудь хедхантере, просматривают резюме программистов в поиске и скидывают тестовые задания. По этим заданиям многие потенциальные кандидаты быстро догадываются, для чего можно использовать подобный софт. Как водится, часть отказывается сразу, а с оставшимися начинают сотрудничать. Не догадаться, впрочем, довольно тяжело.

https://krebsonsecurity.com/2021/06/how-does-one-get-hired-by-a-top-cybercrime-gang/ Открыть/Комментировать

2021-06-19 14:20:48 Роскомнадзор решил заблокировать доступ к VyprVPN и бесплатному встроенному ВПН Оперы для всех, кроме особого белого списка компаний. Затеяно всё это, конечно, для защиты тебя от запрещённого контента вроде Линкедина. Как результат, Опера оперативно убрала ВПН для российских пользователей, не согласившись фильтровать трафик. Кнопка включения ВПН пропала, а вкладка, где она была, из «Конфиденциальности и безопасности» стала просто «Безопасностью».

Пока ничего не известно о том, затронут ли похожие ограничения других ВПН-провайдеров, хотя якобы список целей Роскомнадзора на грядущие годы уже пару месяцев гуляет в сети. Если ему верить, дальше на очереди Hola! и ExpressVPN. Пару лет назад, помню, РКН под угрозой блокировки уже требовал у многих провайдеров из списка дать доступ к своим серверам в России и подключиться к блэклисту. В ответ те просто-напросто свернули эти самые сервера. Посмотрим, продолжится ли эта история.

https://habr.com/ru/news/t/563384/ Открыть/Комментировать

2021-06-16 19:34:06 А ещё у нас недавно вышла статья на Хабре про серьёзную уязвимость в платформе для обучения пентестам TryHackMe. Оказывается, виртуальные стенды в ней — всевидящее око, с помощью которого при желании можно вытянуть с машин пользователей данные или что-нибудь на них поделать. Вот так вот сидишь, нарешиваешь виртуалки, а с твоей машины кто-то может майнить крипту.

https://habr.com/ru/company/tomhunter/blog/562826/ Открыть/Комментировать

2021-06-16 17:06:59 Тут недавно истёк срок действия NDA у сотрудников RSA Security, и они наконец-таки поведали о деталях легендарной атаки 2011 года. Атаки, напомню, очень ироничной: RSA всё-таки сама безопасностью занимается.

А почему легендарной? Потому что это была первая в мировой истории supply chain attack. Суть очень простая: не можешь вскрыть очень прочно защищённую компанию-цель — найди используемые ею продукты и вскрой их. Это сейчас такая история периодически повторяется (например, такое было с SolarWinds), а тогда — прямо настоящее новшество.

Если вкратце, хакеры вскрыли хранилище сидов. Эти сиды использовались для генерации 2FA-кодов в SecurID, основном продукте RSA. Учитывая, что среди пользователей десятки миллионов клиентов из банков, правительственных и военных агентств, крупных корпораций и иже с ними, получается довольно внушительно.

Безопасник RSA Тодд Литхэм первым заметил странного пользователя на сервере и заподозрил взлом. Его попытки помешать хакерам оказались безуспешными, как и все старания их после этого поймать. Злоумышленники ускользнули без следа, отобрав у RSA ценнейшие данные и репутацию. Оставили после себя только подозрения о том, что это был кто-то из киберразведки НОАК. Или нет?..

Полную саспенса историю можно почитать на Хабре. Спойлер: началось всё с того, что один сотрудник RSA сидел под старыми Виндой и Офисом, а также не поставил никаких ограничений на установку подозрительных программ. И вот пришло этому сотруднику, жившему в век до современных ИБ-тренингов, безобидное письмо на почту…

https://habr.com/ru/company/itsumma/blog/558604/ Открыть/Комментировать

2021-06-14 15:58:35 Прости за тишину! Возвращаюсь после небольшого простоя и сразу делюсь случившейся за это время милой историей, которую ты мог пропустить. Есть такая компания Cellebrite. Занимаются они тем, что делают сай-фай сказки про киберпанковый тоталитаризм былью: разрабатывают софт, вытягивающий данные из мобильных устройств. Послужной список клиентов богатый, от Китая до эскадронов смерти в Бангладеше. Не так давно Cellebrite объявила, что научилась ломать тот самый мессенджер Signal, и теперь её софт сможет вытягивать переписки в нём из устройства.

Signal в ответ не растерялись и решили изучить уязвимости в самих продуктах Cellebrite. Сделать это оказалось несложно. Помогла счастливая случайность: по совершенно невероятному совпадению, Мокси Марлинспайк из Signal нашёл чемоданчик Cellebrite во время обычной безобидной прогулки. Внутри чемоданчика оказались последние версии софта и целая куча адаптеров.

Результат исследования авторов очень порадовал. Оказывается, достаточно включить в исходники приложения совершенно безобидный файлик определённого вида. Когда софт Cellebrite просканирует это приложение и доберётся до файлика, можно будет изменить содержание репорта по устройству. Не только этого репорта, но и всех предыдущих с последующими. Убрать или добавить любые данные, адреса, контакты, файлы, в том числе рандомно, причём без изменений контрольной суммы и возможности отката. Более того, с помощью волшебного файлика можно исполнить любой код на машине, на которой запущен Cellebrite!

А выводы какие? А никаких. Signal ни на что не намекает. Говорит только, что следующие версии приложения будут периодически тянуть безобидные файлики, ничего не делающие внутри самого Signal и нигде не использующиеся. Выглядят только мило, а эстетика в софте — это важно.

https://signal.org/blog/cellebrite-vulnerabilities/ Открыть/Комментировать

2021-03-16 12:56:28 Тут очередная прекрасная история подъехала. Здесь есть всё: и человеческий фактор, и слив информации, и даже тюрьма.

А сама история так же коротка, как и забавна. Некий немецкий стажёр, проходивший практику в тюрьме на окраине Берлина скинул друзьям по WhatsApp`у фото тюремного мастер-ключа. Здесь, пожалуй, стоит оговориться, что мастер-ключ — это без дураков ключ от всех дверей. Потому он и мастер.

По фотографии опытный слесарь "за сотку" может изготовить тебе точную копию ключа. А неравнодушные кореша с радостью пронесут эту копию своим братишкам, отбывающим срок в одном из колл-центров Сбербанка.

Надо ли говорить, что у немецких тюремщиков подгорело так сильно, что буквально за ночь было заменено шесть сотен замков во всей тюрьме. Сам же стажёр был незамедлительно отправлен в свободное плавание с неиллюзорной перспективой отдать пятьдесят тысяч евро за работу по смене замков.

А я вот думаю, а что было бы, если бы он отправил фото через Телеграм? Открыть/Комментировать

2021-03-16 12:01:35 Новость, которую лучше рассказать поздно, чем никогда.

Наверняка ты слышал, что в конце февраля в одном из самых распространённых почтовиков Microsoft Exchange были обнаружены уязвимости, позволявшие злоумышленнику пробраться внутрь периметра жертвы через веб-клиент OWA (Outlook Web Access).

Microsoft выкатила срочные обновления и рекомендации для тех, кто по тем или иным причинам не может накатить апдейты прямо сейчас. Однако, лишь за этот короткий промежуток времени с конца февраля по начало марта более тридцати тысяч компаний по всему миру стали жертвами хакеров, эксплуатирующих эти уязвимости.

Особенно ярко отличились китайские хакеры из APT-группировки HAFNIUM, которые актизивировались уже после выхода обновлений и принялись атаковать тех, кто проявил нерасторопность.

На данный момент, статистика "необновлённых" компаний продолжает оставаться неутешительной. Открыть/Комментировать