IT Дайджест / IT Новости / IT / Технологии

Киберпреступники атаковали сайт центра Jet CSIRT Инфосистемы Джет #взлом #ИнфосистемыДжет Сегодня сайт центра мониторинга и реагирования на киберинциденты компании «Инфосистемы Джет» подвергся атаке со стороны иностранных киберпреступников. Специалисты временно отключили доступ к ресурсу. Представители «Инфосистемы Джет» разъяснили, что на сайте присутствует только справочная информация об услугах Jet CSIRT, его инфраструктура полностью изолирована от инфраструктуры АО «Инфосистемы Джет», а также от самого Jet CSIRT. Оказалось, сайт администрировал подрядчик с локальными учётными записями. Заказчики и Jet CSIRT прямо не пострадали от действий злоумышленников. Команда «Инфосистемы Джет» отключила сайт после сообщений об изменении его состояния: атакующие провели дефейс, вывесив поздравления с Днем конституции Украины. Компания обещает предоставить все детали после обстоятельного расследования киберинцидента. LH | Новости | Курсы | Мемы

В даркнете продают доступ к аккаунтам Госуслуг для регистрации мигрантов #Госуслуги В даркнете растет число объявлений о продаже аккаунтов Госуслуг «для миграционного учета». Новая форма подачи краденого появилась в связи с ужесточением контроля легальности пребывания иностранцев в стране после теракта в «Крокус Cити Холле». Доступ к личным кабинетам на «Госуслугах» позволяет мошенникам регистрировать приезжих без ведома владельца жилья. Купля-продажа ключей осуществляется через боты Telegram. «Как правило, основная форма незаконных услуг для мигрантов — помощь в пересечении границы, а также фиктивная постановка на учет, — цитируют «Известия» комментарий московского адвоката Никиты Головина. — Например, через регистрацию приезжих в так называемых резиновых квартирах, где одновременно могут быть прописаны до сотни человек. При этом каких-либо проверок со стороны контролирующих органов, участковых уполномоченных обычно не проводится». По данным DLBI, некоторые выставленные на продажу «аккаунты под миграционный учет» раздобыты с помощью купленных у телеоператора симок б/у. К номеру бывшего владельца могут быть привязаны различные аккаунты, в том числе Госуслуг. LH | Новости | Курсы | Мемы

TeamViewer сообщает о взломе корпоративной сети #TeamViewer #взлом 26 июня компания TeamViewer сообщила об обнаружении аномалии в своей внутренней корпоративной IT-среде. Была активирована группа реагирования и начато расследование совместно с ведущими мировыми экспертами по кибербезопасности. Были также предприняты необходимые меры по устранению последствий инцидента. TeamViewer уверяет, что корпоративная IT-среда полностью изолирована от среды продуктов компании, и на данный момент нет свидетельств того, что данные клиентов пострадали в результате инцидента. Подробности о том, кто мог стоять за взломом и каким образом он был осуществлен, не разглашаются, но TeamViewer обещает предоставлять обновления по мере поступления новой информации. Несмотря на декларируемую прозрачность, страница с заявлением о взломе содержит метатег <meta name="robots" content="noindex">, блокирующий индексацию документа поисковыми системами. Это существенно затрудняет доступ пользователей к информации и противоречит заявленным принципам открытости. Первое сообщение о взломе появилось на Mastodon от ИБ-специалиста Jeffrey, который поделился частью оповещения от команды NCC Group, размещённого на Dutch Digital Trust Center — веб-портале, который используется правительством, экспертами по безопасности и голландскими корпорациями для обмена информацией об угрозах кибербезопасности. В оповещении говорится, что платформа TeamViewer подверглась взлому со стороны APT-группы. NCC Group сообщила, что ввиду широкого распространения TeamViewer, это предупреждение было разослано всем клиентам программы. Кроме того, сообщество Health-ISAC также сообщило, что услуги TeamViewer активно используются хакерами для получения удаленного доступа, о чем стало известно еще в январе. Health-ISAC рекомендовала проверить журналы на наличие необычного трафика удалённого рабочего стола. Хотя предупреждения от обеих компаний появились одновременно с сообщением TeamViewer об инциденте, не ясно, связаны ли они между собой. NCC Group и TeamViewer сообщили о взломе корпоративной среды, в то время как оповещение от Health-ISAC больше фокусируется на целевых атаках на подключения TeamViewer. Представители NCC Group и TeamViewer отказались предоставить дополнительные комментарии, заявив, что продолжают расследование инцидента. LH | Новости | Курсы | Мемы

В Spotify взломаны аккаунты Soda Luv, Yanix, Lida, исчезли песни Шамана #Spotify #взлом Неизвестный взломал Spotify-аккаунты ряда российских музыкантов (рэп, рок, треш и проч.) и выставил учетки на продажу в Telegram. Со стриминг-сервиса также исчезли песни Шамана, а треки Полины Гагариной переименованы. Факт массового взлома первым заметил бывший сотрудник Spotify Рустам Киреев (теперь работает на развлекательные сервисы «Яндекса»). В профилях Soda Luv, Yanix, Lida, Джизуса, 163Onmyneck поверх фото был многократно наложен адрес телеграм-канала, в котором предлагали купить логины и пароли пострадавших артистов.   «Учитывая, что российского офиса Spotify не существует, путь восстановления будет долгим и тернистым через службу поддержки, — отметил Киреев в своем сообщении в Telegram. — Усиливайте охрану и меняйте пароли, пока не поздно». Такие рекомендации небезосновательны: случаи взлома аккаунтов Spotify наблюдались и ранее — не исключено, что по вине владельцев, установивших слишком слабые пароли. LH | Новости | Курсы | Мемы

Свобода слова против дезинформации: суд разрешил властям США влиять на соцсети Верховный суд США постановил, что ряд штатов и пользователей соцсетей не имеют права оспаривать действия властей, которые призывали техногиганты удалять определенные посты. Таким образом, суду не удалось вынести решения по вопросу о том, насколько Первая поправка, гарантирующая свободу слова, ограничивает полномочия правительства США влиять на технологические компании. Суд постановил, что истцы – представители штатов и обычные пользователи – не понесли прямого ущерба и не имели права на подачу иска. Такое решение оставило открытым вопрос о том, какие ограничения накладывает Первая поправка на власть правительства влиять на технологические компании, которые играют ключевую роль в распространении информации в интернете. Дело возникло из-за многочисленных сообщений от представителей администрации, призывающих платформы удалять посты на такие темы, как вакцинация против коронавируса и заявления о фальсификации выборов. Иск подали генпрокуроры Миссури и Луизианы, а также три врача, владелец правого сайта и активистка, утверждавшая, что Facebook* скрыл её посты о побочных эффектах вакцины. По данным Верховного суда, который выступил от имени большинства проголосовавших (6 человек), истцы не смогли установить конкретную связь между своими ущербом и действиями правительства. Подчеркивается, что доктрина не позволяет суду осуществлять общий правовой надзор за другими ветвями власти. Три судьи, выступающие за проигравшую сторону (3 человека), выразил несогласие с решением Верховного суда. Судьи отметили, что высокопоставленные чиновники оказывали постоянное давление на Facebook* для подавления свободы слова американцев, что нарушает Первую поправку. Стоит отметить, что в ходе принятия решения суд избежал обсуждения вопросов нарушения Первой поправки. Проигравшая сторона также раскритиковала судью из Федерального окружного суда Западного округа Луизианы, который ввел судебный запрет на дальнейшие контакты, заявив, что это может быть «самой массированной атакой на свободу слова в истории США». Истцы выразили обеспокоенность тем, что Верховный суд своим постановлением нанёс ущерб свободе выражения. Подчеркивается, что ответ страны на пандемию Covid-19 был и остаётся важным вопросом, и что подавление различных точек зрения недопустимо. LH | Новости | Курсы | Мемы

Из провайдера в хакера: как южнокорейский телеком объявил войну своим клиентам #P2P #Malware Южнокорейские СМИ сообщают, что местная телекоммуникационная компания KT намеренно заразила клиентов вредоносным ПО из-за чрезмерного использования ими одноранговых (P2P) инструментов загрузки. Число зараженных пользователей «веб-жестких дисков» — южнокорейского термина, обозначающего службы веб-хранилищ, которые позволяют загружать и обмениваться контентом — достигло 600 000. Вредоносное ПО, предназначенное для сокрытия файлов, предположительно было внедрено в Grid Program — программа, который позволяет пользователям KT обмениваться данными методом peer-to-peer. Впоследствии службы обмена файлами перестали работать, что вызвало массовые жалобы пользователей. Ситуация начала разворачиваться в мае 2020 года и продолжалась почти 5 месяцев. Махинации с ограничением трафика происходили в одном из дата-центров KT. В связи с инцидентом полиция провела обыски в штаб-квартире и дата-центре компании, изъяла доказательства и начала расследование по подозрению в нарушении законов о защите данных и неприкосновенности частной жизни. В ходе расследования было выявлено, что в KT существовала целая команда, занимающаяся обнаружением и вмешательством в передачу файлов. Часть сотрудников занимались разработкой вредоносного ПО, другие — его распространением и эксплуатацией, а также прослушиванием телефонных разговоров. По предварительным данным, под подозрение попали 13 сотрудников KT и компаний-партнёров, которых могут привлечь к ответственности. KT пока официально не подтвердила инцидент. По словам местных СМИ, позиция компании заключается в том, что служба P2P веб-хардов сама по себе является вредоносной программой, поэтому компания вынуждена её контролировать. Однако методы такого «контроля» вызвали бурю негодования в обществе. LH | Новости | Курсы | Мемы

Akamai: 42% веб-трафика под контролем парсинг-ботов #Akamai #bot Akamai Technologies выпустила новый отчёт, который подробно описывает угрозы безопасности и бизнеса, связанные с распространением ботов для парсинга. Отмечается, что боты составляют 42% всего веб-трафика, причём 65% из них являются вредоносными. Электронная коммерция сильно страдает от высокорискового бот-трафика. Парсеры используются для конкурентной разведки, шпионажа, создания поддельных сайтов и других негативных действий, которые отрицательно влияют как на прибыль, так и на качество обслуживания клиентов. Отсутствие законов, запрещающих использование ботов-парсеров, и их сложность обнаружения из-за ботнетов на базе ИИ усугубляют проблему. Однако существуют меры, которые компании могут предпринять для защиты. В Akamai подчеркивают, что боты продолжают создавать серьёзные проблемы для владельцев приложений и API. Парсинг может украсть данные и создать поддельные сайты брендов. Развитие технологий «безголовых браузеров» (Headless browser) требует более сложного подхода к управлению активностью ботов, по сравнению с другими мерами на основе JavaScript. Ключевые выводы отчёта включают: • 1 ИИ-ботнеты способны находить и парсить неструктурированные данные и контент, что улучшает процесс принятия решений через сбор и обработку данных; • 2 Парсинг-боты могут создавать фишинговые кампании, собирая изображения продуктов, описания и информацию о ценах для создания поддельных сайтов; • 3 Боты могут способствовать злоупотреблению при открытии новых аккаунтов, что составляет до 50% потерь от мошенничества; • 4 Технические последствия скрейпинга включают ухудшение производительности веб-сайта, загрязнение метрик сайта, атаки с компрометацией учетных данных, увеличение затрат на вычисления и многое другое. LH | Новости | Курсы | Мемы

Шпион в ушной раковине: как AirPods предали миллионы пользователей #Apple #cve Компания Apple недавно выпустила важное обновление прошивки для своей линейки беспроводных наушников AirPods и некоторых моделей Beats. Это обновление направлено на устранение серьёзной уязвимости в системе безопасности устройств. Уязвимость, которой присвоен идентификатор CVE-2024-27867, представляет собой серьёзную угрозу для конфиденциальности пользователей. Она затронула широкий спектр популярных моделей наушников: • AirPods (2-го поколения и новее); • AirPods Pro (все модели); • AirPods Max; • Powerbeats Pro; • Beats Fit Pro. Суть проблемы заключается в том, что когда наушники пытаются установить соединение с устройством, с которым они ранее уже были сопряжены (например, со смартфоном владельца), злоумышленник, находящийся в зоне действия Bluetooth, может вмешаться в этот процесс. Атакующий способен подделать сигнал соединения и, таким образом, получить несанкционированный доступ к наушникам. Последствия такой атаки могут быть весьма серьёзными. Злоумышленник, успешно использовавший уязвимость, способен подслушивать приватные разговоры пользователя. Это представляет значительную угрозу конфиденциальности, особенно учитывая то, что многие люди используют AirPods для важных деловых звонков, личных разговоров и для общения с голосовыми помощниками, которым могут передавать конфиденциальную информацию. Apple отреагировала на эту проблему оперативно, выпустив обновления прошивки для затронутых устройств (AirPods 6A326, AirPods 6F8 и Beats 6F8). Компания заявила, что в этих обновлениях было улучшено управление состоянием устройств, что должно предотвратить возможность несанкционированного доступа к наушникам. Важно отметить, что для успешной атаки злоумышленник должен находиться в непосредственной близости от пользователя, в зоне действия Bluetooth. Это несколько ограничивает возможности для широкомасштабных атак, но все равно представляет серьёзную угрозу в многолюдных местах или для людей, часто находящихся в общественных пространствах. LH | Новости | Курсы | Мемы

CVE-2024-5806: новая дыра в MOVEit Transfer открывает сезон охоты на корпоративные данные #cve Новая критическая уязвимость в MOVEit Transfer от Progress Software позволяет кибератакам обходить механизмы аутентификации платформы. В течение нескольких часов после публикации информация об уязвимости начала активно эксплуатироваться в реальных условиях. MOVEit Transfer — это приложение для обмена файлами и сотрудничества в крупных предприятиях. В прошлом году оно стало мишенью вымогательской группировки Cl0p, атака которой затронула как минимум 160 компаний. Новая уязвимость ( CVE-2024-5806, CVSS: 7.4) является проблемой ненадлежащей аутентификации в модуле SFTP MOVEit. По данным Progress, она «может привести к обходу аутентификации в ограниченных сценариях». Уязвимость затрагивает версии MOVEit Transfer с 2023.0.0 по 2023.0.11, с 2023.1.0 по 2023.1.6 и с 2024.0.0 по 2024.0.2 Администраторам рекомендуется немедленно установить исправления. После прошлогодних атак MOVEit находится под пристальным вниманием киберпреступников, и доступ к внутренним файлам компаний из списка Fortune 1000 является весьма привлекательной целью для шпионских угроз. Ссылка на исследование. Ссылка на exploit. LH | Новости | Курсы | Мемы

Хакер в белом халате: как бывший сотрудник дочки Microsoft взломал систему здравоохранения США #взлом Американский поставщик медицинских услуг Geisinger сообщил, что личные данные более миллиона пациентов могли быть украдены, и подозреваемым виновником является бывший сотрудник дочерней компании Microsoft, Nuance Communications. Geisinger опубликовал результаты расследования инцидента, произошедшего в ноябре, указав на Nuance как на виновника взлома. После увольнения одного из своих сотрудников, Nuance не закрыла ему доступ к корпоративным файлам. Geisinger использует Nuance в качестве ИТ-провайдера. Согласно обвинениям, через 2 дня после увольнения сотрудник получил доступ к системе и сделал копии конфиденциальных данных пациентов Geisinger – по пока неизвестным причинам. Geisinger обнаружил несанкционированное проникновение в систему 29 ноября. Только после этого Nuance сразу отключила бывшего сотрудника от данных и обратилась в полицию. Задержка в уведомлении пациентов о произошедшем была вызвана просьбой правоохранительных органов не распространять информацию, чтобы не помешать расследованию. Бывший сотрудник Nuance уже арестован и ему предъявлены федеральные обвинения. Nuance провела собственное расследование и установила, что бывший работник мог похитить данные более 1 миллиона человек, включая даты рождения, адреса, записи о приеме и выписке из больницы, демографическую информацию и другие медицинские данные. Однако, финансовая информация и данные страхового полиса не были украдены. LH | Новости | Курсы | Мемы