В первом квартале 2024 года число DDoS-атак на российские компании удвоилось год к году, пишет «Коммерсантъ» со ссылкой на данные структуры «Ростелекома» ГК «Солар». В основном удар пришёлся на предприятия из критически значимых отраслей, хотя атаки затрагивали и обычных пользователей.

Источник изображения: Pixabay

По данным ГК «Солар», число DDoS-атак в первом квартале составило 119 тыс. Самая продолжительная длилась 11 дней, и её максимальная мощность достигала 724 Гбит/с. Самый большой рост атак был зафиксирован в энергетическом секторе — более 2,5 тыс. DDoS-атак на энергокомпании, что втрое больше, чем в предыдущем квартале и почти на порядок больше год к году. Также хакеры активно атаковали госсектор, финансовый рынок и IT-сегмент. ГК «Солар» отметила, что росту числа атак способствуют распространение технологий интернета вещей (IoT) и «умных» устройств, которые хакеры объединяют в ботнет-сети.

В DDoS-Guard подтвердили тенденцию к росту атак: по её оценке, в первом квартале их количество в целом увеличилось год к году на 29 % до 172,5 тыс., хотя в феврале был отмечен спад. Рост атак будет продолжаться и дальше, поскольку всё больше устройств вовлекаются в ботнеты, полагают в DDoS-Guard: «Роботизированный трафик становится труднее отличить от реальных пользователей».

От кибератак страдают не только компании, но и обычные пользователи. Как сообщают источники «Коммерсанта», 13 марта из-за DDoS-атаки интернет-провайдер «Телинком», работающий в Подмосковье, был вынужден известить абонентов об ограничениях в работе сети. Также в марте выросло количество атак на сайты турагентств и авиакомпаний.

Гендиректор хостинг-провайдера RUVDS Никита Цаплин отметил тренд на локализацию DDoS: поскольку атаки из-за рубежа блокируются, хакеры всё чаще используют российские IP-адреса.

Для противодействия атакам подведомственный Роскомнадзору Главный радиочастотный центр заказал в 2023 году разработку Национальной системы противодействия DDoS-атакам, которую планировалось создать на базе имеющейся сети ТСПУ (технические средства противодействия угрозам). По условиям тендера система должна была быть создана к марту 2024 года, однако о судьбе проекта стоимостью 1,4 млрд руб. пока ничего не известно.

«РИА Новости» со ссылкой на ведомство 14 апреля сообщало, что Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора отразил в первом квартале 512 крупных DDoS-атак, что почти втрое больше, чем за весь 2023 год.

По словам источника «Коммерсанта» на рынке, Роскомнадзор использует для борьбы с сетевыми атаками блокировку по географическому признаку, отсекая трафик, исходящий с территории государств, откуда шла большая часть вредоносной активности, однако, «в силу распределённости современных кибератак блокировка только таким способом уже становится неэффективной».

Модель генеративного искусственного интеллекта Grok, разработанная под руководством Илона Маска (Elon Musk), оказалась наиболее уязвимой к атакам, направленным на нарушение запретов — в отдельных случаях она без лишних ухищрений рассказывает, как совершать преступления, например, вскрыть чужую машину или создать запрещённые вещества.

Источник изображения: x.ai

Открытие сделали специалисты Adversa AI. Они провели серию тестов на наиболее популярных чат-ботах с ИИ. В их число вошло семейство OpenAI ChatGPT, Mistral Le Chat, Meta✴ LLaMA, Google Gemini, Microsoft Bing и Grok. Применив к ним наиболее известные методики атак, исследователи сделали вывод, что наиболее слабая защита у чат-бота Grok, который работает в соцсети X.

Атаки производятся посредством ввода в качестве запросов специальных запросов, провоцирующих ИИ игнорировать защитные механизмы и выдавать ответы, которые нарушают общепризнанные этические нормы. В частности, применялись методы лингвистических логических манипуляций UCAR (подражание аморальному компьютеру); манипуляции с логикой программирования (просьба к ИИ переводить запросы в формат SQL); логические манипуляции; а также метод «Тома и Джерри», маскирующий недопустимые запросы к ИИ под диалог.

Когда доступ к ИИ осуществляется через API или интерфейс чат-бота, создатели сервисов накладывают на них ограничения, блокирующие вывод нежелательного контента. Эти средства в той или иной мере работают эффективно на большинстве платформ, но Grok оказался готовым выдавать сомнительную информацию по прямым запросам: так, он рассказал, как изготовить бомбу, взломать автомобиль или самостоятельно получить запрещённый во многих странах сильнодействующий галлюциноген. От других чат-ботов авторам исследования не удалось добиться вразумительных ответов о жестоком обращении с детьми — не работал ни один из методов атаки. Grok поделился и этой информацией, поддавшись на две атаки из четырёх.

Условия использования Grok требуют, чтобы его пользователи были совершеннолетними и не использовали чат-бот для нарушения или попыток нарушить закон. Предоставляемая им порой информация в той или иной мере доступна в поисковых системах, но бум современных систем ИИ поставил перед обществом другой вопрос: хотим ли мы, чтобы потенциально опасную информацию распространяли ещё и чат-боты.

Китайские производители чипов остро нуждаются в зарубежном оборудовании и технологиях, но их от силы подозревают в обходе санкций США и союзников, либо в скандалах с торговлей коммерческой тайной. Южная Корея обвиняет своего северного соседа в хакерской атаке на двух производителей оборудования для выпуска чипов, причём делает это с высокой политической трибуны.

Источник изображения: Samsung Electronics

Агентство Reuters в понедельник сообщило, что силовые ведомства Южной Кореи подозревают КНДР в хакерской атаке на две компании, занимающихся поставками оборудования для производства чипов. Ещё с конца прошлого года, как сообщает Национальная разведывательная служба Южной Кореи, северокорейские хакеры предпринимают попытки добыть необходимую информацию о технологиях производства чипов, атакуя южнокорейских производителей оборудования. Хакерские атаки были осуществлены в отношении серверов двух компаний из Южной Кореи в декабре и феврале. Среди похищенной информации упоминаются фотографии производственных помещений и чертежи оборудования для производства чипов.

Как заявили представители южнокорейского ведомства, у них есть основания полагать, что Северная Корея предпринимает попытки наладить самостоятельный выпуск полупроводниковых компонентов в условиях существующих сложностей с их получением из-за рубежа, возникших из-за санкционных ограничений. По мнению южнокорейской разведки, потребность северных соседей в чипах растёт по мере развития спутниковой и ракетной отраслей, а также оборонной сферы в целом. Как поясняют источники, хакеры из Северной Кореи использовали существующие уязвимости в серверной инфраструктуре, чтобы вызывать минимум подозрений и не оставлять следов, минимизируя использование специального программного обеспечения.

Международная группа исследователей в области кибербезопасности разработала червя, способного самостоятельно распространяться между сервисами генеративного искусственного интеллекта, похищать данные и рассылать спам по электронной почте.

Источник изображения: Growtika / unsplash.com

По мере развития систем генеративного ИИ, таких как OpenAI ChatGPT и Google Gemini, они всё чаще используются для решения конкретных задач, например, создания событий в календарях или заказа продуктов. Исследователи технологий кибербезопасности, однако, решили продемонстрировать, что подобные системы могут нести угрозу — они создали новый вид атак, которого прежде не существовало в принципе. Учёные разработали червя, получившего название Morris II в честь первого компьютерного червя Morris, который в 1988 году заразил 6200 компьютеров — 10 % всех компьютеров, на тот момент подключённых к интернету. Morris II через электронную почту разворачивает атаку на виртуальных помощников, основанных на генеративном ИИ, производит кражу данных из электронных писем и рассылает спам, минуя средства защиты ChatGPT и Gemini.

Авторы исследования испытали новую модель атаки в изолированных средах — она оказалась возможной из-за мультимодального характера больших языковых моделей, то есть их способности работать с текстом, изображениями и видео. Атакующие генеративный ИИ черви ещё не были обнаружены на практике, но исследователи предупреждают, что эту угрозу следует принимать в расчёт и одиночным разработчикам, и стартапам, и технологическим компаниям.

Большинство систем генеративного ИИ работает, получая текстовые команды — просьбы ответить на вопрос или создать изображение. Эти команды можно использовать против системы, заставив её проигнорировать меры безопасности и выдать недопустимый контент; ей можно дать неявные инструкции, например, предложив ей адрес вредоносной страницы со скрытым текстом таких команд. Принцип работы атакующего генеративный ИИ червя состоит в механизме «состязательной самовоспроизводящейся команды» (adversarial self-replicating prompt). Такая команда заставляет модель генеративного ИИ выдавать в ответе ещё одну команду. Это во многом напоминает традиционные схемы атак вроде SQL-инъекций и переполнения буфера.

Чтобы продемонстрировать работу червя, исследователи создали службу электронной почты, способную получать и отправлять сообщения с помощью генеративного ИИ — для этого она подключается к ChatGPT, Gemini и открытой модели LlaVA. Затем они применили два способа эксплуатации уязвимости ИИ: при помощи самовоспроизводящейся текстовой инструкции и аналогичной инструкции, встроенной в файл изображения.

Осуществляя тестовую атаку, исследователи подготовили электронное письмо с вредоносной командой на генерацию ответа с использованием поиска в интернете, при котором большая языковая модель обращается за дополнительной информацией в Сеть. Получив такое письмо, служба для генерации ответа направляет запрос в GPT-4 или Gemini Pro — этот запрос производит «взлом генеративного ИИ» и осуществляет кражу данных из электронных писем. Ответ ИИ, содержащий конфиденциальные данные пользователя, далее сам при ответе на электронное письмо заражает новые хосты и сохраняется в базе нового клиента. Во втором примере такой командой стал файл изображения: заложив в файл картинки команду на самовоспроизводство, можно одной отправкой электронного письма спровоцировать дальнейшую массовую рассылку изображения любого содержания, включая оскорбительные или экстремистские материалы. Исследователи утверждают, что таким способом можно извлекать данные электронных писем, в том числе номера телефонов, кредитных карт, номеров социального страхования — любую конфиденциальную информацию.

Авторы исследования отмечают, что эти методы атак оказались возможными из-за ошибок при проектировании архитектуры в экосистеме ИИ. Они поделились своим открытием с Google и OpenAI — в OpenAI подтвердили наличие угрозы, но добавили, что компания работает над повышением устойчивости своих систем, а в Google от комментариев отказались. Чтобы защититься от подобных атак, эксперты предлагают не только повысить надёжность систем, но и изменить модель их эксплуатации: пользователям не следует предоставлять ИИ привилегий, таких как возможность отправки электронной почты от их имени — все действия система должна согласовывать с человеком. Кроме того, многократное повторение одной и той же команды ИИ в системе вызовет подозрение у защитных механизмов. Тем не менее, исследователи считают, что атакующие генеративный ИИ черви начнут работать в ближайшие два или три года.

Беспроводные зарядные устройства можно использовать для совершения деструктивных действий. Учёные из Флоридского университета представили работу, в которой продемонстрировали, как при помощи беспроводных зарядных устройств можно манипулировать гаджетами или даже уничтожить их.

Источник изображений: VoltSchemer

Исследователи назвали свою методику VoltSchemer — это «набор инновационных атак, предоставляющих злоумышленникам контроль над имеющимися в продаже беспроводными зарядными устройствами». Атаки производятся посредством изменения выходного напряжения на блоке питания устройства, который начинает производить электромагнитные помехи. Они могут использоваться, например, для вызова голосовых команд на смартфонах или для повреждения гаджета.

Зарядные устройства стандарта Qi при работе используют протокол связи, который обеспечивает безопасную зарядку — она прекращается, когда аккумулятор на потребителе полностью заряжен. Но этим протоколом можно манипулировать, отключая тем самым защитные механизмы, например, чтобы повредить или уничтожить заряжаемый гаджет. К примеру, Samsung Galaxy S8 разогрелся в лаборатории до 81 °C. Помимо смартфонов, атака представляет угрозу и для других металлических предметов, которые могут оказаться на поверхности зарядного устройства. Так, зажимы на блокноте раскалились до 280 °C, начала плавиться флешка, а SSD перегрелся и лишился данных.

К счастью, осуществить такую атаку непросто — для этого необходим физический доступ к зарядному устройству. Но авторы исследования уже связались с производителями, чтобы исключить эту проблему в будущем.

Инженеры из Университета Дьюка (США, шт. Северная Каролина, г. Дарем) разработали систему, способную манипулировать автомобильными радарными датчиками и заставлять их испытывать «галлюцинации» с различными сценариями на выбор. Можно скрыть приближающийся автомобиль, изменить определённое датчиками направление его движения или, напротив, создать несуществующий в действительности автомобиль-призрак.

Источник изображения: pratt.duke.edu

Система получила название MadRadar — она выполняет задачи достаточно быстро и не требует, чтобы потенциальный злоумышленник наперёд знал настройки радара на машине-жертве. Радары всё чаще используются в современных транспортных средствах — они необходимы в работе большинства систем помощи водителю или систем автопилота. Их устанавливают на свою продукцию различные автопроизводители, а значит, радары на разных машинах имеют несколько отличающиеся рабочие параметры, что является препятствием для фальсификации их сигнала.

Для системы MadRadar этот нюанс препятствием не является — она определяет параметры радара на целевой машине всего за четверть секунды, после чего генерирует собственные сигналы для обмана жертвы. В результате предложенная MadRadar провоцирует ложноположительные (появление несуществующей машины на приборах) и ложноотрицательные (исчезновение реально существующей машины с приборов) срабатывания, а также производит «перенос» сигнала, то есть меняет показываемое приборами положение машины. Авторы исследования уверяют, что экспериментально продемонстрировали разработанный ими способ атаки.

Инженеры отмечают, что разработали систему MadRadar не для того, чтобы кому-то навредить, а чтобы указать на проблемы существующих радаров и необходимость внести фундаментальные изменения в их проектирование.

Компания AnyDesk объявила, что недавно подверглась кибератаке, в ходе которой злоумышленникам удалось получить доступ к производственным системам компании. По данным источника, хакеры украли исходный код ПО и ключи для подписи кода.

Источник изображения: bleepingcomputer.com

Напомним, компания AnyDesk является разработчиком одноимённого решения для удалённого управления рабочими столами. Приложение пользуется большой популярностью в корпоративной среде. По данным AnyDesk, компания имеет более 170 тыс. клиентов по всему миру, включая Samsung, NVIDIA, Siemens и др.

Согласно имеющимся данным, специалисты AnyDesk обнаружили взлом после выявления подозрительной активности во внутренних системах компании. Проведя аудит безопасности, они определили, что внутренние системы были скомпрометированы неизвестными. Для расследования инцидента были привлечены специалисты компании CrowdStrike, работающей в сфере информационной безопасности.

В компании подтвердили, что хакерская атака не связана с вымогательским программным обеспечением. AnyDesk не предоставила подробную информацию об инциденте, упомянув лишь о том, что были взломаны внутренние серверы. Компания уже отозвала все связанные с безопасностью сертификаты, а также восстановила затронутые инцидентом системы.

Клиентов компании заверили в том, что использовать AnyDesk безопасно, и нет доказательств того, что инцидент затронул конечные пользовательские устройства. «Мы можем подтвердить, что ситуация находится под контролем, и использовать AnyDesk безопасно. Пожалуйста, убедитесь в том, что вы используете последнюю версию приложения с новым сертификатом подписи кода», — говорится в сообщении компании.

Хотя AnyDesk не уточнила подробности касательно инцидента, источник сообщил, что хакерам удалось похитить исходный код ПО и сертификаты для подписи кода. В заявлении компании отмечается, что злоумышленникам не удалось украсть токены аутентификации, но из соображений безопасности компания сбросила все пароли к своему веб-порталу, предложив пользователям их смену. В дополнение к этому AnyDesk уже начала заменять сертификаты подписи кода в своих продуктах.

Австралийский портал Cyber Daily сообщил, что разработчики Marvel’s Spider-Man 2 и грядущей Marvel’s Wolverine из принадлежащей Sony Interactive Entertainment американской студии Insomniac Games стали жертвами хакерской атаки.

Источник изображения: X (thefrostysm)

О взломе Insomniac Games сообщили злоумышленники из группировки Rhysida. В качестве доказательства успешной операции оператор программ-вымогателей приложил изображение с некоторыми из добытых данных.

В числе украденных Rhysida материалов — личные данные и документы сотрудников Insomniac Games, включая одного бывшего, и актёра озвучения Юрия Ловенталя (Yuri Lowenthal), известного по роли Питера Паркера в дилогии Marvel’s Spider-Man.

Кроме того, злоумышленники завладели материалами по экшену Marvel’s Wolverine про Росомаху. На опубликованном Rhysida изображении (см. ниже) можно заметить несколько скриншотов и концепт-артов из будущей игры.

Источник изображения: Cyber Daily

Как передаёт Cyber Daily, Rhysida дала Insomniac семь дней перед тем, как опубликует украденные данные целиком, а пока устроила аукцион для потенциальных покупателей. Стартовая цена — 50 биткоинов, что чуть меньше $2,1 млн.

«Не упустите возможность сделать ставку на эксклюзивные, уникальные и впечатляющие данные. Откройте свои кошельки и будьте готовы купить эксклюзивные данные», — агитирует Rhysida.

Rhysida начала свою деятельность в мае текущего года и, как докладывает Gizmodo, совершила кибератаки более чем на 60 компаний, включая национальную Британскую библиотеку и лондонскую больницу короля Эдуарда VII.

Американские исследователи обнаружили в графических процессорах Apple, Intel, AMD, Qualcomm, Arm и NVIDIA уязвимость, из-за которой сайты с вредоносным кодом могут осуществлять кражу данных с других сайтов — это могут быть логины, пароли и любая другая отображаемая конфиденциальная информация.

Источник изображения: nvidia.com

Основанный на обнаруженной уязвимости тип атаки получил название GPU.zip — он позволяет использовать ресурсы графических процессоров для кражи данных с сайтов, страницы которых вставляются через элементы iframe на другие ресурсы, вредоносные. Исследователи обнаружили, что сжатие данных, которое обрабатывается интегрированными и дискретными видеокартами для повышения производительности, может оказаться побочным каналом кражи информации — она осуществляется попиксельно.

Современные графические процессоры автоматически пытаются сжимать эти визуальные данные без участия ПО, которое этими данными оперирует — это делается для экономии ресурсов памяти и повышения производительности. Примечательно, что атака осуществляется в браузерах Chrome или Edge, но не работает в Firefox и Safari. В качестве условной жертвы исследователи взяли сайт «Википедия», код которого встроили через iframe на страницу собственного ресурса. Атака сработала на графических процессорах Apple, Intel, AMD, Qualcomm, Arm и NVIDIA. В случае с AMD Ryzen 7 4800U потребовалось около 30 минут для рендеринга целевых пикселей с точностью 97 %. В случае с Intel Core i7-8700 время увеличилось до 215 минут.

Разница между исходными и восстановленными данными. Источник изображения: hertzbleed.com

Все графические процессоры используют собственные методы сжатия данных при выводе содержимого — они не документируются, но учёным удалось задействовать обратную инженерию в каждом случае. Для этого они воспользовались форматом векторной графики SVG и зафиксировали различия между чёрными и белыми пикселями в трафике DRAM. В работе описан способ кражи данных через встроенную графику, но аналогичный способ реализуется и через дискретную.

Для осуществления атаки в браузере должны исполняться три условия:

1. разрешена загрузка iframe с файлами cookie;
2. разрешён рендеринг SVG-фильтров в iframe;
3. рендеринг осуществляется графическим процессором.

В ответ за запрос представитель Google заявил, что защитить свои ресурсы от атаки веб-мастер может при помощи HTTP-заголовков X-Frame-Options и Content Security Policy. Кроме того, реализовать атаку довольно сложно технически, и она требует продолжительного времени, что снижает величину угрозы для обычных пользователей. В Intel и Qualcomm заявили, что уязвимость, связанная с GPU.zip, относится не к графическим процессорам, а к стороннему ПО, поэтому никаких мер в компаниях предпринимать не собираются. Apple, NVIDIA, AMD и Arm комментариев не предоставили.

Возможно, атака GPU.zip действительно не представляет значительной угрозы для рядового пользователя, но, как отметили обнаружившие её исследователи, она может лечь в основу других, более опасных эксплойтов. Кроме того, она в очередной раз указывает, что аппаратная оптимизация способна создавать побочные каналы кражи данных, которые невозможно смягчить программными средствами.

Министерство государственной безопасности КНР на этой неделе со страниц популярной в стране площадки WeChat заявило, что серверы компании Huawei Technologies подвергались постоянным кибератакам с целью получения доступа к чувствительной информации со стороны спецслужб США с 2009 года. Китайские чиновники также утверждают, что программное обеспечение крупных зарубежных компаний содержит «лазейки» для спецслужб, позволяющие последним похищать данные из Китая и России.

Источник изображения: Huawei Technologies

Попытки спецслужб США вести разведывательную деятельность с проникновением на серверы Huawei Technologies регистрируются китайскими специалистами с 2009 года, как утверждается в сообщении. Расследуя последствия кибератаки на сеть одного из китайских университетов в прошлом году, эксперты ИБ-компании Qihoo 360 обнаружили вирусную программу Second Date, которая могла быть внедрена американскими спецслужбами с целью слежения за сетями передачи информации во многих странах мира. Об использовании Second Date для атаки на серверы Huawei специалисты Qihoo 360 при этом ничего не сообщили.

Власти США, по данным китайских чиновников, имеют доступ к десяткам тысяч устройств по всему миру и незаконно завладели огромными объёмами ценной информации. Законодательство КНР в последнее время ужесточило наказание за промышленный шпионаж, но деятельность американских спецслужб не может эффективно преследоваться в сфере китайской юрисдикции. По всей видимости, недавно ставшая предметом обсуждения инициатива по запрету на использование смартфонов Apple iPhone китайскими государственными служащими направлена на борьбу с информационными утечками, но официально власти КНР введение каких-либо запретов в этой сфере пока отрицают.

Учёные из Хунаньского и Фуданьского университетов (Китай), а также Наньянского технологического университета (Сингапур) разработали способ считывать нажатия на дисплей смартфона, подключённого к сети Wi-Fi, при помощи анализа беспроводного сигнала. Виной всему недостаточная защищенность функции BFI (Beamforming Feedback Information).

Источник изображения: arxiv.org

BFI — это механизм обратной связи, появившийся в 2013 году, когда был опубликован стандарт Wi-Fi 802.11ac. Он предполагает отправку клиентскими устройствами данных о своём местоположении, что помогает точкам доступа более точно направлять на них сигнал. Проблема в том, что эти данные передаются без шифрования и могут перехватываться без взлома сетевого или клиентского оборудования. Учёные условно назвали разработанный ими тип атаки WiKi-Eve — он актуален для любого стандартного сетевого интерфейса, который допускает мониторинг сигналов.

На начальном этапе атаки условный злоумышленник перехватывает в беспроводном эфире MAC-адрес устройства своей жертвы. После этого начинается запись данных BFI от устройства жертвы — учёные исходили из того, что нажимаемые клавиши на виртуальной клавиатуре смартфона или планшета изменяют параметры сигнала Wi-Fi. Собранную информацию учёные попытались интерпретировать как пароль, предположив, что он отправляется по беспроводной сети на раннем этапе сеанса связи.

Далее в дело вступает система искусственного интеллекта, обученная на данных BFI, которые транслируются в формате открытого текста. Авторы исследования установили, что атака WiKi-Eve позволяет интерпретировать нажатия отдельных клавиш на дисплее с точностью до 88,9 %, а также перехватывать пароли приложений с точностью до 65,8 %.

Попытки модификации бортового программного обеспечения электромобилей Tesla предпринимались энтузиастами и ранее, но если они базировались сугубо на программных методах, то результаты были недолговечными из-за способности компании откатить изменения после обновления системы. Теперь же найден способ контролировать доступ почти ко всем настройкам бортовой системы Tesla, не опасаясь блокировки со стороны автопроизводителя.

Источник изображения: Tesla

Своими находками в этой сфере, как сообщает DARKReading, на конференции Black Hat USA на следующей неделе собирается поделиться группа исследователей, объединяющая представителей Берлинского технического университета и независимого эксперта Олега Дрокина. Авторы исследования обнаружили способ аппаратной модификации центрального компьютера электромобилей Tesla, построенного на процессорах AMD, который даёт долгосрочный доступ не только к управлению большинством программных функций бортовой системы, но и ключам шифрования. Последний аспект означает, что злоумышленник сможет перенести профиль пользователя с одного электромобиля на другой.

В бытовом применении это означает, что у автовладельцев появится возможность приобретать «с рук» бывшие в употреблении бортовые компьютеры Tesla с целью их дальнейшего применения на своей машине. В этом случае пользователь при помощи независимых специалистов получит возможность перенести все настройки со своего электромобиля на вновь устанавливаемый компьютер с «донорского» транспортного средства. Обращение к штатным специалистам Tesla с таким вопросом обычно требует расходов в несколько тысяч долларов, а подержанный бортовой компьютер на аукционе можно купить за $200 или $400. Электроника способна страдать при авариях и наводнениях, поэтому подобные замены не так уж редки.

Как поясняет источник, метод взлома бортового ПК электромобилей Tesla построен на аппаратной модификации печатной платы, на которой установлен процессор AMD со встроенным сопроцессором ASP, отвечающим за информационную безопасность. Хакеру для получения контроля над системой нужно подпаять к исходной печатной плате специальное устройство для разработчиков и применить программатор SPI, чтобы получить доступ к шифруемым сопроцессором данным и непосредственно ключам шифрования. После модификации злоумышленник получает возможность запускать любое ПО, использовать данные клиента Tesla по своему усмотрению, а также активировать платные опции без каких-либо затрат, включая по своему желанию подогрев сидений или активируя автопилот, например.

Метод взлома позволяет снимать ограничения, диктуемые Tesla по географическому признаку. Например, можно активировать фирменную навигацию в тех странах, где она официально работать не должна, то же самое можно проделать и с бета-версией FSD — системой активной помощи водителю, которая выполняет за него почти все функции. Важно, что заблокировать эти изменения программным образом Tesla больше не сможет после проведённых манипуляций, поскольку права доступа при этом не изменятся даже после многократных обновлений системы. Фактически, чтобы восстановить контроль автопроизводителя над бортовой системой, нужно будет выпаять центральный процессор и заменить его на новый. Теоретически, как утверждают авторы исследования, можно создать готовый модуль для модификации бортовой системы Tesla, но навыки работы с паяльником для его подключения всё равно потребуются. При всём этом, как отмечают авторы доклада, с точки зрения информационной безопасности электромобили Tesla всё равно на голову выше большинства других транспортных средств, предлагаемых на рынке.

Китайские хакеры использовали уязвимость облачной службы Microsoft для целенаправленного взлома несекретных почтовых ящиков, принадлежащих госструктурам США. По данным The Washington Post, проблема была обнаружена в прошлом месяце, и она не затрагивает какие-либо секретные правительственные системы.

«Официальные лица немедленно связались с Microsoft, чтобы найти источник и уязвимость в их облачном сервисе. Мы продолжим предъявлять к поставщикам услуг для правительства США высокие требования по безопасности», — прокомментировал данный вопрос пресс-секретарь Совета национальной безопасности США Адам Ходжес (Adam Hodges).

По данным источника, расследованием этого инцидента занимается ФБР. Вероятнее всего, в рамках атаки было взломано небольшое количество почтовых ящиков, хотя точные значения не озвучиваются. Также сказано, что почтовые ящики, принадлежащие сотрудникам Пентагона, представителям разведывательных ведомств и военным, не были взломаны.

В сообщении Microsoft касательно этого инцидента сказано, что компания сумела ограничить нежелательные последствия кибератаки, преимущественно направленной против правительственных учреждений и ориентированной на шпионаж и кражу данных. Microsoft провела собственное расследование инцидента, в ходе которого было установлено, что атаку организовали китайские хакеры из группировки Storm-0558. По данным IT-гиганта, злоумышленникам удалось получить доступ к почтовым ящикам около 25 организаций, включая государственные учреждения. В сообщении Microsoft отмечается, что ликвидация нежелательных последствий для всех затронутых атакой пользователей уже завершена.

В феврале этого года хакерам из группировки BlackCat удалось получить доступ к внутренней инфраструктуре Reddit и конфиденциальным данным компании. Теперь же стало известно, что они угрожают опубликовать 80 Гбайт похищенных тогда данных, если Reddit не заплатит выкуп и не снизит стоимость использования API платформы.

Источник изображения: Brett Jordan/unsplash.com

Официальные представители Reddit воздерживаются от комментариев по данному вопросу, но подтверждают, что угрозы хакеров связаны с инцидентом, который произошёл 9 февраля. При этом у компании нет доказательств того, что в руки злоумышленников попали конфиденциальные данные пользователей, например, пароли от учётных записей.

Reddit не раскрывает каких-либо подробностей касательно расследования февральской атаки или о том, кто стоит за ней. Несколько дней назад ответственность за проведение этой кампании взяла на себя группировка BlackCat, члены которой готовы опубликовать похищенную информацию, если их условия не будут выполнены. О каких именно данных идёт речь не ясно, поскольку хакеры не предоставили каких-либо образцов.

На одном из ресурсов даркнета злоумышленники опубликовали сообщение, в котором сказано, что они пытались связаться с Reddit 13 апреля и 16 июня, но в обоих случаях не получили ответа. Хакеры требуют выкуп в размере $4,5 млн, а также отмену повышения стоимости использования API Reddit. Согласно имеющимся данным, члены группировки BlackCat стоят за мартовской атакой на Western Digital, в ходе которой было похищено 10 Тбайт данных.

Специалисты компании «Лаборатория Касперского» выявили сложную многоступенчатую атаку, направленную против владельцев криптовалютных кошельков в Европе, США и Латинской Америке. Злоумышленники используют троян-загрузчик DoubleFinger для внедрения на ПК жертв программы для кражи логинов и паролей от криптокошельков GreetingGhoul и трояна Remcos Remote Access (RAT).

Источник изображения: pixabay.com

Атака начинается в момент, когда жертва открывает вредоносное вложение в формате PIF из электронной почты. Это действие активирует первый этап загрузчика DoubleFinger. Всего ему требуется пять этапов для создания задачи, которую в дальнейшем GreetingGhoul будет выполнять ежедневно в определённое время. Стилер GreetingGhoul состоит из двух компонентов, первый из которых задействует среду MS WebView2 для создания фальшивых окон, которые перекрывают интерфейс настоящих криптокошельков, а второй осуществляет поиск приложений с криптовалютными кошельками на устройстве жертвы.

Отмечается, что некоторые образцы DoubleFinger также загружали троян Remcos RAT, являющийся известным коммерческим инструментом, с помощью которого злоумышленники могут удалённо администрировать устройство жертвы. В процессе работы DoubleFinger использует шелл-коды и стеганографию, т.е. методы сокрытия информации. Он также обеспечивает скрытное исполнение с помощью COM-интерфейсов Windows и использует технику подмены легитимного процесса вредоносным для внедрения в удалённые процессы. Всё это указывает на проработанность и сложность хакерской атаки.

Любопытно, что в коде вредоноса специалисты обнаружили несколько текстовых фрагментов на русском языке. К примеру, URL-адрес командного сервера начинается с русского слова в искажённой транслитерации «Privetsvoyu». Однако сказать, что за атаками стоят русскоговорящие хакеры, только по этому признаку нельзя.

«Интерес злоумышленников к криптовалюте не спадает. Группа, стоящая за загрузчиком DoubleFinger и вредоносным ПО GreetingGhoul, способна создавать вредоносное ПО уровня тщательно продуманных, целевых атак. Защита криптовалютных кошельков — это общая ответственность их производителей, владельцев и всего заинтересованного сообщества. Сохранение бдительности, применение надёжных мер защиты и понимание наиболее актуальных угроз позволит снизить риски и обеспечить безопасность ценных цифровых активов», — считает эксперт по кибербезопасности «Лаборатории Касперского» Сергей Ложкин.