Пользователи роботов-пылесосов Ecovacs Deebot X2 из нескольких городов США сообщили, что их устройства взломали. Хакеры смогли управлять устройствами, а через динамики пылесосов они транслировали расистские оскорбления, повергая владельцев в шок. Эти инциденты выявили серьёзные уязвимости в системах безопасности современных умных устройств и поставили под угрозу конфиденциальность пользователей.

Источник изображения: cliff1126 / Pixabay

Дэниел Свенсон (Daniel Swenson), адвокат из Миннесоты, столкнулся с проблемами в работе своего робот-пылесоса, когда устройство начало издавать странные звуки, похожие на прерывистый радиосигнал. Заглянув в мобильное приложение Ecovacs, он увидел, что неизвестный получил доступ к камере робота и функции дистанционного управления. Сначала Свенсон решил, что это всего лишь технический сбой, и сменил пароль, перезагрузив устройство. Однако вскоре пылесос вновь начал движение, и из его динамиков раздались громкие расистские оскорбления.

24 мая в Лос-Анджелесе был зафиксирован схожий инцидент. Взломанный робот-пылесос Ecovacs Deebot X2 начал преследовать собаку владельцев, в то время как хакеры, управляя устройством на расстоянии, выкрикивали оскорбления через его динамики. Пять дней спустя, в Эль-Пасо, был взломан ещё один робот-пылесос Ecovacs, и из его динамиков снова раздались расистские оскорбления. Владелец был вынужден отключить устройство от сети, чтобы прекратить происходящее. События, развернувшиеся в течение нескольких дней, вызвали тревогу среди пользователей и экспертов по кибербезопасности.

Источник изображения: Ecovacs

Шестью месяцами ранее исследователи по кибербезопасности предупреждали компанию Ecovacs о критических уязвимостях в их устройствах. В частности, они обнаружили проблему с беспроводным соединением, которая позволяла злоумышленникам управлять пылесосами с расстояния до 100 метров. Несмотря на эти предупреждения, компания не предприняла необходимых мер, что и привело к массовым взломам в мае этого года.

После инцидента Дэниел Свенсон обратился в службу поддержки Ecovacs, но его запрос был встречен недоверием. Представитель компании несколько раз спрашивал, существует ли видеозапись произошедшего, хотя Свенсон настаивал, что его больше беспокоит сам факт взлома и нарушение конфиденциальности. Такое отношение заставило его задуматься, пытается ли компания скрыть истинные масштабы проблемы.

В декабре 2023 года исследователи по безопасности Деннис Гизе (Dennis Giese) и Брейлин Людтке (Braelynn Luedtke) публично представили доказательства уязвимости PIN-кода в роботах Ecovacs. Они подчеркнули, что проверка PIN-кода выполнялась только на уровне приложения, а не на сервере или устройстве, что позволяло злоумышленникам легко обойти защиту умного пылесоса. Компания заявила, что эта уязвимость была исправлена, однако эксперты полагают, что предпринятых мер оказалось недостаточно.

Персональные данные более 5 млн клиентов сети ресторанов быстрого питания Burger King, собранные через фирменное мобильное приложение, утекли в Сеть. В компании обвинили в случившемся хакеров, которые взломали платформу Mindbox.

Источник изображения: cliff1126 / Pixabay

О крупной утечке данных клиентов сети ресторанов быстрого питания Burger King сообщили эксперты сервиса поиска утечек и мониторинга даркнета (DLBI). В открытый доступ попали 5 627 676 строк, содержащих такие данные, как имя, номер телефона, адрес электронной почты, пол, дата рождения, город, любимая категория или блюдо, а также дата заказа. Информация касается клиентов, использовавших мобильное приложение Burger King и сделавших заказы в период с 31 мая 2018 года по 25 августа 2024 года. По предварительным данным, утечка была вызвана взломом мобильного приложения компании.

В Burger King отметили, что персональные данные клиентов появились в открытом доступе результате хакерской атаки на платформу автоматизации маркетинга Mindbox. Инцидент затронул сразу несколько компаний. Также в компании подчеркнули, что информация о платежных реквизитах клиентов не была похищена: открытая информация о транзакциях не передается и не хранится у третьих лиц.

Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC ГК «Солар», отметил, что недавние утечки данных могут означать, что хакеры обладают обширными сведениями о большинстве граждан России. Он подчёркивает, что в последние годы взломы затронули множество различных сервисов, что позволило киберпреступникам аккумулировать огромные базы данных, содержащие личную информацию россиян.

Согласно информации Роскомнадзора, в 2023 году в сеть попало более 300 млн записей, содержащих данные о гражданах России. Масштабные утечки данных были зафиксированы в различных секторах: от служб доставки и интернет-магазинов до медицинских учреждений и государственных сервисов.

Архив интернета или archive.org — уникальная платформа, сохраняющая всю историю интернета, подверглась хакерской атаке, что привело к утечке данных 31 млн пользователей. Утечка затронула электронные адреса, имена пользователей и пароли. Вскоре после инцидента пользователи социальных сетей начали активно делиться скриншотами главной страницы Archive.org, на которой появилось тревожное сообщение.

Источник изображения: abbiefyregraphics / Pixabay

Около 00:00 по московскому времени пользователи увидели на главной странице Archive.org следующее сообщение: «Вам когда-нибудь казалось, что Internet Archive держится на честном слове и постоянно находится на грани катастрофической утечки данных? Это только что случилось. Увидим 31 миллион из вас на HIBP!».

Источник изображения: Archive.org

После публикации этого сообщения сайт оказался временно недоступен. Позже Брюстер Кейл (Brewster Kahle), основатель Archive.org, сообщил через социальные сети, что платформа подверглась DDoS-атаке. Сайт восстановил свою работу, но обсуждения последствий утечки не утихают.

Хотя DDoS-атака вызвала кратковременные сбои, наибольший резонанс вызвала именно утечка данных, подтверждённая онлайн-сервисом Have I Been Pwned (HIBP), который помогает пользователям проверить, были ли их данные скомпрометированы. HIBP подтвердил, что взлом Archive.org произошёл месяц назад. В результате хакеры похитили 31 млн записей, содержащих электронные адреса, имена пользователей и хэшированные пароли.

Алгоритм bcrypt, который использовался для хэширования паролей, считается одним из самых надёжных методов защиты данных. Однако даже его применение не гарантирует полной безопасности, если пользователи выбирали слабые пароли или использовали их на других платформах. В связи с этим пользователям Archive.org рекомендуется немедленно сменить свои пароли и включить двухфакторную аутентификацию для дополнительной защиты учётных записей.

OpenAI подверглась нападению китайских киберпреступников, которые отправляли вредоносное ПО сотрудникам OpenAI в архивных файлах. «Мы пресекли деятельность предполагаемого китайского злоумышленника SweetSpecter, который безуспешно занимался фишинговыми атаками на личные и корпоративные адреса электронной почты сотрудников OpenAI», — заявили в OpenAI. Примечательно, что хакеры из группы SweetSpecter использовали инструменты OpenAI для проведения своих операций.

Источник изображения: pexels.com

OpenAI заблокировала неуказанное количество учётных записей, которые, по её мнению, связаны с хакерской группой SweetSpecter. Сообщается, что киберпреступники используют инструменты OpenAI для таких целей, как «разведка, исследование уязвимостей, поддержка сценариев, уклонение от обнаружения аномалий и разработка».

В процессе фишинговой атаки хакеры отправляли сотрудникам OpenAI официальные письма об обнаруженных недостатках в работе ChatGPT с вложениями в виде zip-файлов, в которых якобы находилось подробное описание «проблемы» отправителя. При открытии zip-файла появлялся документ с фальшивым списком сообщений об ошибках ChatGPT, а в это время в фоновом режиме вредоносная программа SugarGh0st RAT захватывала контроль над ПК, позволяя хакерам похищать данные и получать доступ к компьютеру.

По данным OpenAI, эти атаки были безуспешными — письма блокировались внутренними системами безопасности OpenAI и не попадали в корпоративные почтовые ящики. Компания особо отметила, что эти атаки не имеют отношения к успешному взлому учётной записи OpenAI Newsroom X в прошлом месяце, когда хакерам удалось запустить криптофишинговую аферу, которая опустошала кошельки жертв.

Фишинговые электронные письма — настоящая проблема как для обычных потребителей, так и для сотрудников технологических компаний. Фишинговые атаки могут привести к масштабным утечкам корпоративных данных или потере средств и могут осуществляться по электронной почте, телефону или при помощи текстовых сообщений. Противостоять им помогает изучение наиболее распространённых методов и типов атак и элементарная цифровая гигиена.

Согласно данным американской компании по кибербезопасности Palo Alto Networks, ранее группа SweetSpecter в интересах китайского правительства атаковала посольства, министерства, правительственных чиновников и другие политические организации.

Масштабная уязвимость в системе безопасности Secure Boot, получившая название PKfail, оказалась гораздо более распространённой, чем предполагалось ранее. Проблема, названная PKfail, затрагивает банкоматы, платёжные терминалы, медицинские устройства, игровые консоли, корпоративные серверы и даже машины для голосования. Использование тестовых ключей платформы в производственных системах на протяжении более 10 лет поставило под угрозу безопасность устройств от ведущих производителей отрасли.

Источник изображения: geralt / Pixabay

Исследователи компании Binarly обнаружили, что количество моделей устройств, использующих скомпрометированные тестовые ключи платформы, возросло с 513 до 972. Среди затронутых производителей — Acer, Dell, Gigabyte, Intel, Supermicro, Aopen, Fornelife, Fujitsu, HP и Lenovo. Ключи, помеченные фразами «DO NOT TRUST» (НЕ ДОВЕРЯТЬ) в сертификатах, никогда не предназначались для использования в промышленных системах, однако оказались внедрены в сотни моделей устройств.

Платформенные ключи формируют криптографический якорь доверия (root-of-trust anchor) между аппаратным обеспечением и прошивкой. Они являются фундаментом для Secure Boot — отраслевого стандарта, обеспечивающего криптографическую защиту в предзагрузочной среде устройства. Интегрированный в UEFI (Unified Extensible Firmware Interface), Secure Boot использует криптографию с открытым ключом для блокировки загрузки любого кода, не подписанного предварительно одобренной цифровой подписью. Компрометация этих ключей подрывает всю цепочку безопасности, установленную Secure Boot.

Ситуация усугубилась после публикации в 2022 году на GitHub закрытой части одного из тестовых ключей. Это открыло возможность для проведения сложных атак с внедрением руткитов в UEFI устройств, защищённых Secure Boot. Количество моделей, использующих этот конкретный скомпрометированный ключ, выросло с 215 до 490. Всего исследователи выявили около 20 различных тестовых ключей, четыре из которых были обнаружены недавно.

Анализ 10 095 уникальных образов прошивок, проведённый с помощью инструмента Binarly, показал, что 8 % (791 образ) содержат непроизводственные ключи. Проблема затрагивает не только персональные компьютеры, но и медицинские устройства, игровые консоли, корпоративные серверы и критически важную инфраструктуру.

Ранее все обнаруженные ключи были получены от компании AMI, одного из трёх основных поставщиков комплектов средств разработки (SDK) программного обеспечения (ПО), которые производители устройств используют для настройки прошивки UEFI, чтобы она работала на их конкретных аппаратных конфигурациях. С июля Binarly обнаружил ключи, принадлежащие конкурентам AMI — компаниям Insyde и Phoenix. Binarly также обнаружила, что следующие три производителя также продают устройства, пострадавшие от PKfail:

• Hardkernel Odroid-H2, Odroid-H3 и Odroid-H4
• Beelink Mini 12 Pro
• Minisforum HX99G

Уязвимости присвоены идентификаторы CVE-2024-8105 и VU#455367. PKfail не представляет угрозы для устройств, не использующих Secure Boot, но подрывает безопасность систем, где эта защита обязательна — например, у государственных подрядчиков и в корпоративных средах.

В ночь на 11 сентября инфраструктура центра выдачи электронной подписи УЦ «Основание», включающего АО «Аналитический центр» и АО «Единый портал ЭП», подверглась кибератаке, из-за чего сайты компаний стали недоступны, и процесс выдачи ЭП прекратился, пишет «Коммерсантъ» со ссылкой на заявление центра. На данный момент сайты uc-osnovanie.ru и iecp.ru по-прежнему недоступны.

Источник изображения: TheDigitalArtist/Pixabay

В опубликованном компанией письме сообщается, что «в настоящее время выдача новых сертификатов ключей проверки электронной подписи приостановлена, совместно с НКЦКИ (подведомственный ФСБ Национальный координационный центр по компьютерным инцидентам) проводится аудит инцидента, ведутся работы по восстановлению работоспособности удостоверяющего центра». Возобновление выдачи сертификатов было намечено на 12 сентября, но пока сдвигов не наблюдается.

В письме отмечено, что АО «Аналитический центр» не осуществляет хранение ключей ЭП, поэтому атака на его информационные ресурсы не могла затронуть и скомпрометировать электронные подписи клиентов. «Инфраструктура, связанная с программно-аппаратным комплексом УЦ, не пострадала, говорить о компрометации ключей нельзя, и тем, кто уже имеет электронную подпись, выпускать новый сертификат не требуется», — подтвердил «Коммерсанту» коммерческий директор УЦ Алексей Сенченков.

Как сообщается, атака была проведена методом дефейса (подмена надписи или картинки на сайте) — на сайтах организации (uc-osnovanie.ru и iecp.ru) были размещены надписи «Ваши сертификаты в надёжных руках», а также объявление о том, что сертификаты будут впоследствии проданы. По словам Сенченкова, атаку провели с ресурсов в США, Нидерландах и Эстонии.

Как отметил начальник отдела по кибербезопасности «Кода безопасности» Алексей Коробченко, такие организации, как УЦ «Основание», имеют эшелонированную систему кибербезопасности, включая сегментацию внутренней корпоративной сети, многофакторную аутентификация и т. д. Этого вполне достаточно, чтобы обеспечить надёжную защиту данных.

Вместе с тем руководитель отдела сетевых технологий Angara Security Денис Бандалетов предупредил о возможных проблемах с CRL — списками «отозванных сертификатов», с помощью которых аутентифицирующий ресурс проверяет легитимность подключающегося пользователя через ЭП. При их недоступности провести аутентификацию на каком-либо ресурсе невозможно. «Также недоступность CRL вызовет неработоспособность смежных ресурсов, которые проверяли сертификаты аутентификации на этих порталах», — сообщил эксперт.

Специалисты по кибербезопасности из Израиля обнаружили новый способ кражи данных из изолированных компьютерных систем. Эти системы, используемые в таких важных структурах, как военные объекты, госучреждения и атомные электростанции, физически отрезаны от интернета для защиты от внешних угроз. Однако новая атака для перехватывания конфиденциальной информации, получившая название RAMBO, использует электромагнитное излучение, возникающее при работе RAM.

Источник изображения: Copilot

Несмотря на отсутствие прямого соединения с интернетом, пишет BleepingComputer, системы с воздушным зазором (Air-gapped) всё равно, как оказалось, подвержены компрометации. Злоумышленники могут внедрить вредоносное ПО через физические носители, например, USB-накопители, или воспользоваться более сложной цепочкой действий для установления связи с ПК. Вредоносное ПО, внедрённое в систему, может незаметно манипулировать компонентами оперативной памяти, генерируя контролируемые электромагнитные импульсы, передающие информацию с компьютеров.

Данные кодируются в радиочастотные сигналы, где «1» и «0» представляются как «включено» и «выключено». Для повышения надёжности передачи и снижения ошибок используется Манчестерский код, представляющий из себя абсолютное биимпульсное кодирование двоичным цифровым сигналом исходных двоичных данных. Хакер может перехватывать эти сигналы с помощью недорогих программных радиоприёмников (SDR) и декодировать их обратно в бинарный код. При этом скорость передачи данных при атаке RAMBO (Radiation of Air-gapped Memory Bus for Offense) невелика и достигает 1000 бит в секунду (bps), что эквивалентно 0,125 Кбайт/с. Однако, как отмечают исследователи, «этого достаточно для кражи небольших объёмов данных, таких как текст, нажатия клавиш и небольшие файлы». Например, для кражи пароля требуется от 0,1 до 1,28 секунды, а для 4096-битного зашифрованного ключа RSA — от 4 до 42 секунд.

Источник изображения: Arxiv.org

В свою очередь дальность передачи данных зависит от скорости передачи. На максимальной скорости (1000 бит в секунду) сигнал стабилен на расстоянии до 3 метров, но с увеличением расстояния растёт и вероятность ошибок. При снижении скорости до 500 бит в секунду и ниже дальность передачи может достигать 7 метров. Исследователи экспериментировали с более высокими скоростями, но обнаружили, что при скорости выше 5 Кбит/с сигнал становится слишком слабым и не способен надёжно передавать информацию. «Мы обнаружили, что скорость передачи данных не должна превышать 5000 бит в секунду, иначе сигнал становится слишком слабым и содержит много шумов», — сообщают авторы исследования.

В опубликованной научной работе предложены несколько способов защиты от атак RAMBO и других подобных методов. К ним относятся усиление физической защиты, подавление электромагнитных излучений, генерируемых оперативной памятью (RAM), внешняя радиочастотная помеха и использование экранирующих корпусов Фарадея для блокировки электромагнитного излучения. Исследователи также проверили эффективность атаки RAMBO на виртуальных машинах и обнаружили, что уязвимость работает даже в этой среде. Однако, взаимодействие оперативной памяти хост-системы с операционной системой и другими виртуальными машинами может привести к сбоям атаки. «Хотя мы показали, что атака RAMBO работает в виртуальных средах, взаимодействие с хост-системой может привести к её сбоям», — поясняют исследователи.

Toyota подтвердила факт взлома своей корпоративной сети после того, как злоумышленник загрузил 240-гигабайтный архив украденных данных на хакерском форуме. По утверждению компании «проблема ограничена по масштабу и не является проблемой всей системы». Компания сотрудничает с теми, кого это коснулось, но пока не сообщила, как злоумышленник получил доступ и сколько людей пострадало в результате инцидента.

Источник изображений: unsplash.com

Киберпреступники из хакерской группировки ZeroSevenGroup утверждают, что взломали филиал Toyota в США и украли 240 Гбайт файлов с информацией о сотрудниках и клиентах Toyota, а также контракты и финансовую информацию. Злоумышленникам удалось, по их словам, получить информацию об инфраструктуре сети, включая учётные данные, с помощью инструмента с открытым исходным кодом AD-Recon, который помогает извлекать огромные объёмы информации из сред Active Directory.

«Мы взломали филиал в США одного из крупнейших производителей автомобилей в мире (TOYOTA). Мы очень рады поделиться файлами с вами здесь бесплатно. Размер данных: 240 Гбайт, — написали преступники в комментарии на хакерском форуме. — Содержимое: всё, например, контакты, финансы, клиенты, схемы, сотрудники, фотографии, базы данных, сетевая инфраструктура, электронные письма и много идеальных данных. Мы также предлагаем вам AD-Recon для всей целевой сети с паролями».

Источник изображения: BleepingComputer

Хотя Toyota не разглашает дату утечки, по косвенным данным можно предположить, что злоумышленники получили доступ к резервному серверу, не содержащему самой свежей информации, так как украденные файлы имеют дату создания 25 декабря 2022 года.

Утечки данных в результате действий киберпреступников преследуют Toyota. Несколько дочерних компаний Toyota и Lexus подверглись взлому в 2019 году. Злоумышленники украли объём данных, который компания описала как «до 3,1 миллиона единиц информации о клиентах».

В октябре 2022 года Toyota сообщила о возможной утечке личной информации порядка 296 тыс. клиентов сервиса T-Connect — телематической экосистемы для информирования владельцев автомобилей через смартфон о месторасположении и состоянии их транспортных средств. Утечка коснулась клиентов T-Connect, зарегистрированных в сервисе с июля 2017 года.

В декабре прошлого года компания Toyota Financial Services сообщила клиентам об утечке их конфиденциальных личных и финансовых данных в результате атаки вируса-вымогателя Medusa, которая затронула европейские и африканские подразделения японского автопроизводителя в ноябре.

В мае 2023 года Toyota сообщила, что информация о местоположении автомобилей 2 150 000 клиентов в течение десяти лет, с 6 ноября 2013 года по 17 апреля 2023 года, попала в публичный доступ из-за неправильной конфигурации базы данных в облачной среде компании. Спустя несколько недель были выявлены ещё две неправильно настроенные облачные службы, через которые персональные данные клиентов Toyota утекали в течение более семи лет.

После этих двух инцидентов Toyota внедрила автоматизированную систему для мониторинга облачных конфигураций и настроек баз данных во всех своих средах, чтобы предотвратить подобные утечки в будущем. Судя по всему, принятых мер оказалось недостаточно.

Американские законодатели потребовали расследования в отношении китайской компании TP-Link, крупнейшего производителя Wi-Fi-роутеров. TP-Link попал под подозрение в связи с возможным участием в кибератаках на правительственные учреждения и предприятия США.

Источник изображения: Copilot

Республиканец Джон Муленаар (John Moolenaar) и демократ Раджа Кришнамурти (Raja Krishnamoorthi), возглавляющие Специальный комитет Палаты представителей по Китаю, направили в Министерство торговли письмо с просьбой о проведении расследования, сообщает агентство Reuters.

В своём обращении американские конгрессмены указали на известные уязвимости в прошивке TP-Link, а также на случаи использования роутеров этой компании для прицельных атак на государственных чиновников из европейских стран. В письме к министру торговли Джине Раймондо (Gina Raimondo) говорится: «Мы просим Министерство проверить угрозу, исходящую от роутеров, связанных с Китаем, особенно тех, которые предлагает крупнейший в мире производитель, такой как TP-Link». Они подчёркивают, что ситуация является «вопиющей угрозой национальной безопасности».

Министерство торговли заявило, что разберётся в вопросе и направит ответ. Посольство Китая, в свою очередь, заявило, что надеется, что власти «будут опираться на доказательства при выявлении киберинцидентов, а не выдвигать необоснованные предположения и обвинения». Сама компания TP-Link пока не дала комментариев.

Запрос конгрессменов свидетельствует о растущей обеспокоенности тем, что Пекин может использовать роутеры и другое оборудование китайского производства для кибератак на американские правительственные учреждения и компании. Например, в прошлом году власти США при поддержке Microsoft выявили хакерскую кампанию Volt Typhoon, связанную с правительством Китая. Взяв под контроль частные роутеры, злоумышленники пытались скрыть последующие атаки на критически важную инфраструктуру США.

Компания Microsoft сообщила об устранении крупномасштабного сбоя, который затронул множество популярных сервисов, включая почтовый клиент Outlook и игру Minecraft. Проблемы продолжались почти 10 часов, вызвав многочисленные жалобы пользователей по всему миру.

Источник изображения: Pixabay

По предварительным данным, причиной сбоя стала DDoS атака (распределённый отказ в обслуживании), усугублённая ошибкой в системе защиты Microsoft, сообщает BBC. Компания признала, что их меры безопасности не только не смогли предотвратить атаку, но и усилили её негативное воздействие.

«Хотя первоначальным событием, послужившим причиной, была DDoS-атака, расследование показывает, что ошибка в реализации наших защитных мер усилила воздействие атаки, а не смягчила его», — говорится в официальном заявлении Microsoft.

Данный инцидент произошёл менее чем через две недели после глобального сбоя, вызванного некорректным обновлением программного обеспечения компанией по кибербезопасности CrowdStrike, в результате которого около 8,5 миллионов компьютеров на базе операционных систем Microsoft вышли из строя.

Эксперт по компьютерной безопасности, профессор Алан Вудворд (Alan Woodward) выразил удивление по поводу масштабного сбоя: «Кажется немного сюрреалистичным, что мы столкнулись с очередным серьёзным сбоем в работе онлайн-сервисов Microsoft. Можно было бы ожидать, что сетевая инфраструктура Microsoft будет защищена от подобных "бомб"».

Ранее на сайте компании появилось оповещение, в котором говорилось, что сбой затронул Microsoft Azure (платформу облачных вычислений) и Microsoft 365, в который входят такие приложения, как Microsoft Office и Outlook. Также пострадали облачные системы Intune и Entra.

Компания Microsoft заявила 31 июля, что проблема исправлена и будет осуществляться мониторинг за ситуацией. «Мы искренне приносим извинения за причинённые неудобства», — говорится в сообщении на X (ранее Twitter).

По итогам первой половины 2024 года у российских компаний зафиксировано 676 000 инцидентов, связанных с информационной безопасностью, сообщают «Ведомости» со ссылкой на исследование компании «Солар». Во II квартале зафиксировано больше случаев (381 000), но в I квартале было больше критических инцидентов, то есть способных вывести из строя любую систему инфраструктуры — 527, а во II квартале — только 278. Эту разницу эксперты связали с проводившимися в России выборами президента, которые пришлись на I квартал.

Источник изображений: Cliff Hang / pixabay.com

Один из российских информационных ресурсов перед выборами пережил рекордную DDoS-атаку на 2,7 Тбит/с. До начала украинских событий подобные атаки считались непреодолимой угрозой, рассказали в «Солар», но сейчас уже научились противостоять и им. Рост числа кибератак в компании связали с их усложнением, в том числе с использованием киберразведки. При этом в сравнении с первой половиной 2023 года (614 000 инцидентов) рост составляет 10 % и представляется незначительным — возможно, у кибератак начинает наблюдаться некая сезонность.

Наибольшее число инцидентов было связано с вредоносным ПО, отметили в «Солар»: в I квартале на этот сегмент пришлись 27 %, а во II квартале — уже 39 % событий, связанных с информационной безопасностью. I квартал также отметился высокой долей успешного получения несанкционированного доступа к информационным системам и сервисам — таких инцидентов было 14 % против стандартных 3 % во II квартале. Значительно выросла и за квартал, и за полугодие доля веб-атак, хотя доля связанных с этим типом атаки критических инцидентов упала с 7 % до 1 %. Возможно, организации начали внедрять межсетевые экраны, которые обнаруживают подобные инциденты и не позволяют им подняться до критической стадии.

В T.Hunter подтвердили статистику «Солара» по числу инцидентов в I полугодии, но сообщили, что годом ранее их было 570 000 или на 20 % меньше. Рост числа кибератак подтвердили в Positive Technologies, сообщив об увеличившемся на 11 % количестве успешных инцидентов. С вредоносным ПО, однако, в компании связали более крупные доли инцидентов: 60 % в первой половине 2023-го и 65 % в первой половине 2024 года; чаще всего применяются шифровальщики, но в этом году их доля начала снижаться в пользу вредоносов для удалённого управления.

Больше всего киберинцидентов пережили компании промышленной (38 %) и энергетической (37 %) отраслей, рассказали в BI.Zone. Такой выбор может быть связан со стратегическим значением этих компаний для экономики, и в 35 % случаев хакеры это делают для кибершпионажа. Далее в рейтинге «популярности» среди киберпреступников следуют компании из IT-отрасли (26 % в первой половине 2023-го и 27 % в первой половине 2024 года), а также организации финансовой сферы и страхования (10 % и 15 % соответственно). В последнем сегменте число успешных кибератак минимально, потому что здесь применяются повышенные требования к кибербезопасности. Наиболее часто хакеры применяют фишинг и эксплуатируют уязвимости внешних сервисов.

Исследователи безопасности обнаружили критическую уязвимость в популярном серверном почтовом клиенте Exim, которая позволяет злоумышленникам обходить защиту и отправлять вредоносные вложения. Под угрозой находятся более 1,5 миллиона серверов по всему миру.

Источник изображения: Aaron McLean / Unsplash

Специалисты по кибербезопасности выявили 10 дней назад серьёзную уязвимость в программном обеспечении Exim — одном из самых распространённых почтовых серверов в мире, сообщает Ars Technica. Уязвимость, получившая идентификатор CVE-2024-39929, позволяет злоумышленникам обходить стандартные механизмы защиты и отправлять электронные письма с исполняемыми вложениями, которые могут представлять серьёзную угрозу для конечных пользователей.

По данным компании Censys, специализирующейся на анализе киберугроз, в настоящее время из присутствующих в сети более 6,5 миллионов общедоступных SMTP-серверов, 4,8 миллиона (около 74 %) работают под управлением Exim. Более 1,5 миллиона серверов Exim (примерно 31 %) используют уязвимые версии программного обеспечения.

Уязвимость CVE-2024-39929 получила оценку критичности 9,1 из 10 по шкале уровня опасности CVSS и возникает из-за ошибки в обработке многострочных заголовков, описанных в стандарте RFC 2231. Хейко Шлиттерманн (Heiko Schlittermann), член команды разработчиков Exim, подтвердил наличие уязвимости, назвав её «серьёзной проблемой безопасности».

Хотя на данный момент нет сообщений об активном использовании ошибки, эксперты предупреждают о высокой вероятности целенаправленных атак в ближайшее время. Они напомнили о случае 2020 года, когда хакерская группа Sandworm эксплуатировала другую уязвимость в Exim (CVE-2019-10149) для массовых атак на серверы.

Несмотря на то, что для успешной атаки требуется, чтобы конечный пользователь запустил вредоносное вложение, эксперты подчёркивают, что методы социальной инженерии остаются одними из самых эффективных способов компрометации систем. Специалисты рекомендуют администраторам серверов Exim в кратчайшие сроки обновить программное обеспечение до последней версии, чтобы защитить свои системы от потенциальных атак.

Уязвимость CVE-2024-39929 присутствует во всех версиях Exim до 4.97.1 включительно. Исправление доступно в Release Candidate 3 версии 4.98.

Накануне, 20 июня, произошла кибератака на Национальную систему платежных карт (НСПК) — самая масштабная на финансовые структуры РФ за последние годы, считают эксперты. В течение нескольких часов не проходили или проходили не с первого раза некоторые платежи в интернете и переводы через СБП. Серьёзного ущерба инцидент не причинил, но для предотвращения таких кибератак в дальнейшем потребуются дополнительные меры защиты.

Источник изображения: WELC0MEИ0 / pixabay.com

Сбои в работе некоторых сервисов НСПК начали проявляться 20 июня около 10:00 мск. Не проходили некоторые платежи через банковские карты и СБП — последняя заработала в штатном режиме к обеду, а восстановление службы 3D Secure для подтверждения платежей через интернет заняло более продолжительное время. В НСПК факт инцидента подтвердили и уточнили, что это была инфраструктурная DDoS-атака — специалисты платформы были готовы к ней, поэтому её эффект оказался «кратковременным», а затронуты оказались лишь некоторые службы. Днём ранее та же группа киберпреступников атаковала несколько крупных российских банков, но особого эффекта это не возымело — возможно, это была репетиция, предположили источники «Коммерсанта».

Для атаки на НСПК злоумышленники выбрали метод ковровой атаки, при котором нападение осуществляется на все ресурсы жертвы одновременно — из-за этого перегрузке подвергается всё пограничное сетевое оборудование, и нарушается связанность сетей. Защититься от атаки этого типа сложнее, потому что обычное в таких случаях перенаправление запроса по несуществующему сетевому маршруту влечёт полную недоступность службы. Есть мнение, что реакция специалистов НСПК была неверной — они должны были запустить резервные серверы, но этого не случилось. Возможно, проблема в том, что организаторы атаки были осведомлены об особенностях работы системы платежей, знали, как обойти системы мониторинга, поэтому резервные мощности не подключились.

В последний раз настолько масштабная атака на российские финансовые службы была зафиксирована в сентябре 2021 года — её жертвой оказался провайдер Orange Business Services, который обрабатывал значительную часть банковского трафика по картам. В результате платежи по картам и СБП шли с перебоями в течение трёх часов. Тогда атака, по мнению экспертов, была «значительно мощнее» — она затронула не только интернет-платежи и СБП, но также банкоматы и магазины. На этот раз НСПК оказалась лишь самой заметной целью — инцидент затронул и другие российские организации, включая банки, а также «Ростелеком» и МТС, но заметного ущерба злоумышленники причинить не смогли. Тем не менее, атака оказалась успешной, и причины этого необходимо будет установить, чтобы не допускать таких инцидентов впредь.

Агентство национальной безопасности США (АНБ) предупредило о растущих угрозах безопасности мобильных устройств. Регулярное выключение телефона, отключение Bluetooth, когда он не нужен, и использование только надежных аксессуаров — это лишь некоторые рекомендации, которые дала спецслужба.

Источник изображения: Kandinsky

Мобильные устройства, такие как смартфоны и планшеты, стали неотъемлемой частью нашей повседневной жизни. Однако вместе с удобством, которое они предоставляют, эти гаджеты также открывают новые возможности для киберпреступников. Как передаёт ресурс Zdnet, в своем последнем отчете «Лучшие практики для мобильных устройств» Агентство национальной безопасности США предупреждает о растущих угрозах кибератак на мобильные устройства и даёт рекомендации по их защите.

Согласно АНБ, мобильные устройства уязвимы для различных кибератак, включая фишинг, вредоносные приложения, перехват трафика и удаленный доступ. Особенно опасны целевые фишинговые атаки, направленные на заражение устройства вредоносным ПО. Для защиты АНБ рекомендует пользователям выключать и включать свои смартфоны и планшеты минимум один раз в неделю. Это позволит очистить оперативную память устройства и затруднит злоумышленникам сбор конфиденциальных данных.

Однако выключение устройства не гарантирует 100 % защиты. Поэтому АНБ также советует:

• Своевременно устанавливать обновления безопасности для приложений и операционной системы.
• Загружать приложения только из официальных магазинов приложений.
• Не переходить по ссылкам и не открывать вложения в сообщениях от неизвестных отправителей.
• Избегать использования общедоступных Wi-Fi сетей.
• Отключать Bluetooth, когда он не используется.
• Использовать надежные пароли и биометрическую аутентификацию.
• Подключать устройство только к проверенным аксессуарам и зарядным устройствам.
• Отключать службы определения местоположения, когда они не нужны.

Для дополнительной защиты также рекомендуется установить специализированные приложения для сканирования устройства на наличие уязвимостей и вредоносного ПО, например Zdnet советует iVerify.

По словам экспертов АНБ, угрозы безопасности мобильных устройств будут только возрастать. Поэтому пользователям необходимо предпринимать активные меры защиты своих личных и платежных данных от хакеров, в руках которых сегодня имеется большой арсенал инструментов по взлому и фишингу мобильных устройств. Выполнение этих рекомендаций поможет существенно снизить риски и избежать многих кибератак.

Компания Live Nation Entertainment подтвердила утечку данных клиентов сервиса по продаже билетов Ticketmaster спустя 11 дней после её обнаружения. База данных 560 млн пользователей Ticketmaster объёмом 1,3 Тбайт была выставлена на продажу хакерской группировкой ShinyHunters за $500 тыс. Компания начала расследование и сотрудничает с правоохранительными органами, но уверена, что инцидент не повлияет на её финансовое положение.

Источник изображения: deeznutz1 / Pixabay

В течение недели данные 560 млн пользователей Ticketmaster, включая имена, домашние адреса, адреса электронной почты, номера телефонов и номера банковских карт, продавались на хакерских форумах, но только в пятницу вечером Live Nation, компания, владеющая Ticketmaster, признала факт их утечки. До настоящего времени единственным официальным сообщением, подтверждающим утечку данных, было заявление МВД Австралии, которое сообщило о сотрудничестве с компанией для выяснения обстоятельств случившегося.

Live Nation, которая ранее привлекла внимание из-за жалоб фанатов Тейлор Свифт (Taylor Swift) и судебного антимонопольного иска Минюста США, подтвердила, что 20 мая обнаружила несанкционированную активность в облачной среде базы данных третьей стороны. Компания немедленно начала расследование с участием ведущих экспертов в области кибербезопасности.

Уже 27 мая злоумышленники выставили на продажу в даркнете украденные данные пользователей. Live Nation предпринимает меры по снижению рисков для своих пользователей и сотрудничает с правоохранительными органами. Кроме того, компания уведомила регулирующие органы и пользователей о несанкционированном доступе к персональной информации.

Live Nation не предоставила конкретных подробностей о взломе, числе пострадавших пользователей или предпринимаемых мерах, но по данным экспертов по кибербезопасности Hudson Rock, злоумышленники взломали аккаунт компании на облачном хранилище Snowflake, а также аккаунты других компаний. Тем не менее, Live Nation утверждает, что произошедшее не окажет влияния на её финансовое положение и результаты деятельности, что вполне логично, если верить обвинениям её в монополизме.