Попытки модификации бортового программного обеспечения электромобилей Tesla предпринимались энтузиастами и ранее, но если они базировались сугубо на программных методах, то результаты были недолговечными из-за способности компании откатить изменения после обновления системы. Теперь же найден способ контролировать доступ почти ко всем настройкам бортовой системы Tesla, не опасаясь блокировки со стороны автопроизводителя.

Источник изображения: Tesla

Своими находками в этой сфере, как сообщает DARKReading, на конференции Black Hat USA на следующей неделе собирается поделиться группа исследователей, объединяющая представителей Берлинского технического университета и независимого эксперта Олега Дрокина. Авторы исследования обнаружили способ аппаратной модификации центрального компьютера электромобилей Tesla, построенного на процессорах AMD, который даёт долгосрочный доступ не только к управлению большинством программных функций бортовой системы, но и ключам шифрования. Последний аспект означает, что злоумышленник сможет перенести профиль пользователя с одного электромобиля на другой.

В бытовом применении это означает, что у автовладельцев появится возможность приобретать «с рук» бывшие в употреблении бортовые компьютеры Tesla с целью их дальнейшего применения на своей машине. В этом случае пользователь при помощи независимых специалистов получит возможность перенести все настройки со своего электромобиля на вновь устанавливаемый компьютер с «донорского» транспортного средства. Обращение к штатным специалистам Tesla с таким вопросом обычно требует расходов в несколько тысяч долларов, а подержанный бортовой компьютер на аукционе можно купить за $200 или $400. Электроника способна страдать при авариях и наводнениях, поэтому подобные замены не так уж редки.

Как поясняет источник, метод взлома бортового ПК электромобилей Tesla построен на аппаратной модификации печатной платы, на которой установлен процессор AMD со встроенным сопроцессором ASP, отвечающим за информационную безопасность. Хакеру для получения контроля над системой нужно подпаять к исходной печатной плате специальное устройство для разработчиков и применить программатор SPI, чтобы получить доступ к шифруемым сопроцессором данным и непосредственно ключам шифрования. После модификации злоумышленник получает возможность запускать любое ПО, использовать данные клиента Tesla по своему усмотрению, а также активировать платные опции без каких-либо затрат, включая по своему желанию подогрев сидений или активируя автопилот, например.

Метод взлома позволяет снимать ограничения, диктуемые Tesla по географическому признаку. Например, можно активировать фирменную навигацию в тех странах, где она официально работать не должна, то же самое можно проделать и с бета-версией FSD — системой активной помощи водителю, которая выполняет за него почти все функции. Важно, что заблокировать эти изменения программным образом Tesla больше не сможет после проведённых манипуляций, поскольку права доступа при этом не изменятся даже после многократных обновлений системы. Фактически, чтобы восстановить контроль автопроизводителя над бортовой системой, нужно будет выпаять центральный процессор и заменить его на новый. Теоретически, как утверждают авторы исследования, можно создать готовый модуль для модификации бортовой системы Tesla, но навыки работы с паяльником для его подключения всё равно потребуются. При всём этом, как отмечают авторы доклада, с точки зрения информационной безопасности электромобили Tesla всё равно на голову выше большинства других транспортных средств, предлагаемых на рынке.

Китайские хакеры использовали уязвимость облачной службы Microsoft для целенаправленного взлома несекретных почтовых ящиков, принадлежащих госструктурам США. По данным The Washington Post, проблема была обнаружена в прошлом месяце, и она не затрагивает какие-либо секретные правительственные системы.

«Официальные лица немедленно связались с Microsoft, чтобы найти источник и уязвимость в их облачном сервисе. Мы продолжим предъявлять к поставщикам услуг для правительства США высокие требования по безопасности», — прокомментировал данный вопрос пресс-секретарь Совета национальной безопасности США Адам Ходжес (Adam Hodges).

По данным источника, расследованием этого инцидента занимается ФБР. Вероятнее всего, в рамках атаки было взломано небольшое количество почтовых ящиков, хотя точные значения не озвучиваются. Также сказано, что почтовые ящики, принадлежащие сотрудникам Пентагона, представителям разведывательных ведомств и военным, не были взломаны.

В сообщении Microsoft касательно этого инцидента сказано, что компания сумела ограничить нежелательные последствия кибератаки, преимущественно направленной против правительственных учреждений и ориентированной на шпионаж и кражу данных. Microsoft провела собственное расследование инцидента, в ходе которого было установлено, что атаку организовали китайские хакеры из группировки Storm-0558. По данным IT-гиганта, злоумышленникам удалось получить доступ к почтовым ящикам около 25 организаций, включая государственные учреждения. В сообщении Microsoft отмечается, что ликвидация нежелательных последствий для всех затронутых атакой пользователей уже завершена.

В феврале этого года хакерам из группировки BlackCat удалось получить доступ к внутренней инфраструктуре Reddit и конфиденциальным данным компании. Теперь же стало известно, что они угрожают опубликовать 80 Гбайт похищенных тогда данных, если Reddit не заплатит выкуп и не снизит стоимость использования API платформы.

Источник изображения: Brett Jordan/unsplash.com

Официальные представители Reddit воздерживаются от комментариев по данному вопросу, но подтверждают, что угрозы хакеров связаны с инцидентом, который произошёл 9 февраля. При этом у компании нет доказательств того, что в руки злоумышленников попали конфиденциальные данные пользователей, например, пароли от учётных записей.

Reddit не раскрывает каких-либо подробностей касательно расследования февральской атаки или о том, кто стоит за ней. Несколько дней назад ответственность за проведение этой кампании взяла на себя группировка BlackCat, члены которой готовы опубликовать похищенную информацию, если их условия не будут выполнены. О каких именно данных идёт речь не ясно, поскольку хакеры не предоставили каких-либо образцов.

На одном из ресурсов даркнета злоумышленники опубликовали сообщение, в котором сказано, что они пытались связаться с Reddit 13 апреля и 16 июня, но в обоих случаях не получили ответа. Хакеры требуют выкуп в размере $4,5 млн, а также отмену повышения стоимости использования API Reddit. Согласно имеющимся данным, члены группировки BlackCat стоят за мартовской атакой на Western Digital, в ходе которой было похищено 10 Тбайт данных.

Специалисты компании «Лаборатория Касперского» выявили сложную многоступенчатую атаку, направленную против владельцев криптовалютных кошельков в Европе, США и Латинской Америке. Злоумышленники используют троян-загрузчик DoubleFinger для внедрения на ПК жертв программы для кражи логинов и паролей от криптокошельков GreetingGhoul и трояна Remcos Remote Access (RAT).

Источник изображения: pixabay.com

Атака начинается в момент, когда жертва открывает вредоносное вложение в формате PIF из электронной почты. Это действие активирует первый этап загрузчика DoubleFinger. Всего ему требуется пять этапов для создания задачи, которую в дальнейшем GreetingGhoul будет выполнять ежедневно в определённое время. Стилер GreetingGhoul состоит из двух компонентов, первый из которых задействует среду MS WebView2 для создания фальшивых окон, которые перекрывают интерфейс настоящих криптокошельков, а второй осуществляет поиск приложений с криптовалютными кошельками на устройстве жертвы.

Отмечается, что некоторые образцы DoubleFinger также загружали троян Remcos RAT, являющийся известным коммерческим инструментом, с помощью которого злоумышленники могут удалённо администрировать устройство жертвы. В процессе работы DoubleFinger использует шелл-коды и стеганографию, т.е. методы сокрытия информации. Он также обеспечивает скрытное исполнение с помощью COM-интерфейсов Windows и использует технику подмены легитимного процесса вредоносным для внедрения в удалённые процессы. Всё это указывает на проработанность и сложность хакерской атаки.

Любопытно, что в коде вредоноса специалисты обнаружили несколько текстовых фрагментов на русском языке. К примеру, URL-адрес командного сервера начинается с русского слова в искажённой транслитерации «Privetsvoyu». Однако сказать, что за атаками стоят русскоговорящие хакеры, только по этому признаку нельзя.

«Интерес злоумышленников к криптовалюте не спадает. Группа, стоящая за загрузчиком DoubleFinger и вредоносным ПО GreetingGhoul, способна создавать вредоносное ПО уровня тщательно продуманных, целевых атак. Защита криптовалютных кошельков — это общая ответственность их производителей, владельцев и всего заинтересованного сообщества. Сохранение бдительности, применение надёжных мер защиты и понимание наиболее актуальных угроз позволит снизить риски и обеспечить безопасность ценных цифровых активов», — считает эксперт по кибербезопасности «Лаборатории Касперского» Сергей Ложкин.

В этом месяце хакеры провели массовую рассылку фишинговых писем российским компаниям. Вредоносные сообщения отправлялись под видом документов от госорганов о призыве и мобилизации. Об этом пишет «Коммерсантъ» со ссылкой на данные сервиса Bi.Zone.

Источник изображения: Pete Linforth / pixabay.com

В сообщении сказано, что злоумышленники использовали технику спуфинга или подделки адреса отправителя. Получатели получали сообщения с темами «Призыв на мобилизацию», «Всеобщая мобилизация 2023», «Сверка документов Военкомат», «Призывники 2023 список». Электронное письмо также содержало архив или ссылку для его скачивания. В самом же архиве находился вредоносный файл, осуществляющий установку трояна DCRat, который позволяет получить полный контроль над скомпрометированной системой.

«С помощью DCRat злоумышленники делают скриншоты, записывают последовательность нажатия клавиш, получают содержимое буфера обмена и т.д. В итоге у преступников могут оказаться логины и пароли от корпоративный аккаунтов, финансовая информация, персональные данные, а также другие конфиденциальные сведения», — говорится в сообщении Bi.Zone.

По данным компании Positive Technologies, работающей в сфере информационной безопасности, количество хакерских атак на российские компании с помощью вирусов шифровальщиков, которые шифрую данные на скомпрометированных устройствах и требуют выкуп за восстановление работоспособности, с начала года выросло на 77 % в годовом выражении. Эту тенденцию также подтвердили в компании F.A.C.C.T. (бывшая Group-IB), добавив, что количество таких атак в период с января по май этого года выросло на 50-60 %.

Группа ИБ-исследователей, финансируемых Управлением перспективных исследовательских проектов Министерства обороны США (DARPA) и ВВС США, опубликовала статью, в которой описывается техника кражи данных с Arm-процессоров Apple и Qualcomm, дискретных графических ускорителей NVIDIA и AMD, а также интегрированной графики в чипах Intel и Apple. Для этого исследователи используют атаку по сторонним каналам, которая предполагает измерение определённых физических параметров устройства.

Источник изображения: fre

В рамках новой концепции исследователи использовали информацию, которую открывает механизм динамического масштабирования частоты и напряжения (DVFS), реализованный во многих современных чипах. С помощью DVFS осуществляется модуляция частоты и мощности в режиме реального времени, чтобы поддерживать тепловыделение и TDP на приемлемом уровне, тем самым обеспечивая либо оптимальную энергоэффективность, либо наилучшую производительность для выполнения текущей задачи.

Концепция исследователей предполагает сбор и анализ данных с внутренних датчиков питания, температуры и частоты работы процессора. Заставив одну из трёх переменных DVFS (питание, тепловыделение и частота работы) стать постоянной, исследователи могут контролировать две другие переменные. За счёт этого они могут определить, какие инструкции выполняются, причём с точностью, позволяющей определять различные операнды одной и той же инструкции.

Хорошая новость в том, что данная техника вряд ли будет использоваться злоумышленниками на практике. Ведь для сбора данных с внутренних датчиков необходим прямой доступ к системе. Если же злоумышленник получит прямой доступ к системе, то, вероятнее всего, он найдёт более простой способ кражи данных.