В Сеть попала утечка из базы данных, опубликованная хакерами, пишет ТАСС со ссылкой на сообщение Telegram-канала Infosecurity. Утечка содержит 295 915 строк с последней записью от 25 мая 2023 года. Как полагает Telegram-канал, данные могут касаться соискателей на работу в сети ресторанов быстрого питания «Вкусно – и точка».

Источник изображения: Pixabay

Сообщается, что в открытом доступе оказались сведения о кандидатах на вакансии, включая их имена, возраст, гражданство, номер мобильного телефона, дату и источника запроса, а также процент прохождения теста на собеседовании, статус и место работы, вакансии и т.д.

В пресс-службе сети ресторанов быстрого питания «Вкусно – и точка» сообщили ТАСС в субботу, что служба безопасности и IT-департамент сейчас проверяют информацию об утечке данных с сайта для соискателей компании. В случае подтверждения факта утечки конфиденциальных данных компании грозит штраф за нарушение требований ч.1 ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных), максимальная сумма которого составляет 100 тыс. рублей.

Напомним, что в этом месяце суд оштрафовал на 60 тыс. рублей компанию VK за утечку данных пользователей почтового сервиса Mail.ru, несмотря на то, что компания утверждала, что её вины в этом нет, так как появление персональных данных пользователей почтового сервиса в открытом доступе связано с утечкой стороннего ресурса.

В минувшую среду Microsoft вместе с западными спецслужбами сделала заявление, согласно которому спонсируемая Китаем хакерская группа ведёт слежку за целым рядом объектов критической инфраструктуры США. Китай отвергает эти обвинения, назвав происходящее «коллективной дезинформационной кампанией» США и их союзников.

Источник изображения: FLY:D/unsplash.com

Базирующаяся в Китае хакерская группа, известная как Volt Typhoon или Bronze Silhouette, по словам Microsoft действует с середины 2021 года, занимаясь «шпионажем и сбором информации». Хакеры стремятся получить доступ к критически важным системам, и как можно дольше затем сохранять доступ, не выдавая своего присутствия. Список целей охватывает секторы связи, производства, коммунальных услуг, транспорта, строительства, морского судоходства, правительства, информационных технологий и образования.

Microsoft признает, что обнаружение и устранение последствий проникновения Volt в различные системы «может оказаться сложной задачей», поскольку для кражи информации группировка использует сочетание разных методов, включая безфайловые вредоносные программы и получение данных учетных записей. Microsoft считает, что целью кампании Volt является разработка возможностей, которые «могут нарушить критически важную инфраструктуру связи между США и Азиатским регионом во время будущих кризисов».

В связи с обнаружением Microsoft активности хакеров Агентство по кибербезопасности и безопасности инфраструктуры (CISA) выпустило рекомендации по кибербезопасности, которые поддержала принадлежащая Dell компания по кибербезопасности Secureworks.

По данным агентства Reuters, Volt Typhoon считается одной из крупнейших известных китайских группировок по кибершпионажу, нацеленных на США, которая также работает и в других регионах. В настоящее время Агентство национальной безопасности (АНБ) США и Федеральное бюро расследований (ФБР) США в сотрудничестве с разведывательным альянсом «Пять глаз», в который входят США, Австралия, Канада, Новая Зеландия и Великобритания, выясняют, не было ли уже проникновений Volt Typhoon в компьютерные системы других стран.

Комментируя эти заявления, официальный представитель министерства иностранных дел Китая Мао Нин (Mao Ning) отметила, что в хакерских атаках виновен Вашингтон и что «Соединённые Штаты — это империя хакерских атак».

Telegram-канал «Утечки информации» исследовательской компании DLBI сообщил о появлении в открытом доступе актуальных на 18 мая данных клиентов сети лабораторий «Ситилаб». В обнаруженных файлах содержатся логины, хешированные пароли, ФИО, пол, дата рождения, дата регистрации, 483 тысячи уникальных адресов электронной почты и 435 тысяч уникальных номеров телефонов.

Источник изображения: pressfoto / freepik.com

Адреса электронной почты реальные — исследователи компании DLBI проверили часть из них через форму восстановления аккаунта на сайте «Ситилаб». Утверждается, что хакерам удалось похитить в общей сложности 14 Тбайт данных. В открытый доступ выложена пока только часть украденной информации объёмом 1,7 Тбайт. Кроме непосредственно данных о клиентах сети лабораторий в свободном доступе оказались около 1000 документов в формате PDF с результатами анализов, исследованиями, договорами и чеками.

Пока комментариев от «Ситилаб» не поступало. Хакеры не первый раз обращают своё криминальное внимание на медицинские лаборатории — в мае 2022 года в даркнете продавалась информация из 30 млн строк личных данных клиентов «Гемотеста». В июле компанию оштрафовали на 60 тысяч рублей за утечку данных пользователей. Вряд ли такой штраф может серьёзно озаботить компанию с внушительными финансовыми оборотами.

Специалисты компании Check Point Research, работающей в сфере информационной безопасности, обнаружили вредоносную прошивку для широкого спектра домашних и корпоративных маршрутизаторов TP-Link. С её помощью хакеры, предположительно поддерживаемые китайскими властями, объединяют заражённые устройства в сеть, трафик внутри которой скрытно передаётся на подконтрольные злоумышленникам серверы.

Источник изображения: Pixabay

По данным Check Point, вредоносная прошивка содержит полнофункциональный бэкдор, позволяющий хакерам устанавливать связь с заражёнными устройствами, передавать файлы, осуществлять удалённое выполнение команд, а также загружать, скачивать и удалять данные на подконтрольных устройствах. Вредоносное программное обеспечение распространяется под видом прошивки для маршрутизаторов TP-Link. Предполагается, что основная цель ПО заключается в скрытой ретрансляции трафика между заражёнными устройствами и подконтрольными хакерам серверами.

Анализ вредоносного ПО показал, что его операторы связаны с группировкой Mustang Panda, которая, по утверждению компаний Avast и ESET, поддерживается китайскими властями. Вредоносная прошивка была обнаружена в ходе расследования серии хакерских атак на европейские внешнеполитические структуры. Главным компонентом ПО является бэкдор, получивший название Horse Shell. Он позволяет осуществлять удалённое выполнение команд на заражённых устройствах, передавать файлы для загрузки на устройства жертв и выгружать данные, а также обмениваться данными между двумя устройствами с использованием протокола SOCKS5.

«Бэкдор может использоваться для ретрансляции данных между двумя узлами. Таким образом, злоумышленники могут создать цепочку узлов, которые будут передавать трафик на подконтрольный сервер. Такой подход позволяет киберпреступникам скрыть конечную точку назначения, поскольку каждый узел в цепочке имеет данные только о предыдущем и следующем узлах, каждый из которых представляет собой заражённое устройство. Лишь несколько узлов будут содержать данные о конечном узле», — говорится в сообщении Check Point.

Один из крупнейших поставщиков аптечных услуг в США — PharMerica — подтвердил, что хакеры из Money Message получили доступ к личным данным почти шести миллионов пациентов. Среди украденных данных оказались как общая информация, так и медицинские данные.

Источник изображения: pixabay

В уведомлении об утечке данных, поданном генеральному прокурору штата Мэн, компания PharMerica сообщила, что 14 марта узнала о подозрительной активности в своей компьютерной сети. Внутреннее расследование показало, что «неизвестная третья сторона» получила доступ к её системам днями ранее и украла личную информацию 5,8 млн пациентов. В письме, отправленном пострадавшим клиентам, компания сообщила, что хакеры получили имена пациентов, даты рождения, номера социального страхования, список лекарств и информацию о медицинском страховании. Однако образцы утекших данных подтверждают, что хакеры также украли защищённую информацию о здоровье по крайней мере 100 пациентов, включая информацию об аллергиях, номера медицинских страховок и подробные диагнозы, включая сведения об употреблении алкоголя, наркотиков и наличии психических заболеваний.

Украденные данные были опубликованы на сайте хакерской группировки Money Message, которые в марте совершили атаку на производителя компьютерных комплектующих MSI. Команда хакеров утверждает, что украла в общей сложности 4,7 Тбайт данных у PharMerica и её материнской компании BrightSpring Health, поставщика медицинских услуг на дому. В заявлении, размещённом на веб-сайте PharMerica, компания сообщила, что предпринимает дополнительные шаги, чтобы помочь снизить вероятность возникновения подобного события в будущем, но не уточнила, какие именно это будут шаги.

Инцидент с PharMerica, в котором пострадали почти шесть миллионов пациентов, стал крупнейшим взломом личных данных пациентов в этом году. Второе по величине преступление связано с медицинской фирмой Regal Medical Group из Южной Калифорнии, которая в январе подтвердила, что был получен доступ к данным более 3,3 миллиона пациентов.

Хакерские группировки, связанные с Северной Кореей, с 2017 года похитили около $2,3 млрд в криптовалюте, в том числе у предпринимателей из Японии — $721 млн. Об этом пишет издание Nikkei Asia со ссылкой на данные исследования компании Elliptic, специализирующейся на анализе платформ на основе блокчейна.

Источник изображения: freepik

В сообщении сказано, что северокорейские хакеры нацелились на криптовалютные активы других стран, чтобы получить доступ к иностранной валюте, необходимой для реализации ракетной программы своей страны. По оценке экспертной группы Совета Безопасности ООН, северокорейские хакеры похитили от $600 млн до $1 млрд в криптовалюте в 2022 году. Это вдвое больше по сравнению с суммой украденных средств за предыдущий год. По подсчётам Elliptic, сумма похищенных средств в 2022 году составила $640 млн.

По данным источника, Северная Корея для кражи криптовалюты не только проводит хакерские атаки, но и использует вымогательское программное обеспечение. Чаще всего целью северокорейских хакеров становятся криптовалютные биржи из Японии. Отмечается, что злоумышленники в основном полагаются на проведение прямых атак, поскольку в случае их успеха можно извлечь большую выгоду, чем при использовании вымогательского ПО, которое далеко не всегда эффективно. В сообщении сказано, что основными целями хакеров были участники быстроразвивающихся криптовалютных рынков Японии и Вьетнама. Как минимум три японские криптобиржи были взломаны северокорейскими хакерами в период с 2018 по 2021 годы.

В Elliptic подсчитали, что в период с 2017 года по конец 2022 года северокорейские хакеры по всему миру похитили около $2,3 млрд в криптовалюте. При этом $721 млн приходится на Японию, ещё $540 млн на Вьетнам, $497 млн на США и $281 млн на Гонконг. По данным Японской организации по развитию внешней торговли, украденные у страны $721 млн в 8,8 раза больше объёма экспорта Северной Кореи в 2021 году.

По данным Роскомнадзора, в первом квартале 2023 года было удалено и заблокировано 7,2 тыс. фишинговых сайтов, тогда как за аналогичный период прошлого года их количество не превышало 2 тыс. единиц. Отмечается, что такие ресурсы в зоне .ru встречаются всё реже, поскольку хакеры активнее используют малоизвестные доменные зоны, такие как .ml, .tk и др.

Источник изображения: freepik

В сообщении сказано, что наибольшее количество доменов со ссылками по незаконной финансовой деятельности и поддельным документам приходилось на доменные зоны .com (52 %), .ru (13), а также .xyz и .site (по 8 %). Мошенники также использовали домены в зонах .top, .io, .net, .pro и .ws. Минцифры занимается блокировкой фишинговых сайтов с помощью системы «Антифишинг», которая начала функционировать в июне прошлого года. В ведомстве отметили, что в зоне .ru «фишинга становится меньше».

Работающие в сфере информационной безопасности компании подтверждают эту тенденцию. По данным «Лаборатории Касперского», с начала 2023 года наибольшее количество попыток перехода на фишинговые страницы российских пользователей пришлось на доменные зоны .com (48 %), .ru (12 %) и .ws (6 %).

Специалисты F.A.C.C.T. (бывшая Group IB) отметили изменение зон регистрации используемых для фишинга доменов. По их данным, в зоне .ru количество фишинговых ресурсов год к году сократилось с 5,2 % до 4,8 %. При этом в зоне .com за аналогичный период количество регистраций фишинговых страниц снизилось на 14 % и составило 24 %. Такая тенденция может быть связана с деятельностью по обнаружению и блокировке фишинговых страниц, а также с переездом таких ресурсов в зоны бесплатных доменов. В зоне .tk количество фишинговых сайтов за первый квартал выросло в 20 раз, а в остальных зонах — в 4 раза.

Технический директор направления анализа и защищённости центра инноваций Future Crew МТС RED Алексей Кузнецов напомнил, что количество фишинговых сайтов в российском сегменте исчисляется тысячами, а в сегменте .com — десятками тысяч. «Фишинг продолжает набирать популярность, активно эксплуатируя актуальную повестку, а спрос на доменные имена в экзотических доменных зонах (.ml, .tk, .cf, .ga) растёт», — отметил господин Кузнецов.

Хакерская группа Money Message упростила взлом ноутбуков компании MSI, опубликовав конфиденциальные ключи сертификации программного обеспечения для продуктов производителя, похищенные ранее с серверов самой MSI. Теперь злоумышленники могут заражать ноутбуки под видом официальных BIOS, и система не заметит подвоха.

Источник изображения: Pete Linforth / pixabay.com

В прошлом месяце серверы MSI подверглись хакерской атаке. Злоумышленники похитили конфиденциальные данные и пригрозили их опубликовать, если MSI не заплатит им выкуп в размере нескольких миллионов долларов. Судя по всему, компания не пошла на сделку с хакерами, поэтому последние в четверг на своём сайте в даркнете опубликовали различные закрытые данные производителя, включая ключи аутентификации программного обеспечения для ноутбуков MSI.

Компания Binarly, занимающаяся вопросами кибербезопасности, проанализировала слитые хакерами данные и подтвердила, что в них помимо прочего содержатся ключи BIOS для 57 моделей ноутбуков компании. Binarly опубликовала на своей странице в репозитории GitHub список затронутых моделей ноутбуков.

Скриншот с частью похищенных данных. Источник изображения: PCMag

Эти ключи носят важное значение, поскольку MSI использует их для сертификации обновлений своего программного обеспечения. Без них компьютер будет воспринимать обновление ПО как ненадёжное и потенциально вредоносное. Теперь эти ключи могут оказаться не в тех руках и использоваться для подписи вредоносного кода, но системой он будет восприниматься, как официальный от производителя.

«Ключи подписи к ПО позволяют злоумышленнику создавать вредоносные обновления прошивки, которые могут быть доставлены на систему жертвы через обычные процессы обновления BIOS с помощью инструментов обновления MSI», — прокомментировал в разговоре с изданием PCMag глава компании Binarly Алекс Матросов (Alex Matrosov).

Посредством ключей вредоносное ПО может оказаться на компьютере пользователя через фейковые сайты или электронные письма, якобы от MSI. Однако по словам Матросова, ключевой вектор атаки в данном случае будет проводиться через «вторичную загрузку» — после того, как вредоносное ПО окажется на компьютере жертвы посредством загрузки через браузер или фишинговую атаку. Большинство антивирусных систем в этом случае просто проигнорируют вредоносное ПО на компьютере, поскольку посчитают, что оно подписано самим производителем.

Ещё одной проблемой является утечка ключей для Intel Boot Guard, которая обеспечивает аппаратную защиту целостности загрузки BIOS, отслеживает несанкционированные блоки загрузки и запрещает их исполнение. По данным Binarly, в утёкших данных MSI содержатся ключи Intel Boot Guard для 117 продуктов компании. При этом отмечается, что технология Intel Boot Guard используется во многих сегментах.

«Утечка ключей Intel BootGuard накладывает отпечаток на всей экосистеме, а не только на продуктах MSI, и делает эту функцию безопасности бесполезной», — говорит Матросов. В MSI и Intel на запрос комментариев PCMag не ответили.

К настоящему моменту в MSI лишь посоветовали своим пользователям не скачивать её софт из неофициальных источников. По мнению Матросова, у MSI очень ограничен выбор возможных решений этой проблемы. «Мне кажется, что MSI оказалась в очень затруднительной ситуации, поскольку для обновления ключей на новые безопасные потребуется использовать старые ключи, которые были похищены. Я не думаю, что у компании имеется некий механизм, позволяющий просто отозвать скомпрометированные ключи», — добавил эксперт.

Стало известно, что подведомственный Роскомнадзору «Главный радиочастотный центр» оштрафован за утечку данных сотрудников. На это указывают данные картотеки Судебного участка мирового судьи №456. Запись о постановлении «о назначении административного наказания» появились в картотеке 2 мая, но текст постановления ещё не был опубликован.

Источник изображения: Pixabay

Напомним, осенью прошлого года ГРЧЦ был атакован белорусской хакерской группировкой «Киберпартизаны», о чём они сами заявили в своём Telegram-канале. В сообщении говорилось, что злоумышленникам удалось взломать внутреннюю сеть жертвы, выгрузить документы и внутреннюю переписку сотрудников. Хакеры также утверждали, что им удалось зашифровать рабочие компьютеров сотрудников и повредить инфраструктуру ГРЧЦ.

В ГРЧЦ, комментируя тот инцидент, заявили, что хакерам не удалось получить доступ к закрытой информации и критически важной инфраструктуре. Несмотря на это, в феврале в открытом доступе были опубликованы материалы ведомства.

Данные в карточке дела указывают на то, что ГРЧЦ был оштрафован за обработку персональных данных без согласия или с нарушением требований к содержанию согласия на обработку персональных данных (ч. 3 ст. 13.11 КоАП РФ). Предположительно были выявлены нарушения при проверке по факту утечки. Наказание для юрлиц за такие нарушения составляет от 30 до 150 тыс. рублей. Напомним, с прошлого года Минцифры разрабатывает оборотные штрафы для юрлиц, допустивших утечку персональных данных. Однако этот проект пока не внесён на рассмотрение в Госдуму.

Продолжительность DDoS-атак на российские IT-ресурсы сократилась более чем в 6 раз с прошлого года и в среднем стала составлять двое суток. Об этом пишет «Коммерсант» со ссылкой на данные квартального отчёта по защите от интернет-угроз компании Qrator Labs, работающей в сфере информационной безопасности.

Источник изображения: Mika Baumeister / unsplash.com

«Так, если в первом квартале 2022 года максимальная продолжительность нападений составляла более десяти дней, то в 2023 году этот показатель стал равен менее чем двум суткам», — говорится в отчёте Qrator Labs. Наиболее продолжительные атаки были зафиксированы против операторов фискальных данных (22 часа), представителей сферы онлайн-образования (20 часов), медиа (20 часов) и программных сервисов (10 часов). Несмотря на это, за весь 2022 год продолжительность атак значительно выросла: за первые три месяца года неоднократно фиксировалось обновление рекорда по максимальной длительности, а одна из DDoS-атак в мае продолжалась почти 29 дней.

По данным «РТК-Солар», продолжительность атак на российские IT-ресурсы в первом квартале в среднем сократилась в четыре раза по сравнению с аналогичным периодом 2022 года. При этом компания отмечает обнаружение атак длительностью до 32 дней. Целями злоумышленников становились представители разных сфер экономики: страхования, ретейла, промышленности.

В Qrator Labs сокращение максимальной длительности DDoS-атак связывают с расширением спектра целей злоумышленников. Хакеры перестали фокусироваться на отдельно взятых ресурсах и в случае неудачи ищут новые жертвы. В DDoS-Guard согласны с тем, что продолжительность атак значительно снизилась в первом квартале. Отмечается, что атакующие стали лучше анализировать ресурсы, чтобы выбирать жертв, которые не защищены от DDoS или используют слабую защиту. В Softline считают, что снижение продолжительности DDoS-атак связано с тем, что многие компании стали блокировать входящий трафик по геолокации, что делает неэффективными атаки из-за рубежа.

Компания Mandiant, специализирующаяся на вопросах кибербезопасности, сообщила, что нашла нулевого клиента — исходного источника хакерской атаки, в результате которой было взломано приложение для VoIP-телефонии компании 3CX, что затронуло большую часть её 600 тыс. клиентов.

Источник изображения: Pixabay

По словам компании, взлом компьютера сотрудника 3CX стал возможен благодаря более ранней атаке на цепочку поставок программного обеспечения, проведённой хакерами, взломавшими компьютерные сети 3CX, в результате которой было заражено приложение разработчика финансового ПО Trading Technologies.

Хакерам удалось внедрить бэкдор в приложение X_Trader компании Trading Technologies, которое после установки на компьютер сотрудника 3CX позволило хакерам добраться до сервера 3CX, используемого для разработки ПО, повредить установочное приложение 3CX и заразить компьютеры клиентов компании. Считается, что сделавшая это хакерская группа, известная как Kimsuky, Emerald Sleet (или Velvet Chollima), работает на правительство Северной Кореи.

«Это первый случай, когда мы нашли конкретные доказательства того, что атака на цепочку поставок программного обеспечения привела к другой атаке на цепочку поставок программного обеспечения», — заявил Чарльз Кармакал (Charles Carmakal), технический директор Mandiant Consulting.

Trading Technologies прекратила поддержку X_Trader в 2020 году, хотя это приложение было доступно для скачивания до 2022 года. Mandiant считает, основываясь на цифровой подписи программы X_Trader, что компрометация цепочки поставок Trading Technologies произошла до ноября 2021 года, в то время как последующая атака на цепочку поставок 3CX была выполнена в начале этого года.

Представитель Trading Technologies сообщил ресурсу WIRED, что компания в течение 18 месяцев предупреждала пользователей о том, что X_Trader не будет поддерживаться c 2020 года. Он отметил, что X_Trader — инструмент для профессионалов трейдинга, поэтому непонятно как приложение оказалось в компьютере сотрудника 3CX. Представитель добавил, что 3CX не является клиентом Trading Technologies, и что компрометация приложения X_Trader никак не повлияет на её имеющееся программное обеспечение.

Цель происшедшего взлома пока не выяснена. Mandiant допускает, что частично это связано с кражей криптовалюты. Ранее «Лаборатория Касперского» сообщила, что среди пострадавших клиентов 3CX были компании, имеющие отношение к криптовалютам.

Но Кармакал считает, что с учётом масштаба хакерских атак на цепочки поставок это может быть лишь верхушкой айсберга. «Я думаю, со временем мы узнаем о гораздо большем количестве жертв, поскольку это связано с одной из этих двух атак на цепочки поставок программного обеспечения», — заявил он.

Злоумышленники использовали уязвимость в браузерном расширении криптовалютного кошелька Trust Wallet для кражи $170 тыс. у клиентов сервиса. Сообщение об этом опубликовали разработчики криптокошелька, пообещавшие возместить ущерб.

Источник изображения: Pixabay

В ноябре прошлого года была обнаружена уязвимость в WebAssembly-модуле библиотеки Wallet Core, которая используется расширением Trust Wallet для браузеров. Несмотря на то, что разработчикам удалось оперативно устранить уязвимость, они также выявили два эксплойта, которые использовались злоумышленниками для кражи средств. Анализ показал, что проблема затрагивает кошельки, которые были созданы с помощью расширения Trust Wallet в период с 14 по 23 ноября 2022 года.

«Несмотря на все наши усилия, мы обнаружили два потенциальных эксплойта, что привело к потере $170 тыс. на момент атаки. Стремясь к прозрачности и защите пользователей, мы хотим заверить клиентов, что возместим соответствующие убытки от взлома из-за уязвимости и уже запустили процесс возмещения средств пользователям, затронутых проблемой», — говорится в сообщении разработчиков Trust Wallet.

Пользователи кошельков, которые были импортированы из мобильного приложения, не затронуты проблемой. В сообщении разработчиков сказано, что им известен список пострадавших кошельков, а их владельцы уже получили соответствующие уведомления и в скором времени средства им будут возмещены.

Во вторник Google выпустила бюллетень по безопасности, в котором упоминается недавно обнаруженная уязвимость Chrome под номером CVE-2023-2136, которой был присвоен рейтинг «высокой серьёзности». Google известно о существовании эксплойта для этой уязвимости «в реальном мире». Хакеры были замечены в эксплуатации этой уязвимости через несколько дней после того, как Google исправила другую активно используемую уязвимость нулевого дня.

Источник изображения: Pixabay

На данный момент Google описывает CVE-2023-2136 как целочисленное переполнение с участием графического движка Skia с открытым исходным кодом, который используется Chrome. В официальном отчёте говорится, что использование уязвимости «позволяет удалённому злоумышленнику, скомпрометировавшему процесс рендеринга, потенциально выполнить выход из песочницы через созданную HTML-страницу», что даёт возможность получения доступа к дополнительным вычислительным процессам для запуска вредоносного кода на компьютере.

Несмотря на отсутствие подробностей, возможно, уязвимость была использована в тандеме с другой уязвимостью нулевого дня, которую Google исправила в прошлую пятницу, под названием CVE-2023-2033, которая связана с ошибкой в движке JavaScript V8 для браузера. Компания обнаружила обе уязвимости с помощью Клемана Лесиня (Clément Lecigne), исследователя безопасности из группы анализа угроз Google, которая занимается отслеживанием самых опасных групп хакеров и выявлением уязвимостей нулевого дня. Клеман обнаружил CVE-2023-2033 11 апреля, а CVE-2023-2136 — 12 апреля.

Предполагается, что уязвимости использовались в атаках через специально созданные вредоносные HTML-страницы, рассылаемые с помощью фишинговых сообщений. К счастью, Google быстро исправила обе проблемы после их обнаружения. Компания уже подготовила исправление для CVE-2023-2136, которое сейчас должно быть распространено среди пользователей. Исправление будет выпущено как версия Chrome 112.0.5615.137.

Рекомендуется обновить браузер при первой возможности. В ближайшее время в правом верхнем углу браузера должна появиться кнопка для обновления Chrome. В противном случае нужно перейти на вкладку «О Chrome», чтобы автоматически получить обновление, или посетить страницу поддержки Google, чтобы узнать, как загрузить исправления.

Microsoft начала называть хакеров в честь погодных явлений в обновлённой таксономии имён. Хакеры теперь будут называться в честь таких погодных катаклизмов, как шторм, тайфун и метель, в рамках восьми групп, которые Microsoft использует для отслеживания кибератак.

Новая таксономия будет включать пять ключевых групп: государственные субъекты (разные названия, перечислены ниже), финансово мотивированные субъекты («Буря»), атаки на частный сектор («Цунами»), операции влияния («Наводнение») и зачаточные группировки («Шторм»). Например, если угроза кибербезопасности является новой или исходит от неизвестного источника, Microsoft присвоит ей временное обозначение «Шторм» и четырёхзначный номер. В прошлом для таких угроз Microsoft использовала обозначение DEV.

Хакеры, за которыми стоят государственные структуры, будут названы в честь определённого семейства погодных явлений, призванных указать, где берут начало эти группы. Названия включают в себя:

• Китай — Тайфун (Typhoon);
• Иран — Песчаная буря (Sandstorm);
• Ливан — Дождь (Rain);
• Северная Корея — Слякоть (Sleet);
• Россия — Метель (Blizzard);
• Южная Корея — Град (Hail);
• Турция — Пыль (Dust);
• Вьетнам — Циклон (Cyclone).

Группа российских хакеров Cozy Bear, которая стоит за взломом системы Национального комитета Республиканской партии и Национального комитета Демократической партии, теперь обозначается как Midnight Blizzard вместо прежнего NOBELIUM, которое Microsoft использовала для описания группы, когда она раскрыла атаку в прошлом году.

Джон Ламберт (John Lambert), старший вице-президент Microsoft по анализу угроз рассказал, что «подход к именованию, который мы использовали ранее (Elements, Trees, Volcanoes и DEV), больше не используется. Мы переназначили всех существующих субъектов в новую таксономию, и в дальнейшем будем использовать новые имена».

Microsoft отслеживает 160 национальных хакерских групп, 50 групп программ-вымогателей, 300 уникальных участников угроз и сотни других хакеров, а также большое сообщество профессионалов в области кибербезопасности, которые используют другие имена для хакерских групп.

Израильская компания NSO Group, занимающаяся разработкой шпионского программного обеспечения, в прошлом году использовала новые способы для взлома смартфонов iPhone, применяя для этого по меньшей мере три метода, пишет Bloomberg со ссылкой на отчёт Citizen Lab, исследовательской группы при университете Торонто.

Источник изображения: Pixabay

Эти методы, основанные на использовании цепочки эксплойтов с нулевым кликом (таких, которые не требуют никакого взаимодействия с пользователем), позволяют компании обойти функции безопасности iPhone и установить шпионское ПО NSO Pegasus, которое может собирать информацию с устройства, а также использовать его камеры и микрофоны для слежки в режиме реального времени. При взломе этими методами пользователю даже не требуется нажимать на вредоносную ссылку, чтобы Pegasus проник в устройство.

В отчёте упоминается представленный Apple в прошлом году режим Lockdown Mode, который определённое время позволял выявить попытку взлома устройства, уведомляя пользователей с помощью push-сообщений о том, что они стали мишенью группы NSO. В Citizen Lab допускают, что хакерам удалось найти способ, как обойти эту защиту.

«Мы рады видеть, что режим Lockdown Mode предотвращал такую сложную атаку и немедленно предупреждал пользователей, даже до того, как Apple и исследователи безопасности узнали о конкретной угрозе», — заявил представитель Apple.

В отчёте указано, что NSO Group удалось обойти другую функцию безопасности в iOS под названием BlastDoor. Вместе с тем Citizen Lab рекомендует пользователям, чья деятельность связана с риском стать объектом хакерской атаки с помощью шпионского ПО, включить режим Lockdown Mode.

В отчёте Citizen Lab также упоминаются методы PWNYOURHOME и FINDMYPWN, которые используют встроенные сервисы Apple, для внедрения шпионского софта в iPhone через модули HomeKit и Find My iPhone.

Citizen Lab заявила, что сообщила о своих выводах Apple в октябре 2022 года, после чего компания выпустила обновление для системы безопасности в феврале этого года. Комментируя отчёт Citizen Lab, представитель NSO заявил, что компания «соблюдает строгое регулирование, а её технологии используются государственными заказчиками для борьбы с терроризмом и преступностью во всём мире».