НеКасперский

Шило в мешке не утаишь Компания Nokia начала расследование возможной утечки данных после заявления хакера IntelBroker на BreachForums о краже их исходного кода. По словам злоумышленника, доступ был получен через сервер стороннего подрядчика из-за слабых паролей на SonarQube. В руки хакера попали SSH-ключи, исходный код и другие конфиденциальные данные. Nokia пока не подтвердила факт утечки, но активно изучает ситуацию. Это далеко не первый громкий взлом от IntelBroker. Среди них — взлом портала экспертов Европола, утечка исходного кода внутренних инструментов Apple, компрометация данных AMD, включая исходные коды прошивок, а также взлом T-Mobile. Хакер также причастен к атакам на крупнейшие банки Великобритании HSBC и Barclays, а также на подрядчиков ЦРУ и АНБ. Ситуация вновь поднимает вопрос о безопасности в цепочке поставок. Компании часто забывают, что слабое звено может находиться за пределами их собственной инфраструктуры. Ждём развития событий и официальных заявлений от Nokia. НеКасперский

qБитый В популярном BitTorrent-клиенте более 14 лет существовала уязвимость, позволяющая проводить MITM атаки. С 6 апреля 2010 года в компоненте DownloadManager отсутствовала проверка SSL/TLS-сертификатов, поэтому qBittorrent доверял всем. Уязвимость устранили только в версии, выпущенной в конце октября 2024. Но разработчики решили об этом умолчать и даже не присвоили проблеме идентификатор CVE. Интересный подход к безопасности 🧐 Ранее qBittorrent зарегистрировал много других опасных CVE, вспомним некоторые из них. В одной из них использование учетных данных по умолчанию в веб-интерфейсе позволяло эксплуатировать RCE через функцию "внешней программы". В другой уязвимости специальные символы в имени торрента могли привести к RCE через RSS-ленту. И как вишенка на торте: неэкранированные значения могли привести к XSS-атакам. НеКасперский

Планы сорвались Спецслужбы нарушили планы иранских хакеров по саботажу Олимпийских игр 2024 в Париже. ФБР совместно с Минфином США и Национальной дирекцией по кибербезопасности Израиля завили, что к инциденту причастны участники группы Emennet Pasargad. Они же ранее попались на атаке французского поставщика дисплеев, цель которой заключалась в том, чтобы пробно вывести на табло Олимпийских игр иллюстрации с осуждениями и угрозами в адрес израильских спортсменов от лица фальшивой французской группы. Характерными действиями Emennet Pasargad является использование компании Aria Sepehr Ayandehsazan, подставных хостинг-провайдеров, а также ИИ для создания поддельных изображений и новостных материалов. В ходе расследования стало известно, что эта группировка взаимодействует организациями и лицами, связанными с КСИР. В октябре этого года Госдеп США объявил о вознаграждении в размере $10 миллионов за сведения об иранских злоумышленниках. НеКаспреский

На опыте Nvidia обнаружила более 8 уязвимостей в софте для виртуальных GPU, а также в графических драйверах для Windows и Linux. Брешь позволяет злоумышленникам получить доступ к устройству пользователя с повышением привилегий и скомпрометировать конфиденциальные данные. Компания выпустила обновления для Tesla, Quadro, NVS, NVIDIA RTX и GeForce. Проблема была устранена в драйвере GeForce 566.03. Представители Nvidia настоятельно советуют пользователям обновить ПО до последней версии. Будем надеяться, что ситуация с CosmicString была поучительной, и в этот раз юзеры не станут игнорировать рекомендации производителей. НеКасперский

Трейдинг по-тёмному Злоумышленники распространяют троян через telegram-каналы о финансах и трейдинге. По словам специалистов, вредоносное ПО содержится в архивах с файлами, которые прикрепляют к постам андминистраторы каналов. Сразу после того, как пользователь откроет эти файлы, на устройство загрузится вирус DarkMe, позволяющий скомпрометировать данные и удалённо выполнить команды на устройстве жертвы. Чаще всего в эту ловушку попадают любители быстрого заработка. Вместо того чтобы приумножить свои сбережения, горе-предприниматели пополняют ассортимент даркнета. У хакеров свой способ заработка на трейдинге 🤪 НеКасперский

Bad, Google На днях все начали обсуждать мартовскую находку специалистов PT. Мы удивились, опросили коллег из android-разработки и удивление наше подтвердили. Дело в том, что около 25% приложений Android работает на базе уязвимой библиотеки Android Jetpack. Но все разработчики это прекрасно знают. Как правило, библиотеку используют в стартапах или дешёвых приложениях. Причиной всему брешь, с помощью которой злоумышленники могут получить доступ к данным, следить за пользователями с помощью прослушки и камеры, а также открывать фрагменты внутри приложения и выгружать в него любые сведения, независимо от ограничений, установленных производителем. Только после мартовской публикации из изменений можно было заметить лишь новое предупреждение от Google на странице описания обработки диплинков. Вряд ли такая большая компания станет в корне разбираться с этой проблемой, ведь намного выгодней успокоить пользователей с помощью простого оповещения. НеКасперский

Затишье перед бурей Хакерская группировка StormouS.X Ransomware неделю назад заявила о масштабном взломе компании Transak, занимающейся криптовалютными платежами. По их словам, они получили доступ к внутренним системам, включая AWS, системы управления клиентами и сервисы KYC, связанные с внешними партнёрами. Хакеры похитили более 300 ГБ личных документов свыше миллиона пользователей таких сервисов, как Trust Wallet, MetaMask, ZilSwap и других. Среди утекших данных: • Паспорта и селфи • Подтверждения прописки • Финансовая выписка StormouS.X уже опубликовали более 60 ГБ данных и угрожают слить оставшиеся 250 ГБ или продать их наивысшему покупателю, если Transak не пойдёт навстречу. При этом Transak утверждает, что инцидент затронул лишь 1,14% пользователей, что хакеры называют откровенной ложью. Мы следили за развитием событий и ждали кульминации, однако после нескольких постов с угрозами всё затихло. Вероятно, Transak замяли ситуацию тихонько, без широкой огласки) НеКасперский

Пойман с поличным Власти США обвинили гражданина РФ в разработке программы RedLine, с помощью которой злоумышленники получали доступ к ПДн пользователей, их логинам и финансовым сведениям. В окружном суде Техаса заявили, что к созданию ПО причастен некий Максим Рудометов, в его арсенале был код RedLine, доступ администратора к инфраструктуре и криптоаккаунтам, через которые прогонялись денежные средства подписчиков MaaS. Об этом стало известно в ходе операции «Магнус», которую провели международные правоохранительные органы совместно с ФБР, полицией Нидерландов и Eurojust. В результате расследования по всему миру было обнаружено более 1200 серверов, используемых в качестве хостинг инфостилеров. Также обезврежено три ключевых сервера и ликвидированы Telegram-каналы для взаимодействия с клиентами MaaS. В США Рудометова обвиняют в нескольких преступлениях, в том числе в мошенничестве, отмывании денег и заговоре с целью компьютерного вторжения. Теперь ему грозит до 35 лет лишения свободы. НеКасперский

Карманы пустеют Неназванные злоумышленники в очередной раз похитили крипту у правительства США. Сразу несколько специалистов сообщили об атаке на подконтрольный властям США кошелёк. Исследователи полагают, что на нём хранились средства, удержанные после инцидента со взломом криптобиржи Bitfinex в 2016 году. Аналитики выяснили, что $20 млн были выведены на неизвестные счета в разных активах. По данным Arkham, средства, которые лежали на кошельке порядка восьми месяцев, были украдены с кредитной криптоплатформы Aave. Пока представители супер анонимных платформ отмалчиваются, преступники спокойно отмывают деньги через Swiftchain и Binance. По всей видимости, защита крипы сделана на коленке, иначе как объяснить такое количество инцидентов?🤷🏻‍♂️ НеКасперский

Последствия Злоумышленники получили доступ к информации из пропусков для передвижения по Москве во время пандемии. Актуальность скомпрометированных данных, очевидно, датируется 2020 годом. Утекло порядка 13 миллионов строк, включающих в себя: • ФИО • Номер телефона • Электронную почту • Паспортные данные • Адрес проживания • Место работы • Номер машины Как выяснилось, украденные сведения принадлежат, в том числе, сотрудникам правительства Москвы, МО РФ, МИД, ФСО и др. Классика: Собрали ПДн, но поинтересоваться, кто будет следить за их безопасностью забыли. Вечная сверхмера о хранении очередного пласта данных, чтобы не дай бог человек без регистрации не попал на футбольный стадион, например. Идею Шадаева тоже поддержали?) НеКасперский

Под корень Хакеры из Ukrainian Cyber Alliance утверждают, что полностью уничтожили ИТ-инфраструктуру Тверской администрации. По их заявлениям, десятки виртуальных машин, хранилища с бэкапами, сайты, почта и сотни рабочих станций были снесены. Хакеры сообщают, что у администрации не осталось ничего: интернет не работает, телефоны молчат, даже парковка перестала функционировать. В руках злоумышленников якобы оказались: • Панель управления виртуальными машинами • Конфигурации безопасности из Kaspersky Security Center • Таблицы маршрутизации с IP-адресами ключевых объектов, включая ЗАГС, Правительство ТО и даже УФСБ • Настройки Asterisk с данными SIP-транков и расширений • Содержимое веб-серверов с доменами tver.ru, cloud.adm.tver.ru и другими • Списки учетных записей пользователей и сотрудников Официального подтверждения этой информации пока нет, однако сайты Твери действительно не работают. НеКасперский