Apple выпустила экстренные патчи для устаревших версий iPhone и Mac. Обновление устраняет уязвимость CVE-2023-41064 и исключает возможность удалённого взлома устройств с целью последующей слежки за пользователями с помощью шпионского программного обеспечения, разработанного израильской компанией NSO Group.

Источник изображения: tigerlily713 / Pixabay

Обновление iOS 15.7.9 предназначено для устройств, включая iPhone 6s, iPhone 7 и iPhone SE, а также iPad Air 2. Компания также выпустила патчи для macOS Big Sur и Monterey, созданных для моделей Mac, выпускавшихся с 2013 года.

Apple предупредила, что хакеры активно эксплуатируют брешь, отправляя специальным образом модифицированные изображения, которые могут заставить iPhone, iPad или Mac выполнить вредоносный код, включая загрузку вредоносного ПО или переход на вредоносный сайт.

Уязвимость была обнаружена группой Citizen Lab, специализирующейся на информационной безопасности, во время проверки устройства сотрудника. «Цепочка эксплойтов была способна скомпрометировать iPhone, работающий под управлением последней версии iOS (16.6), без какого-либо вмешательства со стороны жертвы», — отметили в Citizen Lab.

Американское Агентство по кибербезопасности и безопасности инфраструктуры (CISA) также предупредило о значительных рисках, связанных с данной уязвимостью, и призвало пользователей Apple немедленно обновить свои устройства, чтобы избежать возможных кибератак.

Ситуация с уязвимостью, обнаруженной в продуктах Apple, подчёркивает важность своевременного обновления ПО устройств для защиты от киберугроз. Пользователи могут установить патчи, перейдя в раздел «Настройки → Основные → Обновление ПО». Эксперты настоятельно рекомендуют включить функцию автоматического обновления, чтобы устройство самостоятельно устанавливало необходимые патчи.

В 2023 году количество фишинговых ресурсов в Telegram увеличилось в 5 раз. Согласно данным компании Angara Security, в первом полугодии количество таких ресурсов достигло 5 тысяч. Этот тревожный рост, начавшийся в начале 2023 года, ставит под угрозу миллионы пользователей мессенджера.

Источник изображения: LoboStudioHamburg / Pixabay

Аналогичную статистику приводит «Лаборатория Касперского». По её данным, во втором квартале 2023 года попытки перехода российских пользователей Telegram на фишинговые ресурсы увеличились на 39 %. Сооснователь проекта StopPhish Юрий Другач также акцентирует внимание на росте мошенничества. По его словам, за летние месяцы 2023 года количество мошеннических сайтов, связанных с Telegram, выросло на 10 % по сравнению с весной текущего года.

При этом мошенники практикуют разнообразные схемы: от предложений проголосовать на конкурсе до обещаний бесплатного премиум-аккаунта Telegram. Злоумышленники также создают каналы с названием «Избранное», надеясь, что пользователи ошибутся и отправят туда конфиденциальную информацию.

В эпоху цифровизации безопасность стоит на первом месте. Рост фишинговых атак в Telegram — яркий пример того, как важно быть настороже. Многие компании используют этот мессенджер для корпоративных коммуникаций, что делает его особенно привлекательным для киберпреступников.

Включение двухфакторной аутентификации, проверка валидности ботов и каналов, а также осознанное отношение к переходам по ссылкам являются ключевыми моментами для обеспечения безопасности. Не стоит забывать о простых правилах интернет-гигиены: не вводить личные данные на подозрительных ресурсах и всегда проверять отправителя сообщений.

Клиенты компании по обеспечению сетевой безопасности LogicMonitor столкнулись с хакерскими атаками из-за использования стандартных паролей. Отмечается, что компания до недавнего времени предоставляла своим клиентам слабые пароли по умолчанию, что стало причиной инцидента.

Источник изображения: geralt / Pixabay

Компания LogicMonitor, специализирующаяся на сетевой безопасности, подтвердила факт нарушения безопасности, затронувшего некоторых её клиентов. По словам представителя компании Джессики Чёрч (Jessica Church), она активно работает над устранением последствий инцидента и находится в тесном контакте с пострадавшими клиентами.

Основной причиной инцидента стало то, что LogicMonitor до недавнего времени предоставляла своим клиентам стандартные и слабые пароли, такие как «Welcome@» с последующим коротким номером. Источник, знакомый с ситуацией, сообщил, что при регистрации аккаунта в LogicMonitor компания устанавливала стандартный пароль для всех пользовательских аккаунтов организации. До этого времени менять пароли не требовалось, и они не были временными. Теперь же пароль действителен 30 дней и должен быть изменён при первом входе.

По информации одного из клиентов LogicMonitor, компания активно связывается со своими клиентами, предупреждая о возможном нарушении безопасности учётных данных. Хотя представитель LogicMonitor не раскрывает дополнительных подробностей о происшествии, известно, что одна из компаний потеряла более 400 систем из-за хакерской атаки с требованием выкупа, эксплуатирующей слабый стандартный пароль.

Сервис LogicMonitor позволяет клиентам контролировать свою сетевую инфраструктуру, включая облачные ресурсы. На официальном сайте компании указано, что она контролирует 800 млрд метрик в день на 3 млн активных устройств и имеет более 100 000 пользователей ПО в 30 странах.

Инцидент с паролями подчёркивает важность строгого контроля и обновления мер безопасности, особенно для компаний, работающих в ИТ-сфере. Это также напоминает о необходимости регулярного обновления и усиления паролей для предотвращения подобных инцидентов в будущем.

Ещё в мае немецкое издание Handelsblatt обратилось к компании Tesla, сообщив о наличии в своём распоряжении конфиденциальной информации, касающейся клиентов и сотрудников этого американского автопроизводителя. Проведённое расследование показало, что утечка могла произойти по вине двух сотрудников Tesla и затронуть интересы 75 735 человек.

Источник изображения: Tesla

Соответствующее заявление на прошлой неделе сделал офис генерального прокурора штата Мэн (США), в котором проживают девять человек из списка пострадавших. Все они являются действующими или бывшими сотрудниками Tesla. Два бывших сотрудника, которые способствовали попаданию конфиденциальной информации в руки немецких журналистов, обвиняются в нарушении правил и требований компании в области информационной безопасности.

Отмечается, что против виновников утечки направлены судебные иски, хотя и не уточняется, в какой юрисдикции. Судом уже выдана санкция на изъятие электронных устройств, на которых могла храниться конфиденциальная информация Tesla. Компания также получила право накладывать на бывших сотрудников запрет на распространение конфиденциальной информации под угрозой уголовного наказания. Ситуация с дисциплиной сотрудников Tesla, имеющим доступ к клиентской информации, вообще далека от идеала — в апреле разгорелся скандал, связанны с передачей чувствительной информации о клиентах между сотрудниками компании. Изображения с бортовых камер электромобилей марки некоторыми специалистами Tesla применялись для собственного развлечения, а не обучения программных комплексов активной помощи водителю.

Менеджер паролей для бизнеса «Пассворк» не нуждается в представлении (см. наш обзор программы). Продукт ведёт свою историю с 2014 года и за время развития сумел занять прочное место на рынке ПО и завоевать доверие многих компаний, в числе которых — «Ланит», «Транснефть», X5 Retail Group, группа ПИК, «Первый канал», «Промсвязьбанк», ВТБ и многие другие известные организации. Решение востребовано в корпоративной среде, а потому активно совершенствуется разработчиками. Ярким свидетельством этому является релиз «Пассворк 6.0» — крупного обновления менеджера паролей.

«Пассворк» повышает безопасность при работе с корпоративными паролями

Для начала — немного о функциональных возможностях «Пассворк». О них мы достаточно подробно рассказывали ранее, поэтому остановимся на ключевых особенностях программного комплекса, способного удовлетворять потребности компаний любого масштаба, в том числе территориально распределённых.

«Пассворк» использует защищённые хранилища, хранит пароли от любых систем (веб, серверы, приложения), а также небольшие файлы (ключи, сертификаты) в удобном структурированном виде, поддерживает совместную работу, позволяет настраивать права пользователей, а также отслеживать все действия сотрудников и вносимые ими изменения. Продукт устанавливается на сервер организации и хранит данные в зашифрованном виде, при этом для защиты информации может быть применён алгоритм AES-256 или соответствующий требованиям регуляторов стандарт шифрования ГОСТ. Поддерживается интеграция с Active Directory/LDAP, авторизация с помощью SAML SSO, а также аудит безопасности паролей. «Пассворк» зарегистрирован в реестре отечественного софта и может представлять интерес для организаций, реализующих проекты в сфере импортозамещения ПО. Открытый для аудита исходный код менеджера паролей позволяет убедиться в отсутствии уязвимостей и скрытых функций.

Встроенные в «Пассворк» средства аудита безопасности позволяют анализировать используемые персоналом пароли и получать своевременные оповещения о старых, слабых и скомпрометированных паролях

В новой версии «Пассворк 6.0» основной акцент разработчиками был сделан на улучшении пользовательского опыта и расширении возможностей совместной работы с паролями. В частности, в программе появились ярлыки для паролей, предоставляющие пользователям ещё большую гибкость в совместной работе. Больше не нужно создавать дубликаты паролей в разных сейфах — вместо этого можно создать несколько ярлыков в нужных директориях. Если исходный пароль изменится, изменятся и все ярлыки этого пароля. В зависимости от прав доступа пользователи могут просматривать или редактировать пароль через ярлык.

Ярлыки — новый способ поделиться паролем

Ещё одна новая функция — отправка паролей без предоставления частичного доступа в сейф. В предыдущих версиях «Пассворк» пользователь всегда получал частичный доступ в сейф, даже если с ним поделились только одним паролем. Теперь, когда пользователи получают доступ к паролю через «Входящие» или ярлык, им предоставляется доступ непосредственно к отправленному паролю без выдачи частичного доступа в сейф. Администраторы всегда видят, у каких сотрудников есть доступ к сейфу, а у каких только к определённым паролям.

Отправка паролей без частичного доступа в сейф усиливает защиту конфиденциальных данных

С выпуском «Пассворк 6.0» разработчики переработали интерфейс настроек LDAP и добавили новые возможности. Теперь для добавления новых учётных записей используется отдельное окно, а пользователи сами при первом входе в систему устанавливают мастер-пароль. В дополнение к этому реализовано обновление данных о пользователях из LDAP в фоновом режиме и добавлены специальные теги для удалённых групп и групп, связанных с ролями. Всё это существенно упростило работу администратора.

В новой версии менеджера паролей переосмыслена логика управления пользователями

Релиз «Пассворк 6.0» принёс немало других изменений в продукте. В их числе:

• возможность настраивать права на создание ссылок, ярлыков и отправку паролей для определённых уровней доступа;
• возможность индивидуальной настройки времени автовыхода из системы при неактивности;
• возможность индивидуального выбора языка интерфейса;
• клавиши «Сохранить» и «Отменить изменения» в системных настройках для исключения случайных действий;
• поддержка дополнительных полей при импорте и экспорте паролей;
• улучшенное перетаскивание паролей и папок с панелью выбора действий: переместить, копировать или создать ярлык;
• уведомление администраторов о новых неподтверждённых пользователях.

Улучшенное перетаскивание — одно из множества полезных изменений в интерфейсе программы

С полным списком реализованных в продукте изменений можно ознакомиться на сайте passwork.ru/v6-release.

Чтобы обновиться до версии 6.0, необходимо сначала обновить менеджер паролей до версии 5.4, осуществить миграцию данных и затем подтвердить это в клиентском портале «Пассворк». Подробная инструкция по обновлению размещена по адресу passwork.ru/migration-v6-help. Дополнительные сведения о программном решении, а также документацию, можно найти на сайте passwork.ru.

Количество инцидентов кибербезопасности постоянно растёт, причём речь идёт не только об узконаправленных атаках, но и широкомасштабных вредоносных кампаниях. Злоумышленники не ограничиваются проведением атак против крупных компаний, всё чаще обращая внимание на массовые мероприятия, такие как спортивные соревнования. По данным Microsoft, атаки во время крупных спортивных соревнований могут привести к утечке данных, нарушению работы критической инфраструктуры и др.

Источник изображения: hothardware.com

В недавнем отчёте софтверного гиганта говорится, что угрозы кибербезопасности на спортивных мероприятиях «разнообразны и сложны». Особо отмечается, что «ни одно крупное спортивное мероприятие не имеет одинаковых профилей киберрисков», а целью злоумышленников может являться информация о спортсменах, обслуживающем персонале, организаторах, а также компрометация устройств в точках продаж, устройств посетителей и многое другое.

Независимо от того, какую цель преследуют злоумышленники, каждое конкретное мероприятие отличается по месту проведения, количеству и составу участников, демографическим характеристикам и др. Microsoft провела мониторинг в 45 организациях, участвующих в крупных спортивных мероприятиях и имеющих суммарно около 100 тыс. конечных точек доступа, на которых было совершено 634,6 млн попыток аутентификации. В среднем на одно конечное устройство приходилось около 6340 попыток аутентификации. При этом некоторые конечные устройства являются критически важными, поэтому на их долю может приходиться значительно больше попыток аутентификации.

В сообщении отмечается, что в целом обеспечение кибербезопасности на крупных спортивных мероприятиях является сложным вопросом. Политические и финансовые мотивы, которыми могут руководствоваться злоумышленники, а также разные условия проведения каждого соревнования — всё это усложняет обеспечение кибербезопасности.

Группа исследователей из британских университетов разработала алгоритм с использованием методов глубокого обучения нейросетей, который способен с точностью до 95 % распознавать данные, анализируя звук нажимаемых клавиш клавиатуры, записанный через микрофон. В процессе обучения алгоритма классификации звуков также использовались аудиозаписи, сделанные через Zoom, но в этом случае точность распознавания снизилась до 93 %.

Источник изображения: Bleeping Computer

Акустическая атака с использованием упомянутого алгоритма несёт серьёзную угрозу безопасности данных, поскольку такой подход может использоваться для кражи паролей и другой конфиденциальной информации. Более того, в отличии от других атак через сторонние каналы, требующих соблюдения специальных условий, акустические атаки становятся проще в реализации по мере распространения микрофонов, обеспечивающих высококачественный захват звука. В сочетании с быстрым развитием технологий машинного обучения акустические атаки через сторонние каналы становятся более опасным инструментом в руках злоумышленников, чем было принято считать прежде.

Для проведения такой атаки злоумышленникам требуется осуществить запись звука нажимаемых клавиш на клавиатуре жертвы, поскольку эти данные требуются для обучения алгоритма прогнозирования. Сделать это можно с помощью находящегося поблизости микрофона или же смартфона, заражённого вредоносным программным обеспечением, открывающим доступ к микрофону устройства. Кроме того, запись звука нажимаемых клавиш можно осуществить во время звонка в Zoom.

Источник изображения: arxiv.org

В рамках нынешнего исследования были собраны обучающие данные, представляющие запись звука нажатия 36 клавиш MacBook Pro, каждая из которых нажималась по 25 раз. После этого были получены осциллограммы и спектрограммы, которые позволили визуализировать идентифицируемые различия при нажатии каждой клавиши. Исследователи также выполнили определённые шаги для обработки данных в плане усиления сигнала для упрощения идентификации клавиш. Спектрограммы использовались для обучения классификатора изображений CoAtNet.

В эксперименте был задействован один и тот же ноутбук Apple с клавиатурой, которая используется во всех моделях портативных компьютеров компании последние два года, а также iPhone 13 mini, расположенный на расстоянии 17 см от ноутбука и записывающий звук, и сервис Zoom, который также использовался для записи звука нажимаемых клавиш. В итоге исследователям удалось добиться того, что классификатор CoAtNet достиг 95 % точности при обработке записей со смартфона и 93 % — при обработке данных, записанных через Zoom. При эксперименте с использованием Skype точность снизилась до 91,7 %.

Источник изображения: arxiv.org

Пользователям, которых беспокоят акустические атаки, исследователи рекомендуют изменить стиль печати, а также использовать случайно генерируемые пароли. В дополнение к этому можно задействовать программные средства для воспроизведения звуков нажатия клавиш, белого шума или аудиофильтры для клавиатуры.

Генеральный директор ИБ-компании Tenable Амит Йоран (Amit Yoran) предал огласке инцидент, иллюстрирующий, что отношение Microsoft к кибербезопасности «ещё хуже, чем вы думаете» — компания пренебрегает вопросами защиты данных и неоправданно затягивает исправление собственных ошибок.

Последний связанный с кибербезопасностью крупный инцидент у Microsoft имел место 12 июля, когда китайская хакерская группировка Storm-0558 произвела взлом облачной платформы Azure — атака затронула около 25 организаций и привела к краже конфиденциальной переписки правительственных чиновников США. По версии эксперта, Microsoft систематически демонстрирует пренебрежение к вопросу защиты данных: Tenable удалось обнаружить ещё одну уязвимость инфраструктуры Azure, и софтверному гиганту потребовалось слишком много времени, чтобы её устранить.

Ошибка была обнаружена в марте — она открывала потенциальным злоумышленникам доступ к конфиденциальным данным, включая ресурсы одного из банков. Tenable уведомила Microsoft об уязвимости, но последней потребовалось «более 90 дней, чтобы развернуть частичное исправление», которое, впрочем, применяется только к «новым приложениям, загружаемым службой». Оказавшиеся под угрозой организации, включая тот самый банк, «которые запустили сервис до выхода исправления», всё ещё подвержены уязвимости и о риске, вероятно, не осведомлены.

Microsoft планирует окончательно решить проблему к концу сентября, что эксперт характеризует как «крайнюю безответственность, если не вопиющее пренебрежение». К тому же, по информации Google Project Zero, 42,5 % всех обнаруженных с 2014 года уязвимостей нулевого дня приходятся на продукты Microsoft. Недавно компания Wiz сообщила, что у взлома Azure могут быть более серьёзные последствия, чем считалось первоначально, но в Microsoft её выводы отвергли.

Тем временем на критику Йорана отреагировал старший директор Microsoft Джефф Джонс (Jeff Jones). «Мы ценим сотрудничество с сообществом [кибер]безопасности по ответственному раскрытию проблем с продуктами. Мы следуем обширной процедуре, включающей тщательное расследование, разработку обновлений для всех версий затронутых продуктов и тестирование совместимости с другими операционными системами и приложениями. В конечном счёте, разработка обновления безопасности — это тонкий баланс между своевременностью и качеством при максимальной защите клиентов и минимальных помехах для них», — приводит The Verge заявление топ-менеджера.

В США запущена программа Cyber Trust Mark, предполагающая оценку уровня безопасности устройств Интернета вещей и, в частности, всевозможной потребительской умной бытовой техники, устройств умного дома и носимой смарт-электроники, а также их соответствующую маркировку. Программа призвана показать жителям страны, что приобретаемые ими устройства с подключением к интернету обладают защитой от кибератак.

Источник изображения: FCC

Устройства Интернета вещей, к которым из потребительской электроники относятся в том числе фитнес-трекеры, маршрутизаторы, детские трекеры, умные холодильники и прочее, справедливо считаются уязвимыми: они поставляются с простыми паролями по умолчанию, и для них редко выходят обновления безопасности — взломать такие устройства зачастую действительно несложно. Новые критерии безопасности для устройств Интернета вещей предложил (PDF) Национальный институт стандартов и технологий США (NIST).

Список мер защиты включает в себя уникальные пароли по умолчанию для каждого устройства, защиту сохраняемых и передаваемых данных, поддержку регулярных обновлений ПО, а также средства обнаружения взломов. Предусматриваются также стандарты защиты потребительских маршрутизаторов, уязвимости в прошивках которых приводят к тому, что сетевое оборудование оказывается включённым в ботнеты — сети, используемые в DDoS-атаках. Перечень стандартных требований будет утверждён к концу 2023 года, и в 2024 году на соответствующие этим требованиям товары будет наноситься маркировка Cyber Trust Mark — значок с изображением щита. Маркировка также предусматривает QR-код, содержащий ссылку на национальный реестр сертифицированных устройств и актуальную информацию о безопасности.

Американским розничным сетям рекомендовано отдавать приоритет товарам с маркировкой Cyber Trust Mark — к инициативе уже присоединились Amazon и Best Buy. Идею также поддержали производители техники: Cisco, Google, LG, Qualcomm и Samsung.

В доменной зоне .РФ наблюдается тревожная тенденция: количество доменов, распространяющих вредоносное ПО, резко увеличилось. Координационный центр (КЦ) доменов и Минцифры России выразили обеспокоенность этим явлением, особенно учитывая, что все эти домены зарегистрированы гражданами Китая. Специалисты по информационной безопасности подтверждают активизацию китайских кибершпионских группировок на территории России.

Источник изображения: geralt / Pixabay

Согласно последним данным КЦ, в июне в зоне .РФ произошёл резкий скачок числа доменов, распространяющих вредоносное ПО. Если в мае 2023 года было заблокировано 226 таких доменов, то в июне этот показатель увеличился до 2600. По мнению Евгения Панкова, руководителя проектов КЦ, происходит спланированная атака с использованием доменной зоны .РФ. Он отметил, что доля вредоносных сайтов в .РФ в период с января по июнь увеличилась до 10 %. В Минцифры России также подтвердили, что в конце мая ведомством были зафиксированы инциденты, связанные с использованием доменов в зоне .РФ. «Всего было выявлено и заблокировано около 2200 таких ресурсов»,— сообщили в министерстве.

Ярослав Каргалёв, руководитель центра кибербезопасности F.A.C.C.T. (ранее Group IB), акцентирует внимание на китайских APT-группировках, описывая их как наиболее активные прогосударственные хакерские группы в сфере кибершпионажа. Эти группы олицетворяют идею «продвинутой устойчивой угрозы» (Advanced Persistent Threat), являясь примером долгосрочной, сложной и целенаправленной кибератаки.

Одной из ключевых характеристик китайских APT-группировок является их способность скрытно проникнуть в целевую инфраструктуру. Это не просто взлом: злоумышленники мастерски замаскировывают своё присутствие и проводят длительные операции шпионажа. Таким образом, они могут оставаться незамеченными в системах своих жертв на протяжении многих месяцев, а иногда и лет, что позволяет им собирать ценную информацию и нарушать работу критически важных систем.

Владислав Лашкин, руководитель группы анализа угроз компании «РТК-Солар», подтверждает, что они также наблюдают активность китайских AРT-группировок уже длительное время: «Они были и остаются одной из самых постоянных и стабильных угроз как для госсектора, так и для частных компаний на территории РФ».

Специалисты экспертного центра безопасности Positive Technologies отмечают новую волну атак со стороны хакерской группировки с китайскими корнями Space Pirates. Эта хакерская группа увеличила количество попыток атаковать российский госсектор, авиационную и ракетно-космическую промышленность, а также образовательные учреждения.

По мнению специалиста, знакомого с отношениями между Россией и Китаем, рост кибершпионажа со стороны Китая объясним и неизбежен. Он считает, что в итоге Москва и Пекин смогут выработать определённые правила, чтобы киберинциденты и кража данных не слишком влияли на отношения между двумя странами.

Для защиты себя от взлома и кибератак рекомендуется принять несколько важных мер. Во-первых, следует обновлять ПО и ОС на всех устройствах. Важно также использовать надёжные пароли и двухфакторную аутентификацию (2FA). Регулярное создание резервных копий данных поможет восстановить информацию в случае её порчи или шифрования злоумышленниками. Также не следует открывать подозрительные ссылки и файлы. Наконец, рекомендуется установить надёжное антивирусное программное обеспечение и периодически сканировать свои устройства на наличие вредоносных программ. Соблюдение этих простых мер безопасности поможет защититься от киберугроз и обеспечить безопасность в сети.