Неудачное обновление системы безопасности CrowdStrike Falcon вызвало не только масштабный сбой IT-систем на базе Windows по всему миру, но и привело к волне дезинформации и фейков. В частности, развлекательный центр «Сфера» в Лас-Вегасе, фасад которого покрыт множеством программируемых светодиодов, якобы демонстрировал синий экран смерти (BSOD).

Источник изображения: Sunrise King/Unsplash

В социальной сети X (бывший Twitter) распространилось изображение «Сферы», собравшее миллионы просмотров, с «синим экраном смерти». И похоже, что в подлинность изображения поверили все. Однако, по словам представителя центра, эта фотография была подделана в графическом редакторе, и сам объект никак не пострадал от CrowdStrike.

Конечно, в условиях, когда компьютеры в аэропортах, магазинах и больницах по всему миру сегодня показывают синий экран, легко поверить в подлинность этой фотографии. Однако, как пишет издание TechCrunch, единственным доказательством того, что «Сфера» пострадала, является публикация этого поддельного изображения изданиями Daily Mail и Express Tribune. Кроме того, на YouTube можно в прямом эфире увидеть, что с шаром всё нормально, как бы ни хотелось некоторым поверить в забавную идею «BSOD Sphere».

Источник изображения: YouTube скриншот/TechCrunch

Ещё одним вектором дезинформации стали тренды в X, связанные с тегом «кибератака», а также всплеск поисковых запросов этого же слова в Google. Но, по словам генерального директора CrowdStrike Джорджа Кёрца (George Kurtz), это не инцидент безопасности и не кибератака.

Напомним, сегодня произошёл сбой, вызванный проблемами с системой защиты CrowdStrike, затронувший компьютеры авиакомпаний, магазинов, СМИ и множества других компаний по всему миру, работающих под управлением Windows. Наиболее ярко сбой сказался на гражданской авиации. Сбой не повлиял на безопасность полётов напрямую, но привёл к задержкам рейсов и проблемам с регистрацией из-за невозможности оформления билетов и багажа. Россия практически не использует CrowdStrike, поэтому российские компании не пострадали. Тем не менее, россияне, путешествующие стыковочными рейсами или работающие в зарубежных компаниях, использующих CrowdStrike, могли столкнуться с неудобствами. На данный момент более точные причины сбоя неизвестны, эксперты рассматривают как технические причины в CrowdStrike, так и возможность кибератаки.

Киберпреступникам удалось обманом проникнуть в защищённую экосистему Microsoft, используя вредоносное программное обеспечение, замаскированное под обычное приложение. Об этом стало известно благодаря расследованию, проведённому экспертами по кибербезопасности из компании Eset.

Источник изображения: Copilot

Вредоносное ПО, получившее название DWAdsafe и первоначально обнаруженное в конце 2023 года, маскируется под установщик HotPage.exe, который якобы улучшает работу веб-сайтов и блокирует рекламу. Однако на самом деле DWAdsafe внедряет код в системные процессы и перехватывает трафик браузера, перенаправляя пользователей на рекламу, связанную с играми.

Как сообщает издание TweakTown со ссылкой на исследование разработчиков антивирусного ПО Eset, вредоносная программа могла изменять, заменять или перенаправлять веб-трафик и открывать новые вкладки, в зависимости от определённых условий. При этом интересно, что встроенный драйвер HotPage.exe был одобрен и подписан Microsoft, хотя принадлежал китайской компании Hubei Dunwang Network, о которой практически ничего не было известно.

Источник изображения: Welivesecurity.com

В ходе расследования было также обнаружено, что программное обеспечение, рекламируемое как «решение по безопасности интернет-кафе», предназначалось для пользователей, говорящих на китайском языке и собирало данные о компьютере для статистических целей, которые затем перенаправлялись на сервер разработчиков DWAdsafe.

Беспокойство вызывает тот факт, что процесс проверки и одобрения Microsoft позволил вредоносному приложению попасть в каталог Windows Server. Ромен Дюмон (Romain Dumont), один из исследователей Eset, прокомментировал ситуацию так: «Я не думаю, что существует абсолютно надёжный процесс проверки всех данных компаний, и соответствуют ли заявленные функции ПО фактическим функциям. Microsoft могла бы проводить более тщательные проверки, однако давайте посмотрим правде в глаза: это сложная и трудоёмкая задача».

Eset сообщила о вредоносном ПО в Microsoft 18 марта 2024 года. Софтверный гигант удалил проблемный продукт из каталога Windows Server 1 мая 2024 года. С тех пор Eset обозначила эту угрозу как Win{32|64}/HotPage.A и Win{32|64}/HotPage.B.

Google, OpenAI, Microsoft, Amazon, Nvidia, Intel и другие крупные игроки рынка искусственного интеллекта объявили о создании «Коалиции за безопасный искусственный интеллект» (CoSAI). Инициатива направлена ​​на решение проблемы «фрагментированности ландшафта безопасности ИИ» путём предоставления доступа к методологиям, платформам и инструментам с открытым исходным кодом.

Источник изображения: oasis-open.org

Какое именно влияние хочет оказать CoSAI на индустрию искусственного интеллекта — неизвестно. Вероятно, вопросы защиты конфиденциальной информации и дискриминационные проблемы ИИ станут одними из направлений работы этой организации.

К инициативе CoSAI также присоединились компании IBM, PayPal, Cisco и Anthropic. CoSAI будет существовать в рамках «Организации по развитию стандартов структурированной информации» (OASIS), некоммерческой группы, которая способствует развитию открытых стандартов. CoSAI отмечает три основных направления деятельности: разработка эффективных практик обеспечения безопасности ИИ, решение общих проблем в области ИИ, а также безопасность приложений на базе искусственного интеллекта.

«Мы используем ИИ уже много лет и видим какую пользу он может приносить. Но мы также признаём его возможности, которые могут быть интересы злоумышленникам. CoSAI призвана помочь малым и крупным организациям безопасно и ответственно интегрировать и использовать преимущества ИИ в своих экосистемах, одновременно снизив все потенциально связанные с этим риски», — говорится в заявлении Хизер Адкинс (Heather Adkins), вице-президента Google по безопасности.

Исследователи безопасности обнаружили критическую уязвимость в популярном серверном почтовом клиенте Exim, которая позволяет злоумышленникам обходить защиту и отправлять вредоносные вложения. Под угрозой находятся более 1,5 миллиона серверов по всему миру.

Источник изображения: Aaron McLean / Unsplash

Специалисты по кибербезопасности выявили 10 дней назад серьёзную уязвимость в программном обеспечении Exim — одном из самых распространённых почтовых серверов в мире, сообщает Ars Technica. Уязвимость, получившая идентификатор CVE-2024-39929, позволяет злоумышленникам обходить стандартные механизмы защиты и отправлять электронные письма с исполняемыми вложениями, которые могут представлять серьёзную угрозу для конечных пользователей.

По данным компании Censys, специализирующейся на анализе киберугроз, в настоящее время из присутствующих в сети более 6,5 миллионов общедоступных SMTP-серверов, 4,8 миллиона (около 74 %) работают под управлением Exim. Более 1,5 миллиона серверов Exim (примерно 31 %) используют уязвимые версии программного обеспечения.

Уязвимость CVE-2024-39929 получила оценку критичности 9,1 из 10 по шкале уровня опасности CVSS и возникает из-за ошибки в обработке многострочных заголовков, описанных в стандарте RFC 2231. Хейко Шлиттерманн (Heiko Schlittermann), член команды разработчиков Exim, подтвердил наличие уязвимости, назвав её «серьёзной проблемой безопасности».

Хотя на данный момент нет сообщений об активном использовании ошибки, эксперты предупреждают о высокой вероятности целенаправленных атак в ближайшее время. Они напомнили о случае 2020 года, когда хакерская группа Sandworm эксплуатировала другую уязвимость в Exim (CVE-2019-10149) для массовых атак на серверы.

Несмотря на то, что для успешной атаки требуется, чтобы конечный пользователь запустил вредоносное вложение, эксперты подчёркивают, что методы социальной инженерии остаются одними из самых эффективных способов компрометации систем. Специалисты рекомендуют администраторам серверов Exim в кратчайшие сроки обновить программное обеспечение до последней версии, чтобы защитить свои системы от потенциальных атак.

Уязвимость CVE-2024-39929 присутствует во всех версиях Exim до 4.97.1 включительно. Исправление доступно в Release Candidate 3 версии 4.98.

Хакеры воспользовались находкой исследователя безопасности, чтобы создавать дубликаты «непередаваемых» цифровых билетов на концерты и другие мероприятия, реализованных через сервисы Ticketmaster и AXS, позволяя перепродавать их за пределами данных сервисов. Обходной путь был раскрыт в иске, поданном AXS против сторонних билетных брокеров, использующих эту практику, согласно 404 Media, который первым сообщил об этом.

Источник изображения: Ticketmaster

В мае этого года компания AXS подала судебный иск против сторонних билетных брокеров, использующих новый метод обхода защиты «непередаваемых» электронных билетов. Сообщается, что хакеры смогли путём реверс-инжиниринга воссоздать копию системы генерации оригинальных штрих- и QR-кодов для билетов Ticketmaster и AXS и перепродавать их.

История началась в феврале, когда некий исследователь безопасности под псевдонимом Conduition опубликовал технические детали о том, как Ticketmaster и AXS генерирует свои билеты. Информация дошла до рук хакеров и позволила им извлечь секретные данные, используемые для генерации новых билетов.

Хакеры создали параллельную инфраструктуру, используя смартфон Android с браузером Chrome, подключенный к Chrome DevTools на настольном ПК. Далее их система стала генерировать билеты с подлинными штрих-кодами, которые затем продавались на других платформах, не одобренных официальными билетными операторами.

Источник изображения: Ticketmaster

AXS подала в суд. В своём иске компания обвиняет других продавцов в продаже «поддельных» билетов ничего не подозревающим клиентам, хотя эти билеты работают и по сути являются оригинальными. Компания утверждает, что не знает, как именно хакеры осуществляют этот обход.

Сами компании Ticketmaster и AXS создают оригинальные билеты с помощью генерируемых штрих-кодов, которые меняются каждые несколько секунд, что предотвращает создание скриншотов или распечаток. Кроме того, коды генерируются только незадолго до начала мероприятия, ограничивая возможность их передачи вне сервисов.

Уязвимость системы Ticketmaster оказалась настолько прибыльной, что несколько билетных брокеров даже пытались нанять Conduition для создания собственных платформ генерации дубликатов билетов. Уже появились действующие сервисы, основанные на исследованиях Conduition, такие как Secure.Tickets, Amosa App, Virtual Barcode Distribution и Verified-Ticket.com.

Исследования показали что мошенники всё чаще применяют технологии искусственного интеллекта (ИИ) для совершения преступлений и обхода систем защиты. В частности, ChatGPT и ему подобные чат-боты позволяют генерировать более правдоподобные и грамотные тексты для фишинговых писем. Такие письма сложно распознать по традиционным признакам мошенничества.

Источник изображения: Copilot

Как сообщает американская деловая газета The Wall Street Journal, мошенники используют ИИ для имитации голосов реальных людей и создания так называемых глубоких фейков — поддельных аудио и видео. Это помогает выдавать себя за сотрудников банков, руководителей компаний и требовать перевода денег или разглашения конфиденциальных данных. По словам Мэтта Нила (Matt Neill), экс-агента спецслужб США, теперь гораздо сложнее распознать, с кем на самом деле ведётся беседа. Преступники могут вести осмысленный диалог, используя личные данные жертвы для повышения доверия.

Однако крупнейшие американские банки, включая JPMorgan Chase, разрабатывают собственные ИИ-системы для выявления новых схем мошенничества. Но преступники пока опережают — они атакуют всё большее количество людей, а хищения становятся масштабнее. Согласно данным Федеральной торговой комиссии США, в 2023 году американцы потеряли от действий мошенников рекордные 10 млрд долларов, что на 1 млрд больше, чем в 2022 году. При этом лишь 5 % пострадавших сообщают о своих потерях, так что реальный ущерб может достигать 200 млрд долларов.

По словам экспертов, мошенники активно используют инструменты ИИ для сбора личных данных в социальных сетях. При этом ИИ помогает генерировать персонализированные сообщения от имени доверенных лиц для убеждения людей передать деньги или конфиденциальную информацию. По данным опроса специалистов банков, 70 % из них считают, что хакеры используют ИИ более эффективно, чем финансовые организации. Кроме того, прогнозируется дальнейший значительный рост числа афер с применением искусственного интеллекта.

Мошенники также активно используют инструменты искусственного интеллекта для автоматизации взлома онлайн-аккаунтов пользователей. Если они получают доступ к почте и паролю жертвы какого-либо сервиса, они используют программы на основе ИИ, которые быстро проверяют, подходят ли эти данные для доступа к другим аккаунтам этого человека, например, банковским счетам или профилям в соцсетях.

Чтобы противодействовать этой угрозе, банки внедряют собственные системы искусственного интеллекта, которые отслеживают поведение клиентов, то есть как именно вводятся данные, с каких устройств происходит вход в приложение. Если есть отклонения от обычного поведения, система поднимает тревогу и может потребовать дополнительную аутентификацию.

Также банки анализируют скорость набора текста, чтобы определить, не действует ли человек под принуждением. Ещё ИИ выявляет такие подозрительные признаки, как вставка скопированного текста или слишком равномерный набор. Эксперты рекомендуют включать двухфакторную аутентификацию для защиты онлайн-аккаунтов и проявлять бдительность в ситуациях, когда кто-то вдруг начинает требовать срочных действий по переводу денежной суммы.

Хакеры из известной криминальной группировки ShinyHunters, укравшие данные Ticketmaster и других клиентов облачного провайдера Snowflake, утверждают, что смогли получить доступ к личным данным миллионов пользователей, взломав систему подрядной организации EPAM Systems.

Источник изображения: Pixabay

В результате масштабной кибератаки, нацеленной на клиентов Snowflake, потенциально могли пострадать 165 учётных записей, однако пока удалось идентифицировать лишь некоторые из них. Хакеры завладели информацией о более чем 500 млн пользователей Ticketmaster. Кроме того, о взломе своего аккаунта в Snowflake заявил испанский банк Santander. Согласно опубликованному хакерами сообщению, украденные данные содержат информацию о банковских счетах 30 миллионов клиентов Santander, в том числе 6 миллионов номеров счетов и балансов, 28 миллионов номеров кредитных карт, а также кадровые данные сотрудников банка. Компании Lending Tree и Advance Auto Parts также признали вероятность того, что стали жертвами этой атаки.

Snowflake не раскрыла подробности о том, как хакеры получили доступ к учётным записям клиентов, заявив лишь, что преступники не взламывали сеть компании напрямую. На днях организация Mandiant, принадлежащая Google и привлечённая Snowflake для расследования инцидентов, сообщила в своём блоге, что в некоторых случаях киберпреступники получали доступ через сторонних подрядчиков, не называя этих подрядчиков и не поясняя, как именно это происходило.

Однако в беседе с изданием Wired один из злоумышленников заявил, что одной из таких компаний-подрядчиков была EPAM Systems — компания по разработке программного обеспечения и оказанию цифровых услуг с годовым доходом около $4,8 млрд. Хакер утверждает, что его группе удалось использовать данные, найденные в системе сотрудников EPAM, для получения доступа к некоторым учётным записям в Snowflake.

В EPAM опровергли свою причастность ко взломам и предположили, что хакер сфабриковал эту историю. Однако группа ShinyHunters существует с 2020 года и с тех пор взяла на себя ответственность за многочисленные кибератаки, связанные с кражей, утечкой или продажей в интернете больших массивов данных.

Snowflake является крупной компанией, предоставляющей сервисы по хранению данных в облаке и их аналитической обработке. Согласно информации на её сайте, EPAM занимается разработкой ПО и предоставляет различные управляемые услуги клиентам по всему миру, в первую очередь в Северной Америке, Европе, Азии и Австралии. Около 60 % доходов EPAM приходится на клиентов в Северной Америке. В числе услуг, которые EPAM оказывает клиентам, значится помощь в использовании и управлении учётными записями Snowflake для хранения и анализа данных.

Источник изображения: pikisuperstar / freepik.com

По словам хакера, компьютер одного из сотрудников EPAM был заражён вредоносным ПО, с помощью которого злоумышленники получили доступ к данным на этом устройстве. Используя этот доступ, они обнаружили незашифрованные имена пользователей и пароли, с помощью которых сотрудник EPAM получал доступ к учётным записям Snowflake некоторых крупных клиентов компании, в том числе Ticketmaster. Эти данные, по словам хакеров, хранились в системе управления проектами Jira.

Используя эти учётные данные, хакеры получили доступ к аккаунтам в Snowflake, поскольку для доступа к ним не требовалась многофакторная аутентификация. В тех случаях, когда необходимые учётные данные отсутствовали в системе сотрудника EPAM, хакеры искали их в уже украденных ранее базах данных. Так, для доступа к аккаунту Snowflake компании Ticketmaster были использованы аккаунты, похищенные в 2020 году опять же с помощью вредоносного ПО.

После того, как ресурс Wired предоставил подробную информацию о том, как, по словам хакеров, им удалось получить доступ к системе сотрудника EPAM, представитель компании лишь повторил заявление о том, что он не видит доказательств вовлечённости EPAM в этот инцидент. На дополнительные, конкретно поставленные вопросы, в том числе с указанием имени сотрудника и его учётных данных для доступа к аккаунту Snowflake Ticketmaster, представитель EPAM не ответил.

Хотя издание Wired не смогло подтвердить заявления хакеров о взломе компьютера сотрудника EPAM и использовании его данных для доступа к аккаунтам Snowflake, злоумышленники предоставили изданию файл, похожий на список удалённых учётных записей работника EPAM из корпоративного каталога Active Directory, полученный после взлома его рабочей станции.

Кроме того, в сообщении компании Mandiant говорится, что хакеры использовали ранее украденные вредоносным ПО учётные данные для компрометации около 80 % выявленных ими аккаунтов Snowflake, что косвенно подтверждает слова группировки ShinyHunters о таком способе доступа к данным жертв.

Таким образом, даже если хакеры не взламывали сотрудника EPAM напрямую, они явно использовали украденные учётные данные из скомпрометированных систем этой компании для последующих атак на её клиентов, в том числе владельцев учётных записей в Snowflake. Директор по информационной безопасности Snowflake Брэд Джонс (Brad Jones) также признал, что отсутствие многофакторной аутентификации способствовало взломам. Джонс сказал, что его компания будет работать над этим вопросом.

Хакер и предполагаемый лидер группировки Scattered Spider арестован при попытке бежать из Испании. Члены хакерской группы вели в Telegram закрытый рейтинг лидеров по количеству взлома криптовалютных аккаунтов, хвастаясь украденными активами.

Источник изображения: krebsonsecurity.com

Как сообщается на сайте известного американского журналиста Брайана Кребса (Brian Krebs), занимающегося расследованиями IT-преступлений, 22-летний мужчина из Великобритании Тайлер Бьюкенен (Tyler Buchanan), также известный как «Tyler», был арестован на этой неделе в Испании. По данным властей, он является главой группы киберпреступников Scattered Spider, которая подозревается во взломе таких компаний как Twilio, LastPass, DoorDash, Mailchimp и около 130 других организаций за последние два года.

Испанская газета Murcia Today сообщает, что Бьюкенен разыскивался ФБР и был задержан в аэропорту Пальма-де-Майорки, когда пытался сесть на рейс в Италию. По данным полиции, на момент ареста он контролировал криптовалюту на сумму 27 миллионов долларов, полученную в результате взломов.

Бьюкенен считается специалистом по атакам путём подмены сим-карт. С помощью таких атак злоумышленники получают контроль над номером телефона жертвы и перехватывают одноразовые пароли и ссылки для сброса паролей, отправленные по SMS. Это позволяет им получить доступ к аккаунтам жертвы.

Scattered Spider совершила ряд громких кибератак, начав со взлома компании Twilio в 2022 году. Затем они взломали как минимум 163 клиента Twilio, включая приложение Signal и компанию Mailchimp. В результате были украдены конфиденциальные данные и криптовалюта на миллионы долларов.

Помимо этого, группировка подозревается во взломах сервиса хранения паролей LastPass, службы доставки еды DoorDash и десятков других технологических компаний. Для совершения атак они использовали фишинг по SMS и взлом учётных записей сотрудников.

Бьюкенена и других членов Scattered Spider связывают также с сообществом киберпреступников «The Com», которое известно громкими кражами криптовалюты и рейтингом таблицы лидеров этих краж в закрытых Telegram-каналах. Некоторые из участников, в том числе и Бьюкенен, подвергались физическому насилию от конкурирующих группировок. В частности, конкуренты наняли бандитов для вторжения в его дом, угрожали сжечь его, если он не отдаст ключи от своих криптовалютных кошельков. Считается, что Бьюкенен после этого нападения бежал из Соединённого Королевства.

Компания Google приступила к тестированию в Бразилии функции автоматического обнаружения кражи смартфона на Android, анонсированной на конференции для разработчиков Google I/O 2024 в мае этого года. Бразилия была выбрана в качестве первого региона для тестирования функции Theft Detection Lock, поскольку, судя по отзывам пользователей, кражи телефонов здесь далеко не редкость. Любой пользователь может прямо сейчас зарегистрироваться для участия в программе тестирования, если живёт в этой стране.

Источник изображения: Google

Функция Theft Detection Lock распознаёт, используя ИИ, необычные резкие движения мобильным устройством, которые могут указывать на попытку его кражи. Также на факт кражи может указывать то, что телефон пытаются использовать в другой сети, или если он в течение длительного времени находится вне доступа в часто используемой сети.

Функция Theft Detection Lock была представлена в рамках более масштабных улучшений конфиденциальности и безопасности, запланированных для платформы Android 15, в числе которых защищённое паролём хранилище под названием «личное пространство», где можно хранить конфиденциальные приложения и данные. Для доступа в «личное пространство» потребуется дополнительный уровень аутентификации. Однако функция Theft Detection Lock появится и в более старых версиях Android вместе с обновлением сервисов Google Play.

Пользователи Android-устройств в Бразилии также тестируют возможность отправки сообщений компаниям напрямую через WhatsApp, нажав на специальную кнопку, которая появляется в списке поиска компании. Кроме того, тестируется возможность назначения приёма у врача или косметолога, используя результаты поиска.

Apple заверила клиентов, что их данные, переданные на облако через систему искусственного интеллекта Apple Intelligence, «никогда не сохраняются и не становятся доступными для Apple», а открытый серверный код позволяет экспертам «проверить это обещание конфиденциальности». Компания утверждает, что ИИ-система Apple Intelligence, которую она интегрирует в свои продукты, будет использовать «частные облачные вычисления на серверах, специально созданных на базе процессоров Apple».

Поскольку большинство крупных языковых моделей запускаются на удалённых облачных серверных фермах, пользователи неохотно делятся персональными данными с компаниями, занимающимися ИИ. В своём сегодняшнем выступлении на WWDC компания Apple подчеркнула, что новая система Apple Intelligence, которую она интегрирует в свои продукты, будет использовать новые «частные облачные вычисления», чтобы обеспечить прозрачную и проверяемую защиту любых данных, обрабатываемых на её облачных серверах.

«Вам не придётся передавать все детали своей жизни для хранения и анализа в чьём-то облаке ИИ», — заявил старший вице-президент Apple по разработке программного обеспечения Крейг Федериги (Craig Federighi). Он сообщил, что многие модели генеративного ИИ Apple могут полностью локально работать на устройствах на базе чипов серии A17+ или M, что исключает риск отправки личных данных на удалённый сервер.

По словам Федериги, если для выполнения запроса пользователя потребуется более крупная облачная модель, она «будет работать на серверах, которые мы создали специально с использованием процессоров Apple», что позволяет использовать инструменты безопасности, встроенные в язык программирования Swift. Федериги утверждает, что система Apple Intelligence «отправляет на серверы только те данные, которые необходимы для выполнения вашей задачи», а не предоставляет полный доступ ко всей контекстной информации на устройстве.

Федериги подчеркнул, что даже этот минимизированный набор данных не будет сохраняться для будущего доступа или использоваться для дальнейшего обучения серверных моделей Apple. Не менее важно, что серверный код, используемый Apple, будет открытым и независимые эксперты смогут проверить его на конфиденциальность пользовательских данных. Вся система защищена сквозным шифрованием, так что устройства Apple «откажутся взаимодействовать с сервером, если их программное обеспечение не будет публично зарегистрировано для проверки».

Хотя в программной речи Федериги приводится немного технических подробностей, акцент на конфиденциальности показывает, что Apple, по крайней мере на словах, уделяет приоритетное внимание проблемам безопасности в сфере генеративного ИИ. Свою политику в отношении персональных данных Apple называет «совершенно новым стандартом конфиденциальности и искусственного интеллекта». Осталось дождаться заключения независимых экспертов по безопасности.

XAMPP и другие веб-серверы на PHP оказались под прицелом хакеров. На днях специалисты по кибербезопасности сообщили о серьёзной уязвимости в популярном языке программирования PHP, которая позволяет злоумышленникам удаленно выполнять вредоносный код на устройствах с Windows. Уязвимость получила идентификатор CVE-2024-4577.

Источник изображения: Caspar Camille Rubin/Unsplash

По словам экспертов, эксплуатировать эту уязвимость очень просто благодаря встроенной в Windows функции Best Fit, которая неверно преобразует некоторые Unicode-символы в PHP. Злоумышленники могут использовать метод внедрения аргументов, чтобы заставить PHP-интерпретатор выполнять произвольные команды, сообщает Ars Technica.

Уязвимость затрагивает версии PHP, работающие в режиме CGI, когда веб-сервер передает HTTP-запросы интерпретатору PHP для обработки. Однако даже если режим CGI не используется, атаковать можно установки PHP с доступными извне исполняемыми файлами интерпретатора. Такая конфигурация включена по умолчанию в популярном пакете XAMPP для Windows.

Исследователи продемонстрировали факт того, как злоумышленник может преобразовать безобидный HTTP-запрос в команду для запуска PHP-интерпретатора с дополнительными аргументами, которые разрешают удалённое выполнение PHP-кода из тела запроса. Внедрение аргумента «-d allow_url_include=1 -d auto_prepend_file=php://input» примет следующие входные данные:

Источник изображения: Arstechnica.com

А в подтверждение того, что цель RCE была достигнута должна появиться страница phpinfo.php. Таким образом обходится защита от похожей уязвимости 2012 года (CVE-2012-1823).

Источник изображения: Arstechnica.com

После публикации деталей уязвимости организация Shadowserver начала сканирование интернета и обнаружила тысячи уязвимых серверов. Учитывая простоту атаки, потенциальную опасность и широкое распространение PHP, эксперты рекомендуют администраторам срочно установить патч, чтобы избежать возможных атак.

Уязвимость была найдена Оранжем Цаем (Orange Tsai) из компании Devcore в рамках аудита безопасности PHP. По его словам, несмотря на тривиальность, эта ошибка представляет большой интерес для исследования. Разработчики PHP выпустили исправление в тот же день после сообщения, в четверг, 6 июня.

Из утекшего внутреннего отчёта Google стало известно, что компания в течение нескольких лет допускала нарушения конфиденциальности пользователей и утечку их личных данных — некоторые из эпизодов можно считать вопиющими. Google случайно собрала голосовые данные детей, раскрыла информацию о поездках и домашних адресах пользователей, а YouTube рекомендовал видео на основе контента, который пользователи давно удалили из истории просмотров.

Источник изображения: Kai Wenzel/Unsplash

Как сообщает ресурс 404 Media, каждый из инцидентов мог затронуть лишь относительно небольшое количество людей либо был быстро устранен. Согласно внутреннему отчету Google, утечка конфиденциальных данных пользователей происходила в компании на протяжении многих лет. В базе данных, охватывающей период с 2013 по 2018 год, зафиксированы тысячи инцидентов, связанных с проблемами конфиденциальности и безопасности.

Один из наиболее серьёзных случаев произошёл в 2016 году, когда выяснилось, что система Google Street View распознавала и сохраняла номера автомобилей в виде фотографий. Это произошло случайно из-за ошибки в работе алгоритма распознавания текста. В результате в базе данных Google оказалась информация о геолокации и номерах многих автомобилей. Эти данные впоследствии были удалены.

Другой инцидент касался обнародованных личных данных более 1 млн пользователей приобретенного Google сервиса Socratic. В открытом доступе оказались email-адреса, данные геолокации и IP-адреса, в том числе детей. Информация была доступна более года и могла быть собрана злоумышленниками.

Отдельно отмечен случай, когда голосовой помощник Google около часа записывал все аудиоданные, включая голоса детей. Было собрано порядка 1000 фрагментов с детской речью. Эти данные впоследствии также удалили.

Зафиксированы и другие крупные инциденты, например, уязвимость в сервисе по поиску попутчиков Waze Carpool привела к раскрытию личной информации о поездках и домашних адресах пользователей. Также имел место несанкционированный доступ сотрудника Google к закрытым видео Nintendo в YouTube-аккаунте с последующей утечкой данных.

Помимо этого, в отчёт попали инциденты и меньшего масштаба, например, ошибочная рассылка писем с персональными данными и открытый на какое-то время доступ к закрытым видео на YouTube.

Хотя во многих случаях проблемы оперативно устранялись, общий масштаб инцидентов, связанных с пользовательскими данными, впечатляет. Это показывает, насколько сложно крупнейшим IT-компаниям обеспечивать конфиденциальность огромных массивов личной информации пользователей.

Агентство национальной безопасности США (АНБ) предупредило о растущих угрозах безопасности мобильных устройств. Регулярное выключение телефона, отключение Bluetooth, когда он не нужен, и использование только надежных аксессуаров — это лишь некоторые рекомендации, которые дала спецслужба.

Источник изображения: Kandinsky

Мобильные устройства, такие как смартфоны и планшеты, стали неотъемлемой частью нашей повседневной жизни. Однако вместе с удобством, которое они предоставляют, эти гаджеты также открывают новые возможности для киберпреступников. Как передаёт ресурс Zdnet, в своем последнем отчете «Лучшие практики для мобильных устройств» Агентство национальной безопасности США предупреждает о растущих угрозах кибератак на мобильные устройства и даёт рекомендации по их защите.

Согласно АНБ, мобильные устройства уязвимы для различных кибератак, включая фишинг, вредоносные приложения, перехват трафика и удаленный доступ. Особенно опасны целевые фишинговые атаки, направленные на заражение устройства вредоносным ПО. Для защиты АНБ рекомендует пользователям выключать и включать свои смартфоны и планшеты минимум один раз в неделю. Это позволит очистить оперативную память устройства и затруднит злоумышленникам сбор конфиденциальных данных.

Однако выключение устройства не гарантирует 100 % защиты. Поэтому АНБ также советует:

• Своевременно устанавливать обновления безопасности для приложений и операционной системы.
• Загружать приложения только из официальных магазинов приложений.
• Не переходить по ссылкам и не открывать вложения в сообщениях от неизвестных отправителей.
• Избегать использования общедоступных Wi-Fi сетей.
• Отключать Bluetooth, когда он не используется.
• Использовать надежные пароли и биометрическую аутентификацию.
• Подключать устройство только к проверенным аксессуарам и зарядным устройствам.
• Отключать службы определения местоположения, когда они не нужны.

Для дополнительной защиты также рекомендуется установить специализированные приложения для сканирования устройства на наличие уязвимостей и вредоносного ПО, например Zdnet советует iVerify.

По словам экспертов АНБ, угрозы безопасности мобильных устройств будут только возрастать. Поэтому пользователям необходимо предпринимать активные меры защиты своих личных и платежных данных от хакеров, в руках которых сегодня имеется большой арсенал инструментов по взлому и фишингу мобильных устройств. Выполнение этих рекомендаций поможет существенно снизить риски и избежать многих кибератак.

В результате крупнейшей в истории международной операции правоохранительных органов под кодовым названием «Операция Финал» были отключены самые влиятельные ботнеты, использовавшиеся для распространения вредоносного ПО и вымогательства денежных средств в крупном размере.

Источник изображения: Kandinsky

Среди отключенных ботнетов — IcedID, SystemBC, Pikabot, SmokeLoader, Bumblebee и Trickbot. Эти вредоносные программы использовались как минимум 15 группами вымогателей, такими как BlackBasta, Revil и Conti, для распространения шифровальщиков и кражи данных. Дропперы (семейство вредоносных программ под видом полезных приложений) заражали компьютеры и сети, а затем загружали настоящее вредоносное ПО.

По информации портала Therecord.media, в операции участвовали сотни сотрудников правоохранительных органов из разных стран. Им удалось отключить или вывести из строя 100 серверов, используемых злоумышленниками, а также конфисковать более 2000 вредоносных доменов. Теперь на заблокированных интерполом доменах можно увидеть такую заглушку:

Источник изображения: Therecord.media

Кроме того, был арестован один подозреваемый в Армении и трое на территории Украины. А в Германии выданы ордера на арест ещё 8 человек, предположительно связанных с Trickbot и Smokeloader. Злоумышленники использовали фишинг и шпионское ПО для проникновения в сети жертв для последующего вымогательства денежных средств, исчисляемых миллионами долларов.

Полиция также выяснила, что один из главных подозреваемых заработал не менее €69 млн в криптовалюте на сдаче в аренду инфраструктуры по размещению сайтов вымогателей. Всего в ходе рейда было заблокировано около 100 криптокошельков на сумму более €70 млн.

В рамках операции проводились обыски и изъятие улик в нескольких странах. Полученные доказательства изучаются и могут привести к новым расследованиям. Представители Европола заявили, что операция продолжится, и другие причастные будут привлечены к ответственности.

Также на этой неделе в США были введены санкции против операторов ботнета 911 S5, который использовался для совершения крупномасштабных преступлений, а его предполагаемый администратор арестован. Данная операция стала мощным ударом по организованной киберпреступности.

Производитель компьютерных комплектующих Cooler Master подвергся масштабной кибератаке, в результате которой были украдены личные данные около 500 000 клиентов. Хакер под псевдонимом Ghostr заявил, что ему удалось получить доступ к приватной зоне сайта Cooler Master и похитить 103 Гбайт конфиденциальных данных. Он теперь требует выкуп.

Источник изображения: Cooler Master

Среди похищенной информации — корпоративные данные Cooler Master, данные о поставщиках и продажах, а также личные данные участников программы лояльности Fanzone. В частности, были украдены имена, адреса, даты рождения, номера телефонов и адреса электронной почты клиентов.

По сообщению ресурса Hot Hardware, особенно тревожным является тот факт, что злоумышленники получили доступ к незашифрованным данным банковских карт участников Fanzone. Речь идет о номерах кредитных карт, сроках их действия и трехзначных CVV-кодах, которые используются для подтверждения платежей в интернете. Это позволяет легко похитить деньги с карт.

Хакер грозится выставить все украденные данные на продажу на черном рынке, если Cooler Master не выплатит ему выкуп. Пока компания официально не комментирует инцидент. Однако независимое расследование подтверждает, что часть утёкшей информации является подлинной.

В связи с этим всем клиентам Cooler Master, особенно участникам программы Fanzone, настоятельно рекомендуется усилить бдительность. Необходимо следить за подозрительной активностью на банковских счетах и быть осторожными при использовании личных данных в интернете. Эксперты призывают немедленно связаться с банком в случае обнаружения каких-либо признаков мошенничества. Также рекомендуется сменить пароли и установить мониторинг истории платежей.

Пока неясно, смогла ли компания Cooler Master вовремя обнаружить и заблокировать атаку до того, как злоумышленники успели нанести серьезный ущерб её клиентам. Ожидается официальное заявление компании с разъяснением ситуации и рекомендациями поставщикам и клиентам. Эксперты прогнозируют волну фишинговых атак и других киберпреступлений с использованием украденных данных Cooler Master в ближайшие недели.