Новости по теме «Gigabyte взломали, украли 112 ГБ закрытой информации»

Red Canary отмечают, что криптобот, поставляемый с этим ПО, может собирать информацию из следующих приложений:

В этом списке есть много браузеров, но нет Microsoft Edge, что наверняка заставит Microsoft ещё больше рекламировать свой продукт и препятствовать работе конкурирующих решений.

Приложение KMSPico, если вы вдруг не знали, является неофициальным активатором Windows и Office, который превращает пиратские копии в «легальные», эмулируя сервис Mircosoft Key Management Services (KMS).

Аналитики отмечают, что основанная проблема заключается в том, что этим активатором пользуются не только домашние пользователи, но и предприятия, где утечка данных особенно опасна.

Заразится криптоботом предельно просто. Достаточно просто установить KMSPico из поддельного инсталлятора. Поддельный инсталлятор содержит настоящую версию KMSPico, что приводит к абсолютной скрытности заражения. Ситуацию усугубляет и тот факт, что при поиске в Google огромное количество сайтов уверяет, что именно они публикуют официальную и самую свежую версию активатора, так что отличить подлинную от инфицированной версии практически невозможно.

Хакеры, ответственные за взлом EA, рассказали об этом на форуме в дарквебе. Они уверяют, что сумели украсть исходный код FIFA 21, а также внутренние инструменты движка Frostbite. Всего скомпрометировано 780 ГБ данных.

Сама EA выступила с заявлением, что действительно была допущена брешь в данных, и что «ограниченное количество игрового исходного кода и связанных инструментов были украдены». Персональная информация, такая как данные игроков, не была скомпрометирована, так что риски приватности отсутствуют.

Пока утекшие данные не были опубликованы, однако если кто-то их купит, ситуация может измениться, как мы недавно видели на примере CD Projekt Red. Сейчас EA работает с правоохранителями для расследования уязвимости.

И вот теперь украденная информация начала появляться в Сети. Сайт Data Breaches сообщает, что утечка включает исходный код Cyberpunk 2077, The Witcher 3: Wild Hunt и «улучшенной» версии GWENT. Утечка также содержит файлы SDK для множества крупнейших консолей, включая PS5, Xbox Series X и Nintendo Switch.

Ворованная информация выложена для скачивания через открытый торрент, однако доступа к ней нет, поскольку она находится в запароленном архиве. Отмечается, что злоумышленники сообщат пароль в скором времени отдельно посредство onion-ссылки.

Таким образом подтверждается информация о февральской утечке и последующая перепродажа данных на аукционе.

О проблеме заявил университет Эдинбурга, с его суперкомпьютером ARCHER.

Организация bwHPC, координирующая исследовательские проекты на суперкомпьютерах в Германии, сообщила об инцидентах в области безопасности, касательно суперкомпьютеров в Университете Штутгарта, Технологическом Институте Карлсруэ, Университетах Ульма и Тюбингена, Баварской Академии Наук. Также проблемы выявлены в Швейцарском вычислительном центре Цюриха и в испанской Барселоне.

Злоумышленники получили логины для доступа к этим суперкомпьютерам по SSH. Угнанные логины принадлежат различным университетам Польши, Канады и Китая. Затем, воспользовавшись уязвимостью CVE-2019-15666 в ядре Linux, они начали использовать суперкомпьютеры для майнинга Monero.

Отмечается, что это не первая попытка майнинга криптовалют на суперкомпьютерах. Однако ранее этим занимались сотрудники научных центров, имеющие непосредственный доступ к системам, а вот столь массированная распределённая атака проведена впервые.

Суть метода заключается в том, что блок питания издаёт звуки на высокой частоте. И это звучание меняется в зависимости от нагрузки. Таким образом, записывая звук блока питания на расстоянии 5 метров, удалось получить данные с компьютера. Для этого не требовалось ни специальное оборудование, ни системные привилегии, ни сложной подготовки.

В процессе контролируется ультразвук на частотах от 20 кГц до 20 МГц, издаваемый трансформаторами. Чтобы блок питания передавал данные, на компьютер жертвы нужно установить специальное зловредное приложение, которое считывает системные данные и вносит изменения в нагрузку процессора. Уязвимость получила название POWER-SUPPLaY.

Стоит ли правительственным организациям, военным или операторам атомных электростанций бояться этой уязвимости? Вряд ли. Угнать таким образом данные довольно просто, однако для начала процесса всё равно нужен доступ к компьютеру. Да и скорость передачи данных оставляет желать лучшего — 50 бит в секунду. То есть для передачи текстового документа латиницей в 10 000 слов нужно потратить около часа.

Не очень эффективно.

По данным компании, в первой половине прошлого года менее 600 000 клиентов столкнулись с вредоносным ПО, крадущим пароли. Однако за тот же период текущего года таких случаев было 940 000, на 60% больше.

Такие трояны воруют пароли, открывающие путь к важным данным, вроде номеров платёжных карт и полей автозаполнения посредством уязвимостей браузеров. Среди тех пользователей, что столкнулись с подобными зловредами, 25% были инфицированы Azorult, самым распространённым на российских хакерских форумах вором паролей.

Согласно исследованию, «наиболее важные для пользователя данные обычно хранятся здесь [в браузере]. Среди них могут быть текстовые файлы, содержащие часто используемые пароли».

Чтобы избежать подобных неприятностей специалисты советуют отказывать браузерам в автоматическом сохранении паролей и применять менеджеры паролей.

Сообщается, что будет обновлён встроенный менеджер паролей, который будет переименован в Firefox Lockwise. Он будет автоматически предупреждать пользователей о том, есть ли среди сохранённых логинов ранее взломанные.

При вводе в адресной строке about:logins можно будет посмотреть, какие из логинов замечены в утечке данных. Ввод логина будет сопровождаться следующим уведомлением: «Пароль был украден с веб-сайта с тех пор, как вы последний раз обновляли детали вашего входа». Также будет предложено обновить пароль, для сохранности данных.

Обозреватель Firefox 70 будет выпущен 22 октября 2019 года.

Компания отмечает, что примерно 84% этих атак нацелены на бизнес, а остальные 16% — на персональные учётные записи электронной почты. Статистика сообщает, что атаки проводились на государственном уровне, а количество взломанных учётных записей Microsoft составило 1600 штук.

В компании обвиняют в организации атак такие государства, как Иран, Северную Корею и Россию: «Мы наблюдаем расширяющуюся активность от действующих лиц, называемых нами Ртуть и Гольмий, работающих из Ирана, Таллий — из Северной Кореи, и два лица из России, которые мы назвали Иттрий и Стронций», — пояснил Том Бёрт, корпоративный вице-президент клиентской безопасности и доверительных отношений в Microsoft.

Одна из этих групп, названная Стронций, является хакерской группой Fancy Bear, которую ранее связывали с атаками на Демократическую партию США и выпуском вируса NotPetya.

Таков результат анализа гипотетического сценария атаки, проведённого страховой компанией Ллойда. В заявлении говорится, что страховые претензии после такой атаки будут варьироваться в зависимости от приостановки деятельности бизнеса, уровня кибер-вымогательства, а также от затрат на реагирование.

Общая сумма претензий, выплачиваемых страховым сектором по этому сценарию, оценивается в размере от 10 до 27 миллиардов долларов США, исходя из лимитов политики в диапазоне от 500 тысяч до 200 миллионов долларов США.

Стресс-тест показал, насколько плохо компании застрахованы от такого рода убытков. Атака может затронуть несколько секторов по всему миру, при этом наибольшие потери будут нанесены в сфере розничной торговли, здравоохранения, производства и банковской деятельности.

Что касается регионов, то под большим ударом окажутся экономики, в которых доминируют сервисы, особенно экономики США и стран Европы. Они окажутся более уязвимыми к атаке и понесут большие потери.

Эта база имеет объём 87 ГБ и содержит 770 миллионов адресов электронной почты и паролей. В виду её большого объёма база получила имя «Collection #1».

Хант заявил: «Всего есть 1 160 253 228 уникальных комбинаций адресов электронной почты и паролей. Это относится к паролю с учетом регистра, но к адресу электронной почты без учёта регистра. Она также включает некоторый мусор, потому что хакеры — это хакеры, они не всегда аккуратно форматируют свои дампы данных легко понимаемым способом».

Он добавил, что всего в базе 772 904 991 уникальных адресов. «Это число делает её единственной крупнейшей утечкой, загруженной на HIBP». Что касается паролей, то Collection #1 содержит 21 222 975 записей, и это после очистки данных от фрагментов SQL.

Хант отметил, что многие записи можно легко распознать в других утечках, но есть и много таких, которые раньше нигде не всплывали. Такие утечки очень опасны, поскольку открывают злоумышленникам доступ к почте, которая часто используется для восстановления паролей других учётных записей. Наибольшему риску подвергнуты те, кто использует один пароль в нескольких учётных записях.

Зловред Linux.BtcMine.174 в первую очередь занимается майнингом Monero. Однако кроме этого вирус, длиной более 1000 строк кода, выключает сервисы, прячет файлы и может воровать пароли.

Различными путями он получает root-доступ, перемещает себя в папку с правами на запись, повышает свои привилегии с помощью эксплоита. Также он добавляет себя в автозапуск и устанавливает руткит.

Оказываясь в системе, он останавливает всё остальное ПО для майнинга, останавливает службы и удаляет необходимые файлы (включая антивирусы) и майнит Monero. Руткит позволяет воровать вводимые пользователем пароли под командой su, что позволяет ему атаковать по многим фронтам.

Также вирус ищет через SSH другие подключенные системы и затем пытается их заразить.

Вирус выявлен совсем недавно и пока не распространился.

Первым уязвимость нашёл Себастиан Кастро из CSL. Эта техника направлена на один параметр в учётной записи пользователя Windows, известный как Relative Identifier (RID). Воспользовавшись уязвимостью, хакер может получить полный административный доступ к компьютеру.

Идентификатор RID — это код, добавляемый в конце идентификатора безопасности учётной записи (Security Identifier —SID), который описывает группу доступа пользователя. К примеру, для гостевой записи RID равен 501, а для администратора — 500.

Кастро установил, что изменение ключа в реестре, содержащего информацию об учётных записях, может модифицировать RID, и таким образом изменить уровень доступа определённого пользователя. Удалённо таких изменений провести нельзя, но если хакер доберётся до машины, он сможет изменить группу пользователя на администратора, а затем выполнить с машиной любое действие.

Кастро обратился к Microsoft, исправила ли она уязвимость, на что был получен отрицательный ответ. Атака работает на всех Windows начиная с XP и до 10, и от Server 2003 до Server 2016. Пока информации о том, что уязвимостью пользовались, нет.

Уязвимость выявлена случайно исследователем Дженсом Стьюби при проведении тестов нового протокола WPA3. Сравнивая процесс подключения при обмене ключами Pre-Shared Key в WPA2 и Simultaneous Authentication of Equals в WPA3, он установил, что новая атака не требует присутствия конечного пользователя. Все известные методы взлома WPA2 основаны на перехвате процесса «рукопожатия» между пользователем и сетью и дальнейшей брутфорс-атакой. Метод, выявленный Стьюби, нацелен на единственный кадр в Robust Security Network Information Element, а потому не требует проведения подключения.

«В настоящее время мы не знаем, сколько производителей и как много роутеров уязвимы перед этой техникой, но мы думаем, что она сработает на всех сетях 802.11i/p/q/r с включённой функцией роуминга (большинство современных роутеров)», — сообщил Стьюби.

Протокол WPA3 был анонсирован в январе. Он использует 128-битное шифрование в персональном режиме и 192-битное в корпоративном. Также в нём технология разделённых ключей заменена на процесс одновременной аутентификации равных, что исключает возможность проведения атаки по методу Стьюби.

Теперь система Accelerated Memory Scanning будет выгружать выявление атак на основе памяти на встроенную графику CPU. Согласно внутренним тестам компании, нагрузка методом GPGPU позволила снизить использование CPU с 20% до 2%.

Вторая техника объединяет отслеживание и облачное машинное обучение для выявления более совершенных угроз. Когда вредоносный код размещается на жёстком диске, он может быть замаскирован или даже зашифрован. Теоретически, когда он попадает в память, его становится легче выявить.

Процесс сканирования памяти на признаки вредоносного кода обслуживается драйвером Intel и работает в так называемой цепи приложений или Ring 3. Однако возможности данного решения могут быть расширены до уровня ядра, или Ring 0. Интенсивность сканирования может быть настроена для загрузки GPU. Однако если пользователь играет в игру, сканирование может быть отложено или размещено на других незагруженных ядрах GPU.

В инженерном блоге ресурса сообщается, что 28 февраля GitHub.com был в офлайне с 17:21 до 17:26 (по Всемирному координируемому времени), и сразу же снова «упал» с 17:26 до 17:30.

По данным ресурса, первая атака достигала максимальной плотности в 1,35 Тб/с, в то время как вторая достигла плотности 400 Гб/с. Это делает её крупнейшей атакой за всё время. До этого самой мощной была DDoS атака на скорости 1,1 Тб/с.

Отмечено, что атака была произведена десятками тысяч распределённых уникальных точек. При достижении пика в 1,35 Тб/с скорость передачи пакетов составила 126,9 миллиона за секунду.

В GitHub отметили, что атака подобного рода может генерировать огромные объёмы траффика со спуфированием IP адресов, что позволяет откликам нацеливаться на другие адреса, как те, что обслуживают GitHub.com, и направлять больше данных на цель, чем необходимо было бы источнику без спуфа. В данной атаке коэффициент усиления составил 51000. Это значит, что каждый байт, отправленный атакующим, превращался в 51 КБ трафика на сервере GitHub.

При этом сайт отметил, что никакого риска для пользователей она не несёт, а конфиденциальность и целостность пользовательских данных не пострадала.

Программа CCleaner предназначена для очистки системы и ускорения работы компьютера. По данным исследования, утилита на платформах PC и Android загружалась 5 миллионов раз за неделю.

Получив доступ к серверам, злоумышленники инфицировали инсталлятор утилиты. Заражённая версия CCleaner была доступна в августе. Эксплоит, содержащийся в ней, пытается подключиться к нескольким незарегистрированным вебсайтам, вероятно, чтобы получить дополнительную порцию зловредов. По информации Рейтер, которое ссылается на исследователя Крейга Уиллиамса, вредоносный код распространяется таким же образом, как это делал NotPetya в июне, заразив сотни тысяч компьютеров через бухгалтерский пакет украинской разработки.

Утилита CCleaner использует цифровой сертификат, который позволяет компьютерам автоматически доверять программе в ходе инсталляции. В Piriform рекомендовали пользователям CCleaner версии 5.33.6162 и CCleaner Cloud версии 1.07.3191 загрузить и установить свежую версию утилиты. Автоматически приложение не обновляется.

Исследователи из университета Бен-Гуриона показали способ кражи данных с компьютеров, не подключённых к сети. Целевые для этой атаки компьютеры как правило содержат важную информацию, а потому изолированы от сети, или как минимум, от интернета. И для того, чтобы получить к ним доступ, обязателен способ передачи данных «по воздуху».

Ранее нам уже демонстрировали способы получения информации с помощью системных динамиков, и простое их отключение позволяет избежать утечки. Теперь же речь идёт о получении информации с помощью аудиоволн, генерируемых вентиляторами системы.

Вредоносное ПО, названное Fansmitter, способно управлять скоростями вентиляторов. Оно создаёт различные акустические тона, которые и используются для передачи данных. Для приёма данных и дальнейшей её передачи хакеры воспользовались мобильным телефоном. Этот телефон способен декодировать шум в данные, при условии, что он находится не далее 8 м от компьютера.

Конечно, у этого способа есть много ограничений, и в первую очередь – это скорость передачи данных, которая составляет лишь 15 бит в минуту. Однако даже этой скорости вполне достаточно, для передачи логинов или паролей. Безусловно, взлом системы таким образом не слишком практичен, однако ввиду того, что большинство техники оснащено вентиляторами, его потенциальная опасность невероятно широка.

Новый сервис Windows Defender Advanced Threat Protection (ATP), предназначенный для корпоративной версии системы, способен определять признаки кибератаки, чтобы принять ранние меры по защите, предотвратив разрушительные последствия. Чтобы выявить внедрения, ATP изучает журнал активности и определяет эксплоиты и необычную активность.

При подозрении на кибератаку, Windows Defender предоставляет IT департаменту компании рекомендации. При более широком распространении утилита может помочь предприятиям определять внедрения, которые бы остались незамеченными или привели бы к плачевным последствиям.

Сейчас ATP доступна некоторым бета тестерам операционной системы, для остальных же утилита появится в этом году после завершения проверок.

Чтобы защитить ресурсы от атак подобного рода компания Google создала специальный инструмент под названием «Project Shield», который и предотвращает атаки на вашу сеть с использованием перенаправленного через серверы Google трафика.

Данный проект предлагается в качестве бесплатного инструмента, который нацелен на фильтрацию настоящего трафика, от вредоносного.

Однако инструмент Sheild не будет доступен повсеместно. Поисковый гигант предлагает его лишь новостным ресурсам, а также организациям, занимающимся мониторингом деятельности политиков и соблюдения прав человека. Это значит, что отдельные блогеры, предприятия и игровые сервисы не смогут получить доступ к Project Shield. Кроме того, чтобы воспользоваться сервисом, сайту необходимо использовать утилиту, позволяющую слушать трафик и определять его тип, чтобы осуществлять эффективную фильтрацию вредоносных пакетов.

Уязвимость заключается в целочисленном переполнении, при обработке службой mediaserver файла MKV. При декодировании звука он считывает данные из буфера или записывает данные в нулевой адрес. Исследователи пояснили, что создав MKV файл с намеренно неправильной структурой, и запустив приложение, служба mediaserver будет давать сбой. Это приведёт к тому, что устройство перестанет отвечать на запросы. Таким образом, нельзя будет ни совершать звонки, ни отправлять и принимать текстовые сообщения, не будут работать уведомления. Графический интерфейс станет очень медленным либо окончательно перестанет отвечать. Если устройство заблокировано, то разблокировать его не получится.

Виш Ву, исследователь из Trend Micro, сообщил, что уязвимость может быть использована двумя способами: «посредством установки вредоносного приложения на устройство либо посредством специального вебсайта. Первая техника может привести к долгосрочному эффекту на устройство. Приложение, со встроенным файлом MKV, которое зарегистрировало себя в автозапуске, будет обрушать ОС всякий раз при загрузке устройства».

Аналитики отмечают, что уязвимость довольно серьёзная и может быть использована в разных направлениях. В Google известно об этой проблеме с мая, но патч пока ещё не был разработан. Таким образом, даже владельцы устройств с новейшей версией Android могут подвергнуться такой атаке.

Как известно, за запуск системы отвечает именно BIOS, и, если хакеры смогут инфицировать BIOS, им удастся обойти все антивирусные сканеры. В теории, шпионы могут изготавливать заражённые микросхемы и устанавливать их в компьютеры жертвы, оставаясь при этом незамеченными. Также не будет возможности избавиться от инфекции её удалением или переустановкой ОС.

Пара учёных провела тест 10 тысяч машин промышленного уровня и обнаружила, что в 80% из них имеется как минимум одна уязвимость BIOS. Что ещё более опасно, так то, что эти уязвимости означают возможность утечки любой информации на компьютере. Более того, даже использование средств шифрования не спасёт пользователя, ведь при доступе к данным их придётся расшифровать.

Несмотря на то, что эксперты в общедоступном пресс-релизе не стали рассказывать подробно о способах взлома, известно, что атаки были проведены благодаря использованию изменений в UEFI прошивках. Сам же UEFI создан в качестве замены старого BIOS и позволяет упростить работу операционной системы с аппаратной частью компьютера. В отличие от старого BIOS, UEFI активно работает не только при старте, но и после загрузки ОС, выполняя некоторые функции взаимодействия с «железом». По сути UEFI — это операционная система, прошитая в микросхему памяти, а значит, как и любая операционная система, она подвержена уязвимостям. Ещё больший риск состоит в том, что если хакеры смогут найти брешь в «базовой реализации» UEFI, утверждённой IBV и OEM, уязвимость получит огромное распространение.

Этот коннектор считается портом будущего и имеет массу преимуществ перед обычными USB разъёмами. Он не только реверсивный, но и позволяет передавать до 100 Вт энергии и данные, со скоростью до 10 Гб/с.

Однако, несмотря на все преимущества, он обладает одной большой проблемой. Помните BadUSB? В прошлом году эксперты в области безопасности Карстен Ноль и Якоб Лелль заявили, что USB «сломан изначально» и продемонстрировали, как они могут заразить компьютер и заработать на присущих USB уязвимостях.

Проблема заключается в том, что MacBook и Chromebook Pixel полагаются для зарядки на порт USB Type-C. В этом и заключается проблема, когда вы, находясь вне дома, полагаетесь на чужое зарядное устройство. Хакер, с правильным опытом, может инфицировать зарядное устройство BadUSB, и оставить его на видном месте, например, в кафе. После того, как жертва подключит ноутбук, её устройство подвергнется атаке. Основная сложность в разрешении данной проблемы заключается в том, что USB является открытым стандартом, быстро решить данную проблему не получится, даже выпустив новый, безопасный стандарт USB.

Хакеры могут запускать специальную программу в ОЗУ, которая создана, чтобы быстро обращаться к определённому ряду транзисторов в памяти компьютера. Эта «чеканка» по транзисторам приводит к тому, что, заряд из них перетекает на соседний ряд памяти. Данная электромагнитная утечка может привести к так называемому эффекту «переворачиванию битов», в котором транзисторы в соседних рядах памяти изменяют своё состояние на противоположное.

Впервые исследователи Google показали возможность использования переворачивания битов для получения неавторизованного уровня доступа для контроля над компьютером жертвы. Выявленная техника Rowhammer может повлечь «эскалацию привилегий», расширяя влияние хакеров за пределы определённых огороженных пространств памяти в более чувствительные зоны. Таким образом, учёные выявили одну из фундаментальных уязвимостей компьютерного аппаратного обеспечения, которую нельзя полностью исправить в существующих системах.

Конечно, это не тот хак, который легко выполнить. Команда Project Zero была ограничена тестовым ноутбуком с Linux на борту, и только затем учёные установили, что уязвимость работает лишь на менее чем половине моделей компьютеров, на которых они проводили эксперимент.

Ошибка была обнаружена в системе ZynOS, которая была разработана ZyXEL и применяется как в продуктах самой ZyXEL, так и устанавливается на свой страх и риск энтузиастами на изделия от других производителей, включая TP-Link, ZTE и D-Link.

Для подтверждения выявленной проблемы был продемонстрирован взлом роутера D-Link DSL2740R, который провела болгарская группа «белых» хакеров под названием Ethical Hacking.

Ошибка в программе приводит к тому, что для внесения изменений в настройки не требуется даже соответствующий уровень доступа. Хакеры просто получили доступ к странице удалённой настройки роутера, также можно получить и доступ к локальной сети. Вредоносный код, исправленный прямо в браузере пользователя, можно использовать для проведения атаки через интерфейс и отправлять сообщения определенному IP адресу.

Это звучит как просто невозможный факт, но ведь раньше уже похожая проблема с роутером выявлялась, причём произошло это чуть больше года назад, в октябре 2013. Также в марте 2014 года была проведена атака по схеме мажсайтовой подделке запроса. Тогда Team Cymru выявила данную проблему на примере целой «зомби сети».

p.s. Прошивки от сторонних производителей действительно могут быть установлены в некоторые устройства D-Link (как в случае с установкой ZynOS на роутер), но при этом компания D-Link не несет ответственности за работоспособность модифицированного таким образом устройста, и более того, такое устройство снимается с гарантии, о чем указано на официальном сайте компании. И хотя это обычная практика гарантийного сопровождения устройств, энтузиастам не лишне будет об этом помнить, приступая к модификации (перепрошивке) устройств.

По информации Forbes, брешь была выявлена на первой неделе декабря, и об этом сообщил персоналу старший вице-президент компании и старший информационный директор Боб Уоролл в электронном письме.

Он сообщил персоналу, что IT команда предприняла «всесторонние меры» для повышения безопасности с момента выявления бреши и предотвратила подобные атаки в будущем. Он предупредил персонал о необходимости контроля за своими банковскими счетами и платежами, а также о необходимости информировать полицию в случае подозрения, что они стали жертвами воров, и остерегаться фишинговых писем.

Директор также посоветовал всем пользователям менять свои пароли и избегать использования одинаковых паролей для более чем одного аккаунта.

Основываясь на письме, разосланном Уороллом, в Forbes предположили, что атака стала результатом фишинговой схемы, т. е. кто-то смог использовать пароль, полученный у одного из сотрудников компании обманным путём.