Патент US11496512B2
Сотрудники T-Mobile и Verizon сообщают о получении предложений на сумму 300 долларов за содействие в несанкционированной замене SIM-карты.
📌Предложения о подкупе сотрудников телекоммуникационных компаний: Сотрудники T-Mobile и Verizon, включая бывших сотрудников, сообщили о получении нежелательных сообщений с предложением 300 долларов за каждую замену SIM-карты, которую они совершат. Этими сообщениями поделились на Reddit, продемонстрировав скриншоты текстов.
📌Способ связи: Злоумышленники использовали различные способы связи, включая текстовые сообщения и зашифрованные платформы, такие как Telegram, чтобы связаться с сотрудниками. В сообщениях часто утверждалось, что они получили контактную информацию сотрудников из каталогов компаний.
📌Потенциальные инсайдерские угрозы: Ситуация вызывает опасения по поводу инсайдерских угроз внутри телекоммуникационных компаний, поскольку сообщения были адресованы нынешним и бывшим сотрудникам, которые могли иметь доступ к системам, необходимым для обмена SIM-картами.
📌Ответы компаний: И T-Mobile, и Verizon знают об этих инцидентах. В T-Mobile заявили, что никаких системных нарушений не было, и что они расследуют сообщения. Реакция Verizon в настоящее время не приводится подробно в отчетах.
📌Последствия замены SIM-карты: Замена SIM-карты может привести к серьезным нарушениям безопасности, позволяя злоумышленникам обойти двухфакторную аутентификацию, получить доступ к личной и финансовой информации и потенциально привести к финансовому мошенничеству и краже личных данных.
📌Профилактические меры и рекомендации: Телекоммуникационным компаниям рекомендуется усилить свои внутренние меры безопасности и процессы проверки сотрудников для предотвращения подобных инцидентов. Сотрудникам рекомендуется сообщать о любых подозрительных действиях и не соглашаться на подобные предложения.
Патент US11483343B2
AWS спишет деньги даже отсутствие данных в S3
В статье рассматривается важная проблема, связанная с тем, что пустое хранилище AWS S3 может привести к неожиданно высоким расходам на AWS из-за несанкционированных входящих запросов.
Это практическое исследование служит предостережением о потенциальных финансовых рисках, связанных с сервисами AWS, в частности с S3, и подчеркивает важность понимания практики выставления счетов AWS и безопасной настройки сервисов AWS во избежание непредвиденных расходов.
📌 Неожиданно высокие затраты: У автора неожиданно резко вырос счет за AWS, составив более 1300 долларов, из-за того, что почти 100 000 000 запросов S3 PUT были выполнены в течение одного дня в пустой корзине S3, которую он настроил для тестирования.
📌Источник запросов: Изначально AWS по умолчанию не регистрирует запросы, выполняемые в корзинах S3. Автору пришлось включить журналы AWS CloudTrail, чтобы идентифицировать источник запросов. Было обнаружено, что неправильно настроенные системы пытались сохранить данные в его личном хранилище S3.
📌Выставление счетов за несанкционированные запросы: AWS взимает плату за несанкционированные входящие запросы в корзины S3. Это было подтверждено во время общения автора со службой поддержки AWS, в котором подчеркивалась важная политика выставления счетов, согласно которой владелец корзины оплачивает входящие запросы независимо от их статуса авторизации.
📌Предотвращение и защита: В статье отмечается, что не существует простого способа предотвратить подобные инциденты, кроме удаления корзины. AWS не позволяет защитить корзину с помощью таких сервисов, как CloudFront или WAF, при прямом доступе к ней через S3 API.
📌Расследование AWS: После инцидента AWS начала расследование проблемы, о чем свидетельствует твит Джеффа Барра, известного евангелиста AWS. Это говорит о том, что AWS осведомлена о потенциальных проблемах и, возможно, рассматривает способы их устранения.
APT29
APT29, также известный как Midnight Blizzard, BlueBravo или Cozy Bear, был обнаружен с помощью нового бэкдора WINELOADER, предназначенного для политических партий Германии. Эта кампания знаменует собой значительное смещение акцента группы с ее традиционных целей — дипломатических миссий — на политические структуры, что указывает на более цели по сбору политической информации.
Цель и сроки:
📌Кампания была направлена против политических партий Германии, и фишинговые электронные письма были отправлены примерно 26 февраля 2024 года. В этих электронных письмах был логотип Христианско-демократического союза (ХДС) и вредоносные ссылки.
Технические подробности:
📌Считается, что WINELOADER является вариантом семейств кодов BURNTBATTER и MUSKYBEAT, которые были связаны с APT29 компанией Mandiant.
📌Вредоносная программа использует сложные методы, такие как дополнительная загрузка библиотеки DLL, шифрование RC4 для расшифровки полезной нагрузки и тактику предотвращения обнаружения, такую как проверка имен процессов/библиотек DLL и обход пользовательского режима Ntdll.
Первоначальный доступ:
📌Первоначальный доступ был получен с помощью фишинговых вложений, ведущих к взломанному веб-сайту «waterforvoiceless[.]org», на котором размещался РУТСАВ-дроппер. Затем этот дроппер облегчил загрузку и выполнение полезной нагрузки WINELOADER.
Значимость:
📌Этот переход к преследованию политических партий отражает растущий интерес к влиянию или пониманию политической динамики на Западе, особенно в контексте сохраняющейся геополитической напряженности.
📌 Преследование политических партий рассматривается как стратегический шаг по сбору оперативной информации, которая потенциально может повлиять на политические результаты или стратегии в Европе и за ее пределами.
Последствия:
📌 Кампания против немецких политпартий рассматривается не как изолированный инцидент, а скорее как часть более широкой стратегии, которая может быть направлена против других западных политических образований.
Патент CN111913833A
ArcaneDoor
В кампании по кибершпионажу ArcaneDoor, которая началась в ноябре 2023 года, участвовали хакеры, спонсируемые государством, которые использовали две 0day уязвимости в продуктах Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD).
📌0-day: Хакеры использовали две уязвимости нулевого дня, CVE-2024-20353 и CVE-2024-20359, которые позволяли проводить DoS-атаки типа «отказ в обслуживании» и выполнение кода.
📌Сложное внедрение вредоносных программ: Злоумышленники внедрили два типа вредоносных программ — Line Dancer и Line Runner. Line Dancer — это загрузчик шеллкода в памяти, который облегчает выполнение произвольных полезных нагрузок шеллкода, в то время как Line Runner — это бэкдор, который позволяет злоумышленникам запускать произвольный Lua-код на скомпрометированных системах.
📌Глобальное воздействие: Кампания была нацелена на госсектор, используя уязвимости для получения доступа к конфиденциальной информации и потенциального осуществления дальнейших вредоносных действий, таких как утечка данных и горизонтальное перемещение внутри сетей.
📌Реакция и меры по устранению: Cisco отреагировала на это выпуском обновлений для системы безопасности, исправляющих уязвимости, и выпустила рекомендации, призывающие клиентов обновить свои устройства. Они также рекомендовали отслеживать системные журналы на наличие признаков компрометации, таких как незапланированные перезагрузки или несанкционированные изменения конфигурации.
📌Внимание к атрибуции и шпионажу: Хакерская группа, идентифицированная Cisco Talos как UAT4356, а Microsoft — как STORM-1849, продемонстрировала явную направленность на шпионаж. Считается, что кампания спонсировалась государством, и некоторые источники предполагают, что за атаками может стоять Китай.
📌Тенденция нацеливания на устройства периметра сети: инцидент является частью тенденции, когда спонсируемые государством субъекты нацеливаются на устройства периметра сети, такие как брандмауэры и VPN, чтобы получить первоначальный доступ к целевым сетям в целях шпионажа
Инфобез в медицине
Change Healthcare / UnitedHealth Group
Change Healthcare, крупный игрок в секторе медицинских технологий США, столкнулся со значительными проблемами в области кибербезопасности после атаки программ-вымогателей, приписываемой BlackCat/ALPHV group:
📌Первоначальная атака и выплата выкупа: 21 февраля 2024 года компания Change Healthcare подверглась разрушительной кибератаке, которая привела к широкомасштабным операционным проблемам в системе здравоохранения США. Компания, дочерняя компания UnitedHealth Group, в конечном счете заплатила выкуп в размере $22M в пользу BlackCat/ALPHV в надежде восстановить свои услуги и защитить данные пациентов
📌Последующие попытки вымогательства: Несмотря на первоначальную выплату выкупа, Change Healthcare столкнулась с дальнейшим вымогательством со стороны новой группы программ-вымогателей под названием RansomHub. Эта группа утверждала, что обладает четырьмя терабайтами данных, украденных во время первоначальной атаки BlackCat/ALPHV, и потребовала свой собственный выкуп, угрожая продать информацию в даркнете, если их требования не будут выполнены
📌Влияние на медицинские услуги: Кибератака серьезно повлияла на деятельность Change Healthcare, повлияв на способность больниц проверять страховые выплаты, обрабатывать процедуры для пациентов и выставлять счета. Аптеки также столкнулись с трудностями в оплате отпускаемых по рецепту лекарств из-за недоступности информации о страховке, что значительно нарушило обслуживание пациентов и финансовые операции поставщиков медицинских услуг
📌Проблемы с утечкой данных: В Change Healthcare сохраняются опасения по поводу безопасности данных пациентов. Компания не смогла подтвердить, действительно ли данные пациентов были украдены.
📌Реакция: Учитывая серьезность атаки и ее последствия, Госдеп США предложил вознаграждение в размере $10M за информацию о личности или местонахождении членов ALPHV/BlackCat.
📌Последствия: Атака на Change Healthcare выявила уязвимость сектора здравоохранения к атакам программ-вымогателей
ИИ на службе военной авиации
Недавние достижения в области ИИ привели к значительным достижениям в секторе военной авиации, особенно интеграции ИИ с реактивными истребителями.
📌Достижения ИИ в военной авиации: DARPA и ВВС США находятся активно внедряют ИИ в реактивные истребители. Эта интеграция достигла стадии, когда самолеты, управляемые искусственным интеллектом, такие как X-62A VISTA, теперь способны вступать в воздушные бои с самолетами, пилотируемыми человеком
📌Первый успешный воздушный бой ИИ против человека: В сентябре 2023 года произошло знаменательное событие: управляемый ИИ X-62A VISTA провел тренировочный воздушный бой против F-16, пилотируемого человеком. Это испытание, проведенное на базе ВВС Эдвардс в Калифорнии, стало первым успешным воздушным боем между реактивным самолетом, управляемым ИИ, и пилотом-человеком. ИИ продемонстрировал способность выполнять сложные боевые маневры безопасно и эффективно
📌Безопасность и контроль: Несмотря на автономные возможности искусственного интеллекта, на борту X-62A находились пилоты-люди, которые при необходимости могли отключить систему искусственного интеллекта. Однако во время испытаний не было необходимости во вмешательстве человека, что свидетельствует о высоком уровне надежности и безопасности работы ИИ
📌Последствия для боевых действий в будущем: Успешная интеграция ИИ в истребители рассматривается как трансформационный момент в военной авиации. Это говорит о будущем, в котором ИИ потенциально может справляться с динамичными боевыми сценариями, позволяя пилотам-людям сосредоточиться на стратегии и контроле, а не на непосредственном участии
📌Продолжение разработки и тестирования: Продолжающееся развитие ИИ в военной авиации направлено на расширение возможностей ИИ-пилотов, включая их способность принимать автономные решения в сложных и быстро меняющихся боевых условиях. В будущих тестах, вероятно, будут рассмотрены более сложные сценарии и усовершенствованы процессы принятия решений ИИ
Дайджест. 2024 / 04
Добро пожаловать в очередной выпуск ежемесячного сборника материалов, который является вашим универсальным ресурсом для получения информации о самых последних разработках, аналитических материалах и лучших практиках в постоянно развивающейся области безопасности. В этом выпуске мы подготовили разнообразную подборку статей, новостей и результатов исследований, рассчитанных как на профессионалов, так и на обычных любителей. Цель нашего дайджеста — сделать наш контент интересным и доступным. Приятного чтения
Платные уровни
Предлагается три различных уровня для удовлетворения разнообразных потребностей аудитории:
Бесплатный уровень
Бесплатная подписка — это идеальная отправная точка для новичков в мире кибербезопасности или для тех, кто предпочитает работать с контентом без финансовых обязательств. Подписчики этого уровня могут ознакомиться с подборкой статей, которые охватывают фундаментальные знания и последние новости в области кибербезопасности. Этот уровень идеально подходит для категорий:
📌Любознательные читатели: Если вы только начинаете интересоваться вопросами кибербезопасности и хотите узнать больше без каких-либо затрат, этот уровень для вас.
📌Информированные читатели: Будьте в курсе последних событий и тенденций в области кибербезопасности, получая доступ к важным статьям и сводкам новостей.
📌Обычные пользователи: Для тех, кто время от времени просматривает материалы по кибербезопасности, этот бесплатный доступ гарантирует, что вы будете в курсе событий без необходимости подписки.
_______________________________________________________________
Уровень 1: Регулярные читатели
Уровень 1 предназначен для регулярных читателей, которые проявляют большой интерес к кибербезопасности и хотят быть в курсе последних тенденций и обновлений. Этот уровень платной подписки предлагает более подробный контент, чем бесплатный, и подходит для категорий:
📌Постоянные читатели: Если вы регулярно следите за новостями в области кибербезопасности и хотите знать больше, чем просто основы, этот уровень позволит вам глубже погрузиться в актуальные тенденции.
📌Отраслевые читатели: Идеально подходит для тех, кто хочет быть в курсе событий в области кибербезопасности, не нуждаясь в высокотехничном или специализированном контенте.
_______________________________________________________________
Уровень 2: Профессионалы в области кибербезопасности
Уровень 2 предназначен для ИТ-специалистов, экспертов по кибербезопасности и преданных своему делу энтузиастов, которым требуются исчерпывающие ресурсы и более глубокое понимание. Эта премиум-подписка не только включает в себя все преимущества предыдущих уровней, но и добавляет эксклюзивные функции, такие как:
📌Экспертный контент: доступ к подробным анализам, углубленным отчётам и комментариям, которые выходят за рамки тематики ИБ.
📌Профессиональные источники: Множество материалов, адаптированных к потребностям специалистов в области ИБ, включая технические документы, тематические исследования и отраслевые статьи.
📌Вопросы и ответы: Возможность получения персонализированных ответов на вопросы по кибербезопасности.
Каждый уровень подписки разрабатывается в соответствии с вашими интересами и вовлеченностью в сферу кибербезопасности, гарантируя, что вы будете получать контент, который наилучшим образом соответствует вашим потребностям и опыту.
_______________________________________________________________
Возможность доступа к отдельному выпуску
Ежемесячный дайджест предлагает гибкий подход доступа к контенту.
Для тех, кто не готов читать каждый день публикации, предлагается возможность доступа к отдельным ежемесячным выпускам дайджеста. Эта опция идеально подходит для пользователей, которым интересен контент за определенный месяц, включенный в стоимость месячной подписки. Это позволяет вам получать доступ ко всем статьям и функциям данного конкретного выпуска без необходимости искать пропущенные статьи в блоге.
📌Контент бесплатного уровня: Если дайджест за месяц содержит только статьи и материалы, доступные на уровне бесплатной подписки, вы можете получить к нему бесплатный доступ, а также прямой бесплатный доступ ко всем опубликованным статьям
📌Контент 1-го уровня: Если в дайджест включены статьи из платной подписки 1-го уровня, покупка дайджеста за этот месяц даст вам доступ к контенту 1-го уровня без полной подписки 1-го уровня + материалы с предыдущего уровня.
📌Контент 2-го уровня: Аналогично, если в дайджесте представлены статьи из платной подписки 2-го уровня, вы можете получить доступ к этому более специализированному контенту, купив дайджест за этот месяц, даже если вы не подписаны на подписку 2-го уровня + материалы с предыдущего уровня.
Такая гибкость гарантирует, что все читатели, будь то обычные читатели или профессионалы отрасли, смогут получить доступ к контенту, который наиболее соответствует их потребностям и интересам.
📌Примечание:
Покупка отдельного номера для любого уровня доступна только в том случае, если дайджест за текущий месяц включает статьи и материалы, доступные на этом же уровне подписки, то есть, опубликованные в этом месяце.
Например, если в текущем месяце публикуемый контент относится исключительно к уровню 2, то у вас не будет возможности приобрести отдельные выпуски для уровня 1 или бесплатного уровня за этот месяц. Это связано с тем, что в течение этого периода не было опубликовано ни одной статьи или материала для уровня 1 или бесплатного уровня.
Судебный иск FTC против Ring
📌 Судебный иск FTC против Ring: Федеральная торговая комиссия (FTC) подала в суд на Ring, компанию по производству камер домашней безопасности, принадлежащую Amazon, за неспособность защитить конфиденциальность потребителей. В жалобе FTC, поданной в мае 2023 года, Ring обвинялась в том, что она позволяла сотрудникам и подрядчикам получать доступ к личным видеозаписям клиентов без их согласия и не принимала надлежащих мер безопасности. Эта халатность привела к несанкционированному доступу хакеров и сотрудников, что поставило под угрозу конфиденциальность и безопасность видеоматериалов потребителей.
📌Урегулирование и возврат средств: В результате судебного процесса Ring согласилась на урегулирование, которое включало финансовый штраф и создание более надежной программы обеспечения конфиденциальности и безопасности. FTC выплачивает возмещение на сумму более 5,6 миллионов долларов примерно 117 044 пострадавшим клиентам Ring. Эти возмещения осуществляются через PayPal, и клиентам рекомендуется потребовать свои платежи в течение 30 дней.
📌Подробности урегулирования: По условиям соглашения Ring должна была выплатить 5,8 миллиона долларов, удалить незаконно полученные видеозаписи и принять новые строгие меры по обеспечению конфиденциальности и безопасности. Эти меры включают многофакторную аутентификацию и ограничения доступа сотрудников к видео для пользователей. FTC подчеркнула, что эти шаги были необходимы для предотвращения будущих нарушений конфиденциальности и восстановления доверия потребителей к продукции Ring.
📌Ответ Ring: Компания Ring заявила, что она рассмотрела многие вопросы, вызывавшие обеспокоенность FTC, до начала расследования и не согласилась с некоторыми утверждениями. Однако компания решила пойти на мировую, чтобы избежать длительных судебных разбирательств и сосредоточиться на улучшении своих продуктов и услуг для клиентов.
📌Информация для потребителей и поддержка: FTC четко дала понять, что никогда не требует от потребителей информацию о платежах или учетной записи для получения возмещения
Рынок кибер-страхования
UNC1549
Иранский UNC1549 нацелен на израильский и ближневосточный аэрокосмический и оборонный секторы:
📌Идентификация участника угрозы: рассматривается деятельность UNC1549, предполагаемого иранского агента угрозы. Эта группировка также известна под другими названиями, такими как «Черепаховый панцирь» и «Дымчатая песчаная буря», и связана с Корпусом стражей исламской революции Ирана (КСИР).
📌Целевые секторы и регионы: UNC1549 нацелен на аэрокосмическую, авиационную и оборонную промышленность Ближнем Востоке, затрагивая такие страны, как Израиль, ОАЭ и, возможно, Турцию, Индию и Албанию.
📌Продолжительность кампании и методы ее проведения: Кампания проводится как минимум с июня 2022 года. Группа использует сложные методы кибершпионажа, включая скрытый фишинг, социальную инженерию и использование облачной инфраструктуры Microsoft Azure для C2. Они используют различные «приманки» на тему предложения работ и поддельные веб-сайты для внедрения вредоносного ПО.
📌Вредоносные программы и инструменты: Два основных бэкдора, MINIBIKE и MINIBUSUS, используются для проникновения в целевые сети и закрепления. Эти инструменты позволяют собирать информацию и осуществлять дальнейшее проникновение в сеть.
📌Стратегические последствия: Разведданные, собранные в результате этой шпионской деятельности, считаются имеющими стратегическое значение для иранских интересов и потенциально влияющими как на шпионаж, и другие операции.
📌Методы предотвращения обнаружения: UNC1549 использует различные методы, чтобы избежать обнаружения и анализа. К ним относятся широкое использование облачной инфраструктуры для маскировки своей деятельности и создание поддельных веб-сайтов о вакансиях и профилей в социальных сетях для распространения вредоносного ПО.
📌Текущее состояние: Согласно последним отчетам за февраль 2024 года, кампания остается активной, и компании, занимающиеся кибербезопасностью, такие как Mandiant и Crowdstrike, продолжают предпринимать усилия по мониторингу и противодействию этой деятельности
Перспективы кибербезопасности в Азиатско-Тихоокеанском регионе
Amazon, Israel и Секретность
В статье сообщается о существенной ошибке в системе безопасности, связанной с командиром израильского подразделения 8200, возникшей ввиду публикации его книги Amazon.
📌 Раскрытие личности: Йоси Сариэль, командир израильского подразделения 8200, непреднамеренно раскрыл свою настоящую личность в Интернете. Подразделение 8200 — это очень засекреченная часть израильских вооруженных сил, которую часто сравнивают с АНБ США по возможностям ведения наблюдения
📌 Цифровой след: Разоблачение произошло из-за цифрового следа, оставленного книгой Сариэль, опубликованной на Amazon под названием «Человеко-машинная команда». Книга, в которой обсуждается интеграция ИИ в военные операции, была привязана к личному аккаунту автора в Google, что позволило раскрыть его уникальный идентификатор и ссылки на его карты и приложения. профили календаря
📌 Критика: Пребывание Сариэля на посту главы подразделения 8200 было неоднозначным, поскольку подразделение не смогло предсказать и предотвратить крупную атаку ХАМАСА на юг Израиля 7 октября, в результате которой погибло около 1200 израильтян и было захвачено 240 заложников. Подразделение также подверглось критике за его роль в войне в Газе, где в военных операциях использовались системы искусственного интеллекта
📌 Общественный резонанс: Раскрытие личности Сариэля произошло в то время, когда он уже находился под пристальным вниманием общественности в Израиле. Армия обороны Израиля (ЦАХАЛ) отреагировала на сообщение, заявив, что адрес электронной почты, связанный с книгой, не был личным аккаунтом Сариэля и был посвящен книге. Армия обороны Израиля признала ошибку и заявила, что этот вопрос будет расследован, чтобы предотвратить подобные случаи в будущем
📌 Репутация подразделения: Подразделение 8200 известно своим опытом сбора радио-разведывательных данных и оказывает значительное влияние на технологическую индустрию Израиля. Раскрытие личности Сариэля рассматривается как удар по репутации подразделения и привело к обвинениям в высокомерии и потенциальному компромиссу в сборе разведданных
Компании вовлечённые в «различные кибер-активности» — Часть I
XZ Инцидент
В статье обсуждается значительный инцидент с кибербезопасностью, связанный с программным пакетом XZ Utils, который широко используется в операционных системах Linux для сжатия данных.
📌 Расследование: Об инциденте стало известно, когда инженер Microsoft Андрес Фройнд заметил необычное замедление при использовании SSH, инструмента для безопасного удаленного входа в систему. Его расследование привело к обнаружению вредоносного кода, встроенного в пакет XZ Utils в его системе
📌 Вредоносный код в XZ Utils: Вредоносный код был представлен в двух последних обновлениях XZ Utils. Он был разработан для нарушения процесса аутентификации по SSH, создания бэкдора, который мог бы обеспечить несанкционированный удаленный доступ к уязвимым системам.
📌 Влияние и значимость: Учитывая, что XZ Utils необходим для многих операций в системах Linux, на которых работает подавляющее большинство интернет-серверов, потенциальное воздействие этого бэкдора могло бы быть катастрофическим, затронув бесчисленное множество компьютеров по всему миру
📌 Реагирование и предотвращение: Инцидент подчеркивает важность бдительности и оперативных действий в области кибербезопасности для предотвращения подобных нарушений
📌 Последствия: Эта ситуация подчеркивает серьёзные проблемы, связанные с безопасностью ПО с открытым исходным кодом, и необходимость постоянного мониторинга и обновления такого ПО для защиты от угроз