Теги → хакер
Быстрый переход

Русскоязычные хакеры-вымогатели OldGremlin потребовали рекордный выкуп — 1 млрд рублей

Группа русскоязычных хакеров-вымогателей OldGremlin установила в этом году своего рода рекорд по сумме затребованного выкупа по России — с одной российской компании они потребовали 1 млрд рублей. Об этом сообщил ресурс Forbes Russia со ссылкой на отчёт компании Group-IB, специализирующейся на вопросах кибербезопасности. Название пострадавшей организации не раскрывается.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Злоумышленники из OldGremlin второй год подряд бьют рекорд по сумме затребованного выкупа — в прошлом году они потребовали у жертвы за восстановление доступа к данным 250 млн рублей.

«По нашим данным, на счету OldGremlin почти два десятка атак с многомиллионными выкупами, причём в качестве жертв атакующие выбирают всё более крупные корпорации», — сообщил ресурсу Forbes руководитель отдела динамического анализа Group-IB Threat Intelligence Иван Писарев. Он добавил, что до сих пор группировка атаковала компании в России, но в дальнейшем может переключиться на международные цели, как это делали многие русскоязычные преступные организации.

С 2020 года, когда Group-IB впервые зафиксировала активность OldGremlin, группировка провела 16 кампаний по рассылке вредоносных писем, жертвами которых стали банки, логистические, промышленные и страховые компании, ретейлеры, девелоперы, разработчики ПО и один из российских оружейных заводов.

Как сообщает Group-IB, в 2020 году хакеры отправляли рассылки (всего их было 10) от имени микрофинансовых организаций, металлургического холдинга, белорусского завода «МТЗ» и медиахолдинга РБК. В 2021 году была зафиксирована одна кампания с рассылкой от имени Ассоциации интернет-торговли. В 2022 году рассылок было пять, и они отпралялись от имени сервисов «Консультант Плюс», «1С-Битрикс», платёжной системы и других организаций.

В качестве инструмента для взлома хакеры используют фишинговые письма с актуальной повесткой и темой (пандемия, удалённая работа, антироссийские санкции), позволяющие вызвать интерес у пользователей, чтобы те перешли по ссылкам и загрузили вредоносные файлы.

В Group-IB отметили рост интереса хакеров-вымогателей к российскому бизнесу. По данным компании, в прошлом году количество их атак на отечественные компании выросло более чем на 200 %.

Выполнить DDoS-атаку или взломать аккаунт в соцсетях стало проще — хакеры снизили расценки

Согласно исследованию Positive Technologies, сейчас кибератаки больше обсуждают в мессенджерах, чем на форумах киберпреступников. За последний год число предложений услуг хакеров в Telegram резко выросло, что привело к падению расценок, сообщает РБК.

 Источник изображения: Pixabay

Источник изображения: Pixabay

По данным Positive Technologies, стоимость проведения DDoS-атаки в течение суток в настоящий момент составляет $40 (2,6 тыс. руб. по текущему курсу), взлом аккаунта во «ВКонтакте» — в пределах от $10 до $50 (630–3,13 тыс. руб.), взлом мессенджеров Telegram, Viber и WhatsApp — от $350 (22 тыс. руб.). В ходе исследования было проанализировано 323 публичных канала и группы в Telegram с количеством подписчиков более 1 млн.

В 2021 году компания BI.ZONE приводила расценки на хакерские услуги: взлом аккаунта во «ВКонтакте» тогда стоил от 700 руб. до 12 тыс. руб., аккаунта в Telegram — от 30 тыс. до 170 тыс. руб., в WhatsApp — от 20 тыс. до 130 тыс. руб.

Также снизилась стоимость вредоносного ПО. По словам аналитика исследовательской группы Positive Technologies Екатерины Семыкиной, за последние четыре года расценки на вредоносное ПО для шифрования упали примерно в 27 раз, с $270 до $10.

Инструменты для запутывания кода стоят от $20 до $100 (от 1,26 тыс. до 6,27 тыс. руб.), а ботнет (сеть компьютеров, заражённая вредоносным софтом) или руководство по его созданию обойдётся гораздо дороже — до $750 (47 тыс. руб.). Цены на вымогательское ПО составляют десятки долларов.

Аналитик назвала причиной популярности Telegram среди злоумышленников то, что в нём проще создавать анонимные аккаунты. Также за четыре года вредоносов написано множество, товар стал менее уникальным, и даже хакеры с низким уровнем квалификации могут собрать вредонос, чтобы потом продавать его в сети.

Всего во втором квартале этого года в Telegram было размещено более 27 тыс. постов на хакерскую тематику, что в 2,5 раза больше, чем за аналогичный период прошлого года.

По словам экспертов, хакеры начали массово переходить в мессенджеры с киберпреступных форумов после того, как в 2020–2021 гг. несколько крупных форумов были взломаны из-за уязвимостей. Большинство сообщений в мессенджерах (52 %) касаются пользовательских данных, включая их продажу, 29 % — посвящены различным услугам киберпреступников, 15 % — распространению вредоносного ПО, 3 % — обсуждению уязвимостей и эксплойтов, 1 % — проблемам доступа к корпоративным сетям.

Intel подтвердила утечку исходного кода BIOS/UEFI для процессоров Alder Lake

На днях сообщалось, что IT-инфраструктура компании Intel подверглась кибератаке, в результате которой с серверов производителя процессоров были похищены около 6 Гбайт конфиденциальной информации. В частности, речь шла об утечке исходного кода BIOS/UEFI для процессоров Intel Alder Lake. В разговоре с порталом Tom’s Hardware представитель Intel подтвердил утечку.

 Источник изображения: B_A / pixabay.com

Источник изображения: B_A / pixabay.com

«Наш проприетарный код UEFI оказался в руках третьих лиц. Мы не считаем, что этот факт каким-либо образом раскрывает новые уязвимости в системе безопасности, поскольку мы полагаемся на метод обфускации (маскировки, запутывания, — прим. ред.) программного кода. Мы также находимся под защитой программы Project Circuit Breaker, в рамках которой исследователи по компьютерной безопасности ищут любые уязвимости в нашем программном коде. Программа расширяется, и мы призываем новых исследователей обратить на неё внимание. Также мы обращаемся к нашим клиентам и сообществу исследователей безопасности, чтобы проинформировать о данном инциденте», — заявил представитель Intel.

Компания не сообщила, кто, как и когда получил доступ к конфиденциальным данным с её серверов. Копия данных была опубликована в репозитории GitHub. Файлы были упакованы в ZIP-архив размером 2,8 Гбайт. При распаковке объём данных составлял 5,86 Гбайт. Впоследствии данные с репозитория были удалены.

Эксперты уже обнаружили в утечке фрагменты данных по регистрам MSR (Model Specific Register, регистры интерфейса к микрокоду) прошлогоднего поколения процессоров Intel. Это закрытая информация, которой нет в общедоступной документации по данной разработке. Также в утечке эксперты нашли закрытый ключ системы защиты Intel Boot Guard, который Intel предоставляла для своих партнёров. Это также закрытая конфиденциальная информация.

Портал Tom’s Hardware указывает, что в последнее время участились случаи кражи конфиденциальной информации у компаний, занимающихся производством полупроводниковых продуктов и электроники. Например, ранее сообщалось, об утечке данных с серверов компании AMD. Затем последовала атака на компанию Gigabyte. В результате в Сети стали появляться утечки о процессорах на архитектуре Zen 4 до их официального анонса. Также до этого пострадала NVIDIA, у которой украли 1 Тбайт конфиденциальных данных.

Хакеры украли у Binance криптовалюту на $100 млн — транзакции на криптобирже приостановлены

В четверг вечером криптовалютная биржа Binance приостановила переводы средств и другие транзакции после того, как в блокчейн-сети Smart Chain (BSC) был обнаружен эксплойт. По словам гендиректора Binance Чанпэна Чжао (Changpeng Zhao), ущерб от действий хакеров составил порядка $100 млн. При этом хакеры пытались похитить ещё больше — $570 млн, однако биржа пресекла это.

«Эксплойт на кроссчейн-мосте BSC Token Hub привёл к (созданию) дополнительных BNB. Мы попросили всех валидаторов временно приостановить работу BSC. Сейчас проблема решается. Ваши средства в безопасности. Мы приносим извинения за неудобства и будем предоставлять дальнейшие обновления соответственно», — сообщил в четверг Чанпэн Чжао.

Специалисты по безопасности криптофирм BlockSec и Paradigm уточнили, что согласно данным блокчейна было похищено 2 млн токенов Binance Coin (BNB) в двух транзакциях, что эквивалентно $568 млн по текущему курсу BNB. Однако хакеру удалось вывести лишь часть денег, так как транзакции были приостановлены. Остальные токены, которые находятся в кошельке хакера, были заморожены в сети Binance. Также сообщается, что порядка $7 млн из выведенной суммы тоже было заморожено.

В пятницу Чанпэн Чжао заверил пользователей, что проблема уже решена. Сеть Smart Chain снова начала работать после добавления исправлений, предотвращающих проникновение хакеров. Так что вскоре пользователи смогут вновь выполнять переводы и различные транзакции.

Роскомнадзор проведёт проверку в связи с утечкой данных клиентов DNS

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) проведёт в соответствии с законодательством России проверку инцидента с утечкой персональных данных клиентов и сотрудников компании «ДНС ритейл», владеющей розничной сетью по продаже компьютерной, цифровой и бытовой техники. Об этом сообщило ТАСС со ссылкой на пресс-службу ведомства.

 Источник изображения: dns-shop.ru

Источник изображения: dns-shop.ru

«По факту утечки будет проведена проверка в соответствии с законодательством. При проверке будет учтена информация уведомления об инциденте, предоставленного в Роскомнадзор 2 октября», — сообщили новостному агентству в пресс-службе.

О факте взлома компания «ДНС ритейл», чья розничная сеть включает более чем 2200 магазинов, расположенных в более чем 1000 городах России, сообщила 2 октября. По её словам, хакерская атака была произведена с серверов, расположенных за пределами территории страны. Компания также сообщила, что её специалисты в настоящее время занимаются устранением уязвимостей, которыми воспользовались хакеры при взломе сети.

За день до этого Telegram-канал «Утечки информации» сообщил о том, что в открытый доступ попал частичный дамп магазина электроники «DNS», содержащий 16 524 282 записи с данными покупателей. Как отметил Telegram-канал in2security, файл размером 6,6 Гбайт включает в себя как сведения о покупателях, зарегистрированных на сайте, так и информацию о тех, кто сделал покупку без регистрации.

DNS сообщил об утечке данных покупателей и сотрудников

Компания DNS, владеющая розничной сетью по продаже компьютерной, цифровой и бытовой техники из более чем 2200 магазинов, расположенных в более чем 1000 городах России, сообщила об утечке персональной информации клиентов и сотрудников. Как утверждает компания, данные были похищены в результате хакерской атаки с серверов, находящихся за пределами страны.

 Источник изображения: dns-shop.ru

Источник изображения: dns-shop.ru

«Мы видим, что атака производилась группировкой хакеров. Взлом производился с серверов, расположенных за пределами России», — указано в сообщении компании. DNS также отметила, что специалисты уже обнаружили бреши её информационной инфраструктуры, которыми воспользовались хакеры, и сейчас они занимаются работой по усилению информационной безопасности.

За день до этого, 1 октября, об утечке базы данных пользователей интернет-магазина DNS (dns-shop.ru) сообщил Telegram-канал «Утечки информации». В Сеть попал частичный дамп (файл со структурой и контентом базы данных), содержащий 16 524 282 строки с данными покупателей, включая имена и фамилии, адреса электронной почты, телефоны, имена пользователей на сайте. Дамп был выгружен не раньше 19 сентября 2022 года источником, который ранее опубликовал базу данных клиентов интернет-магазина «Онлайн Трейд», сообщил автор Telegram-канала.

Microsoft: хакеры используют изменённый софт с открытым исходным кодом для атак на IT-сектор, СМИ и даже ВПК

Microsoft обвинила хакерскую группировку Lazarus (ZINC), которая, предположительно поддерживается правительством Северной Кореи, в проведении серии атак с использованием модифицированного программного обеспечения с открытым исходным кодом, такого как PuTTY, KiTTY, TightVNC, Sumatra PDF Reader и др. Такой подход позволил хакерам скомпрометировать «множество» организаций в оборонной и аэрокосмической промышленности, СМИ, а также в сфере IT.

 Источник изображения: Getty Images

Источник изображения: Getty Images

Согласно имеющимся данным, злоумышленники интегрируют вредоносный код в открытое ПО, после чего подталкивают жертв к использованию таких модифицированных утилит, что приводит к компрометации систем. Чтобы завоевать доверие жертвы хакеры выдают себя за рекрутеров разных компаний и связываются с сотрудниками целевых организаций через LinkedIn.

После установления доверительных отношений в ходе ряда бесед общение переводится в мессенджер WhatsApp. Через него хакеры распространяют модифицированные утилиты и убеждают сотрудников целевых компаний в необходимости их использования. После запуска такого ПО на целевом компьютере система становится скомпрометированной и в неё загружается другое вредоносное ПО.

«С июня 2022 года злоумышленники сумели скомпрометировать множество организаций. Из-за широкого спектра используемых платформ и программного обеспечения, применяемых ZINC в рамках этой кампании, ZINC может представлять серьёзную угрозу для отдельных лиц и организаций в разных секторах и регионах», — говорится в сообщении Microsoft Security Threat Intelligence и LinkedIn Threat Prevention and Defense.

Хакеры используют ранее неизвестные уязвимости Microsoft Exchange для проведения атак

По данным вьетнамской компании GTSC, работающей в сфере информационной безопасности, злоумышленники используют две ранее неизвестные уязвимости для проведения атак на серверы Microsoft Exchange. Обнаруженные уязвимости позволяют хакерам осуществить удалённое выполнение кода, а впервые их удалось выявить в августе 2022 года.

 Источник изображения: methodshop / pixabay.com

Источник изображения: methodshop / pixabay.com

Речь идёт о двух уязвимостях, которым ещё не были присвоены идентификаторы CVE. Проект Zero Day Initiative отслеживает их под идентификаторами ZDI-Can-18333 (критичность 8,8 балла по шкале CVSS) и ZDI-CAN-18802 (критичность 6,3 балла по шкале CVSS). По данным GTSC, эксплуатация этих уязвимостей позволяет злоумышленникам взломать систему жертвы и осуществлять дальнейшие перемещения во внутренней сети.

«Мы обнаружили, что веб-оболочки, в основном обфусцированные, перебрасываются на серверы Exchange. Используя специальный user-agent, мы обнаружили, что злоумышленник использует Antsword, китайский кроссплатформенный инструмент для управления веб-сайтами с открытым исходным кодом, который открывает административный доступ к веб-консоли», — говорится в сообщении GTSC.

В компании считают, что за атаками на серверы Microsoft Exchange с помощью упомянутых уязвимостей стоит одна из китайских хакерских группировок. Помимо кода на упрощённом китайском языке на это указывает использование бэкдора China Chopper, предназначенного для того, чтобы дать злоумышленникам возможность в любое время повторно подключиться к системам жертвы. После проникновения в IT-системы жертвы хакеры, как правило, внедряют вредоносные DLL-библиотеки в память, а также загружают другое вредоносное ПО с помощью утилиты WMI.

Официальные представители Microsoft пока никак не комментируют данный вопрос. Вероятно, в скором времени софтверный гигант выпустит патч для устранения обнаруженных уязвимостей.

Среднестатистическому хакеру для поиска уязвимостей требуется менее 10 часов времени

Исследование Института SANS и компании Bishop Fox, работающей в сфере информационной безопасности, показало, что среднестатистический «белый» хакер обнаруживает уязвимости, позволяющие проникнуть во внутреннюю сеть жертвы, в среднем менее чем за 10 часов. Быстрее это сделать удаётся специалистам, занимающимся тестированием безопасности облачных систем. После обнаружения уязвимости или слабого места около 58 % «белых» хакеров проникают во внутреннюю сеть менее чем за 5 часов.

 Источник изображения: Pixabay

Источник изображения: Pixabay

В ходе упомянутого исследования были опрошены 300 экспертов в сфере информационной безопасности. По словам респондентов, чаще всего уязвимости и слабые места, позволяющие проникнуть во внутреннюю сеть, связаны с уязвимыми конфигурациями IT-инфраструктуры, недостатками программного обеспечения и недостаточно защищёнными веб-сервисами.

Результаты исследования отражают показатели реальных злонамеренных атак и подчёркивают ограниченное количество времени, которым располагают компании для обнаружения и реагирования на киберугрозы, считает Том Эстон (Tom Eston), помощник-вице-президента Bishop Fox. «Пять или шесть часов для взлома, необходимые этичному хакеру, не являются большой неожиданностью. Это соответствует тому, что делают настоящие хакеры, особенно с помощью социальной инженерии, фишинга и других реальных векторов атак», — отметил Эстон.

По мнению опрошенных специалистов, многие организации не обладают возможностями для оперативного обнаружения и реагирования на хакерские атаки. В Bishop Fox считают, что исследование компании должно убедить организации сосредоточиться на предотвращении атак и обеспечении безопасности своих IT-систем. Для минимизации ущерба им необходимо со стремительной быстротой реагировать на подобные инциденты. Отмечается, что человеческий фактор продолжает оставаться наиболее уязвимым местом, поскольку около 49 % успешных атак проводятся с применением инструментов социальной инженерии и фишинга.

Также в ходе исследования был составлен профиль среднестатистического «белого» хакера. Почти две трети респондентов имеют опыт работы от 1 до 6 лет, только 1 из 10 этичных хакеров работает в профессии менее года, а около 30 % — имеют опыт работы от 7 до 20 лет. Большинство «белых» хакеров имеют опыт работы в сфере сетевой безопасности (71 % респондентов), внутреннего тестирования на проникновение (67 % респондентов) и безопасности приложений (58 % респондентов).

Хакер, взломавший базу оператора Optus, принёс извинения и отказался от требования $1 млн выкупа

Хакер optusdata, объявивший о взломе компьютерных сетей второго по величине оператора мобильной связи Австралии Optus и краже данных 11 млн абонентов, отозвал своё требование о выплате $1 млн выкупа после того, как им вплотную занялись правоохранительные органы. Он также извинился перед 10 200 человек, чьи личные данные успел опубликовать на хакерском форуме.

 Источник изображения: bleepingcomputer.com

Источник изображения: bleepingcomputer.com

Оператор сообщил о хакерском взломе 22 сентября 2022 года. По его словам, злоумышленник мог получить доступ к личной информации клиентов, включая имена, даты рождения, номера телефонов, адреса электронной почты, физические адреса, водительские права и номера паспортов, но не пароли учётных записей или финансовую информацию.

23 сентября 2022 года хакер опубликовал небольшую часть похищенных данных на хакерском форуме Breached и потребовал, чтобы Optus заплатил ему выкуп в размере $1 млн под угрозой раскрытия данных всех 11 млн клиентов. Злоумышленник указал счет в Австралийском банке Содружества (CBA) для отправки денег, который тут же был заблокирован. Однако оператор не стал идти на поводу у хакера и обратился в правоохранительные органы.

В связи с отказом оператора платить хакер опубликовал 26 сентября большую выборку украденных данных для 10 000 клиентов Optus на том же хакерском форуме, угрожая делать это ежедневно для очередных 10 тыс. клиентов.

Однако 27 сентября хакер опубликовал новое сообщение на Breached, в котором сообщил, что украденные данные больше не будут продаваться или передаваться кому-либо из-за усиленного контроля за утечкой данных. Он также заявил, что удалил украденные данные со своего компьютера, на котором хранилась единственная копия, и извинился перед пострадавшими клиентами Optus и компанией.

Стоит отметить, что нет официальных подтверждений того, что пользователь под ником optusdata действительно ответственный за взлом Optus. Предполагается, что решение прекратить попытки вымогать деньги у оператора было принято в ответ на заявление Федеральной полиции Австралии (AFP) о начале операции «Ураган» для выявления субъектов угрозы, стоящих за взломом и требованиями вымогательства.

Лондонская полиция арестовала подозреваемого во взломе подростка — связь с инцидентами Uber и Rockstar Games официально не подтверждается

Полиция Лондона сообщила об аресте 17-летнего подростка в графстве Оксфордшир. По словам ведомства, он подозревается в компьютерном взломе и остаётся под стражей, но никаких других подробностей не предоставила.

 Источник изображения: kalhh / pixabay.com

Источник изображения: kalhh / pixabay.com

Представители полиции отказались сообщить, в связи с какими инцидентами был произведён арест, но некоторые детали совпадают с последними громкими взломами. Минувшей весной были арестованы, а впоследствии освобождены семеро подростков, проходивших фигурантами в расследовании деятельности хакерской группировки Lapsus$.

Очередной арест последовал за двумя громкими инцидентами: в Сети оказались материалы, связанные с находящейся в разработке игрой GTA VI — неизвестные произвели вторжение в сеть разработчика, кибератаке подвергся и сервис Uber, в результате чего на некоторое время были отключены несколько внутренних систем службы.

После взлома Uber компания обвинила в произошедшем группировку Lapsus$, которая в течение последнего года чрезвычайно активизировалась. А лицо, опубликовавшее связанные с GTA VI материалы, заявило, что взлом разработчика произвёл человек, ответственный и за атаку на Uber. Полиция Лондона от комментариев и раскрытия дополнительных подробностей отказалась.

Samsung подверглась взлому: похищены личные данные пользователей её продукции

Компания Samsung призналась, что в июле её сервера были взломаны, а хакеры похитили личные данные пользователей. Южнокорейский технологический гигант выступил с кратким заявлением, в котором сообщил об инциденте, отметив «незаконное получение доступа к данным пользователей на некоторых американских серверах Samsung неавторизованной третьей стороной».

 Источник изображения: VideoCardz

Источник изображения: VideoCardz

О том, что данные некоторых пользователей компании были скомпрометированы, Samsung узнала 4 августа. В то же время компания отмечает, что в руки хакеров не попала информация о номерах кредитных карт пользователей. Речь идёт только о некоторых персональных данных — имени, дате рождения, демографических данных, контактной информации, а также данных о регистрации продуктов Samsung.

«Объём затронутой информации для каждого отдельного пользователя может отличаться. Сейчас мы уведомляем их о произошедшем», — говорится в заявлении компании.

Представитель Samsung в разговоре с изданием TechCrunch пояснил, что под демографическими данными компания понимает информацию, которая используется для маркетинговых целей. Однако он не пояснил, какие именно типы данных сюда входят. Он добавил, что регистрационные данные пользователей, которые предоставляются клиентами Samsung для получения доступа к технической поддержке и гарантийному сервису, включают информацию о дате покупки того или иного продукта, модели устройства, а также его ID-номера. В то же время он отказался говорить о том, сколько пользователей Samsung в конечном итоге могли пострадать от хакерской атаки на серверы компании, а также не стал комментировать, почему производитель так долго об этом не сообщал своим потребителям.

Это уже второй взлом серверов компании Samsung в этом году. В марте южнокорейский гигант подвергся атаке хакерской группировкой Lapsus$. Эти хакеры также совершили атаки на NVIDIA, Microsoft и T-Mobile. Злоумышленники в общей сложности похитили у южнокорейского производителя электроники почти 200 Гбайт конфиденциальной информации, включая данные о новых технологиях и алгоритмах для систем биометрического контроля.

Хакеры готовятся к новой волне атак на российский госсектор

По сообщениям сетевых источников, злоумышленники стали интересоваться покупкой баз данных, содержащих зашифрованные коды (хеш) паролей для идентификации на российских сайтах и сервисах. Преимущественно их интересуют данные госслужащих и сотрудников крупных компаний, которые могут использоваться для взлома критической информационной инфраструктуры. Об этом пишет «Коммерсантъ» со ссылкой на данные системы мониторинга даркнета DLBI.

 Источник изображения: methodshop / pixabay.com

Источник изображения: methodshop / pixabay.com

Представители компании DLBI отметили, что спрос на подобный сегмент данных фиксируется впервые, и рост можно оценивать только с нулевой базы. Специалисты DLBI проанализировали ресурсы, используемые для обмена данными, и пришли к выводу, что цель сбора упомянутой информации заключается в сборе логинов и паролей госслужащих и сотрудников крупных компаний для последующего их использования при взломе критической информационной инфраструктуры (ТЭК, финансовые организации, операторы связи). «Рост интереса к этим данным говорит о подготовке масштабной атаки на госсектор в ближайшее время», — считают в компании.

Наличие актуальных паролей пользователей государственных информационных систем у злоумышленников может способствовать проведению атак с повторным использованием (password reuse), когда полученная пара логин/пароль используется для доступа к другим аккаунтам жертвы, включая корпоративные онлайн-сервисы и почту.

По данным источника, за первые шесть месяцев 2022 года в целом число кибератак в России выросло в 15 раз, а в госсекторе — в 17 раз. В качестве примера приводятся успешные атаки, в ходе которых хакеры похитили и опубликовали базу электронных писем Министерства культуры, администрации Благовещенска и аппарата губернатора Тверской области.

Иранские хакеры взламывают почтовые ящики Gmail и Outlook для кражи данных

Специалисты в сфере информационной безопасности компании Google обнаружили инструмент Hyperscrape, который используется злоумышленниками для кражи данных из взломанных почтовых ящиков Gmail, Microsoft Outlook и Yahoo!. Согласно имеющимся данным, этот инструмент использует иранская хакерская группировка Charming Kitten.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

Считается, что группировка Charming Kitten, известная также под названием APT35, сотрудничает со спецслужбами Ирана, в том числе с военной разведкой. Представитель подразделения Google Threat Analysis Group Аякс Баш (Ajax Bash) сообщил, что инструмент Hyperscrape использовался хакерами не более двух десятков раз. Несмотря на то, что впервые о нём стало известно ещё в 2020 году, активная разработка Hyperscrape продолжается и сейчас.

Использование этого инструмента для выкачивания данных возможно только после компрометации почтового аккаунта жертвы. Hyperscrape автоматически изменяет язык интерфейса почтового ящика на английский, после чего выкачивает его содержимое в виде отдельных файлов формата .eml. Когда этот процесс завершён, все сообщения помечаются как непрочитанные, а язык интерфейса становится прежним. Отмечается, что в прошлых версиях Hyperscrape присутствовала функция обращения к Google Takeout, что позволяло скачать все данные из скомпрометированного аккаунта Google в виде архива.

Как именно хакеры взламывают почтовые ящики не уточняется. Согласно имеющимся данным, Google уведомила пользователей, аккаунты которых были скомпрометированы хакерами. В прошлом группировка Charming Kitten занималась проведением разного рода хакерских атак, а также распространяла вредоносное программное обеспечение.

Бывший глава службы безопасности Twitter прошёл путь от хакера до осведомителя

Уволенный в январе глава службы безопасности Twitter Пейтер Затко (Peiter Zatko), известный также под ником Mudge, в течение трёх десятков лет помогал раскрывать риски в сфере кибербезопасности. Сейчас он стал осведомителем, направив в три крупных ведомства 84-страничный документ, в котором раскритиковал халатное отношение руководства Twitter к безопасности платформы.

 От длинных волос Пейтер Затко избавился в 2001 году. Источник изображений: twitter.com/dotMudge

От длинных волос Пейтер Затко избавился в 2001 году. Источник изображений: twitter.com/dotMudge

Доклад может повлиять на финансовые и юридические перспективы компании, а также на исход тяжбы с Илоном Маском (Elon Musk), который не хочет приобретать сомнительный актив за $44 млрд и обвиняет руководство соцсети в попытке ввести в заблуждение его и других акционеров. В 2020 году его нанял на работу тогдашний глава Twitter Джек Дорси (Jack Dorsey) — основателя сервиса он привлёк как эксперт, не изменяющий собственным моральным принципам и говорящий правду даже в ущерб собственным интересам. По словам самого Затко, он принял предложение после того, как платформу взломал подросток, получивший контроль над подтверждёнными аккаунтами компаний и знаменитых людей.

Теперь же эксперт утверждает, что лишился возможности работать в Twitter после ухода Дорси с поста гендиректора: он заявил членам правления компании, что конфиденциальные данные пользователей защищены не так надёжно, как гласит официальная версия, и новый глава платформы Параг Агравал (Parag Agrawal) его уволил. «Господин Затко был уволен из Twitter более шести месяцев назад за плохую работу и плохое руководство, и сейчас он, похоже, пытается нанести ущерб Twitter, его клиентам и акционерам», — озвучила официальную позицию компании её вице-президент Ребекка Хан (Rebecca Hahn). Гендиректор компании официальных комментариев не давал, но обратился к сотрудникам компании по электронной почте и также заявил, что Затко уволили за плохую работу. Представители эксперта утверждают, что у него нет цели наносить платформе какой-либо ущерб — напротив, он «поставил на карту свою карьеру, беспокоясь о пользователях Twitter, общественности и акционерах компании». Эксперт с готовностью раскрывает любую информацию, обличающую как вредоносную хакерскую деятельность, так и корпоративную безответственность применительно к вопросам безопасности.

 Фото, сделанное при работе в DARPA

Фото, сделанное при работе в DARPA

Сын профессора химии и специалиста по горной добыче, Затко вырос в Алабаме и Пенсильвании, а в 1988 году поступил в Музыкальный колледж Беркли (г. Бостон, шт. Массачусетс), уже тогда обладая навыками по взлому компьютерных игр и зачастую предпочитая проводить время не в студии, а в компьютерных лабораториях Массачусетского технологического института. Окончательно перебравшись в Бостон, он устроился на работу в компанию BBN Technologies, которая разрабатывала средства безопасности ещё на заре интернета. В 1996 году он присоединился к хакерскому сообществу L0pht, члены которого выявляли уязвимости в ПО. Тогда Microsoft предложила экспертам сначала уведомлять об уязвимостях разработчика, давать ему время на выпуск обновлений программ и только потом предавать инциденты широкой огласке. Хакеры согласились, тем самым установив модель согласованного раскрытия информации, которая актуальна и по сей день.

На базе сообщества L0pht была создана коммерческая фирма @stake, к которой за консультационными услугами обращались крупные банки и разработчики ПО, включая Microsoft. Тогда возникла идея использовать цифровые подписи для обозначения легитимных программ. Позже Затко присоединился к агентству DARPA — инновационному центру Пентагона, где создал программу ускоренной выдачи грантов, тем самым дав хакерам-одиночкам возможность помогать правительству. Вернувшись в корпоративный сектор, эксперт работал над спецпроектами Motorola Mobility и впоследствии поглотившей эту компанию Google. Далее он обеспечивал безопасность стартапа Stripe, специализирующегося на электронных платежах. К моменту его ухода у сотрудников Stripe были аппаратные ключи аутентификации для доступа к данным, а корпоративные ноутбуки проходили процедуру идентификации с разграничением привилегий.

 Снимок опубликован в 2019 году

Снимок опубликован в 2019 году

После инцидента со взломом в 2020 году Дорси переманил Затко в Twitter, где тот начал работу с тщательного изучения проблем внутренней безопасности компании. Уже через пару месяцев он столкнулся с первой серьёзной проблемой — 6 января 2021 года массовые беспорядки в Вашингтоне координировались через Twitter, а учётная запись тогдашнего президента Дональда Трампа (Donald Trump) подверглась блокировке. В этот момент Затко обратился к руководству компании, предложив подумать, как можно защитить платформу от потенциально возможных злонамеренных действий собственных сотрудников. Ему ответили, что это сделать невозможно, и при большом желании квалифицированный работник сможет довести дело до конца. В тот же день с ним связались из команды избранного президента страны Джо Байдена (Joe Biden) с предложением возглавить направление кибербезопасности на федеральном уровне. Затко подумал, но ответил отказом — он решил, что в Twitter принесёт больше пользы.

Однако в культуру Twitter он так и не вписался. Некоторые сотрудники компании отзывались о нем как о высокомерном человеке, который норовил выйти за рамки своей компетенции. В Twitter он продержался ещё год, но потом вступил в спор с Агравалом на предмет того, что следует знать совету директоров, и был уволен. Лишившись должности, он решил довести свою работу до конца, поэтому и обратился в органы государственной власти. В его докладе говорится о моментах, которые он считает опасными упущениями в компании, и решать эти проблемы он теперь предлагает при участии регулирующих органов. «Хочу закончить работу, ради которой Джек меня пригласил, а именно сделать это место лучше», — объяснил свои теперешние действия сам Затко.

window-new
Soft
Hard
Тренды 🔥
CD Projekt подтвердила, что ремейк первой The Witcher будет игрой в открытом мире 40 мин.
Переработанная и улучшенная стратегия The Settlers от Ubisoft выйдет в феврале 2023 года под новым названием 2 ч.
Ирландия оштрафовала Meta на €265 млн за утечку данных более 500 млн пользователей Facebook 2 ч.
В Steam бесплатной навсегда стала вдохновлённая GTA 2 королевская битва Gene Shift Auto 4 ч.
По стопам Telegram: в WhatsApp теперь можно отправлять сообщения самому себе 5 ч.
«Веры в неё однозначно было немного»: команда разработки первой GTA считала, что игра обречена на провал 5 ч.
«Сбер» перевёл инфраструктуру своего умного дома на собственное ПО — раньше у неё возникли проблемы из-за санкций 5 ч.
Представлено решение «Базис.vCore» для виртуализации IT-инфраструктуры предприятий 6 ч.
В тестовой версии PowerPoint для iOS стало удобно создавать презентации в портретном режиме 8 ч.
Личные данные более 5,4 млн пользователей Twitter появились в открытом доступе 8 ч.
Запуск нескольких телекоммуникационных спутников «Экспресс» отложили на один-два года 2 ч.
Tesla в следующем году обновит дизайн Model 3 — основные изменения будут в интерьере 2 ч.
Производство аккумуляторов для электромобилей в Китае превысит локальный спрос втрое к 2025 году 3 ч.
Поставки экранов для ноутбуков в октябре рухнули до минимума за 10 лет и падение продолжится 6 ч.
Rolls-Royce впервые испытала современный авиадвигатель на водороде 7 ч.
Капитальные затраты в полупроводниковой отрасли в 2023 году упадут, как никогда за 14 лет 8 ч.
Hyperion развернёт в США сеть мобильных водородных заправок — они будут сами добывать газ 9 ч.
Apple недополучит 6 млн iPhone 14 Pro и Pro Max в этом квартале из-за проблем на заводе в Китае 11 ч.
Флагманский защищённый смартфон OUKITEL WP21 с двумя экранами предлагается со скидкой более 50 % 11 ч.
По Сеулу начали курсировать беспилотные микроавтобусы 12 ч.