Новости про атака

По интернету гуляет поддельный активатор Windows

Специалисты в области кибербезопасности из Red Canary в своём блоге рассказали о вредоносном инсталляторе KMSPico, который гуляет по Интернету. Этот фейковый активатор, среди прочего, крадёт учётные данные криптовалютных кошельков. Делается это при помощи криптобота.

Red Canary отмечают, что криптобот, поставляемый с этим ПО, может собирать информацию из следующих приложений:

Atomic cryptocurrency wallet.
Avast Secure web browser.
Brave browser.
Ledger Live cryptocurrency wallet.
Opera Web Browser.
Waves Client and Exchange cryptocurrency applications.
Coinomi cryptocurrency wallet.
Google Chrome web browser.
Jaxx Liberty cryptocurrency wallet.
Electron Cash cryptocurrency wallet.
Electrum cryptocurrency wallet.
Exodus cryptocurrency wallet.
Monero cryptocurrency wallet.
MultiBitHD cryptocurrency wallet.
Mozilla Firefox web browser.
CCleaner web browser.
Vivaldi web browser.

В этом списке есть много браузеров, но нет Microsoft Edge, что наверняка заставит Microsoft ещё больше рекламировать свой продукт и препятствовать работе конкурирующих решений.

Кошелёк криптовалюты

Приложение KMSPico, если вы вдруг не знали, является неофициальным активатором Windows и Office, который превращает пиратские копии в «легальные», эмулируя сервис Mircosoft Key Management Services (KMS).

Аналитики отмечают, что основанная проблема заключается в том, что этим активатором пользуются не только домашние пользователи, но и предприятия, где утечка данных особенно опасна.

Заразится криптоботом предельно просто. Достаточно просто установить KMSPico из поддельного инсталлятора. Поддельный инсталлятор содержит настоящую версию KMSPico, что приводит к абсолютной скрытности заражения. Ситуацию усугубляет и тот факт, что при поиске в Google огромное количество сайтов уверяет, что именно они публикуют официальную и самую свежую версию активатора, так что отличить подлинную от инфицированной версии практически невозможно.

Gigabyte взломали, украли 112 ГБ закрытой информации

Производитель компьютерных комплектующих Gigabyte подвергся кибератаке со стороны хакерской группировки RansomEXX, в результате которой были украдены 112 ГБ данных.

Многие из этих данных являются закрытой технической документацией компании. Многие связаны с соглашением о неразглашении с Intel, AMD и содержат важные секреты, которые нужны для разработки материнских плат, ноутбуков, видеокарт и серверов.

Требование хакеров

Сама атака была осуществлена 2 августа. Компании пришлось выключить системы в штаб-квартире в Тайване, также некоторое время не работали электронные сервисы компании и её сайт. В ходе атаки были украдены документы, а часть из них — зашифрована. Теперь взломщики требуют от Gigabyte выкуп, иначе грозятся опубликовать эту информацию. А учитывая, что Intel готовит процессоры Alder Lake с новой архитектурой, а AMD Zen 4, в этой информации есть много интересного. Кроме того, она включает данные и ключи UEFI/BIOS/TPM.

Конечно, Gigabyte теперь восстановит данные из резервных копий, но это не решит проблему публикации. Чтобы доказать свою серьёзность, хакеры дали руководству доступ ко всей украденной информации с возможностью расшифровать один файл, чтобы убедиться, что шантаж не является блефом.

Пока Gigabyte не комментирует сложившуюся ситуацию, лишь сообщает, что она обратилась к правоохранителям.

EA взломали и украли исходный код

За последние годы взлому подверглись множество разработчиков игр, из последних была CD Project Red, а теперь этот список пополнила Electronic Arts.

Хакеры, ответственные за взлом EA, рассказали об этом на форуме в дарквебе. Они уверяют, что сумели украсть исходный код FIFA 21, а также внутренние инструменты движка Frostbite. Всего скомпрометировано 780 ГБ данных.

Сама EA выступила с заявлением, что действительно была допущена брешь в данных, и что «ограниченное количество игрового исходного кода и связанных инструментов были украдены». Персональная информация, такая как данные игроков, не была скомпрометирована, так что риски приватности отсутствуют.

Пока утекшие данные не были опубликованы, однако если кто-то их купит, ситуация может измениться, как мы недавно видели на примере CD Projekt Red. Сейчас EA работает с правоохранителями для расследования уязвимости.

Украденный исходный код Cyberpunk 2077 появился на торренте

В феврале польский разработчик CD Projekt Red подвергся массивной хакерской атаке. Злоумышленники получили доступ к данным компании и потребовали выкуп за то, чтобы они не были перепроданы третьим лицам. Тогда CD Projekt Red отказался платить выкуп.

И вот теперь украденная информация начала появляться в Сети. Сайт Data Breaches сообщает, что утечка включает исходный код Cyberpunk 2077, The Witcher 3: Wild Hunt и «улучшенной» версии GWENT. Утечка также содержит файлы SDK для множества крупнейших консолей, включая PS5, Xbox Series X и Nintendo Switch.

Cyberpunk 2077

Ворованная информация выложена для скачивания через открытый торрент, однако доступа к ней нет, поскольку она находится в запароленном архиве. Отмечается, что злоумышленники сообщат пароль в скором времени отдельно посредство onion-ссылки.

Таким образом подтверждается информация о февральской утечке и последующая перепродажа данных на аукционе.

CD Projekt Red взломали, требуют выкуп

Студия CD Projekt Red взломана хакерами. Это подтвердили сами разработчики, заявив, что «стали жертвами целевой кибератаки».

«Неизвестные личности получили неавторизованный доступ, собрали некоторые данные, принадлежащие финансовой группе CD PROJEKT и оставили какое-то сообщение, которые мы и опубликовали. Также некоторые устройства в нашей сети были зашифрованы, но резервные копии не пострадали. Мы уже усилили нашу инфраструктуру IT и начали восстанавливать данные», — говорится в сообщении студии.

Заявление CD Projekt Red

Сообщается, что хакеры украли исходный код проектов Cyberpunk 2077, The Witcher 3, Gwent, и даже невыпущенной версии The Witcher 3. Кроме того, они, вероятно, получили доступ к документации, учётным записям, переписке.

Сообщение от хакеров

Хакеры угрожают опубликовать эти данные в общем доступе, если в течение 48 часов студия не выйдет с ними на контакт для обсуждения суммы выкупа. CD Projekt Red от переговоров отказывается.

Новый тип кибератаки позволяет украсть данные через блок питания

Исследователи из университета Бен-Гуриона в Негеве, Израиль, подтвердили новый вариант проведения кибератаки достойный фильма «Миссия невыполнима». И дело в том, что она осуществляется через блок питания без физического подключения.

Суть метода заключается в том, что блок питания издаёт звуки на высокой частоте. И это звучание меняется в зависимости от нагрузки. Таким образом, записывая звук блока питания на расстоянии 5 метров, удалось получить данные с компьютера. Для этого не требовалось ни специальное оборудование, ни системные привилегии, ни сложной подготовки.

Блок питания

В процессе контролируется ультразвук на частотах от 20 кГц до 20 МГц, издаваемый трансформаторами. Чтобы блок питания передавал данные, на компьютер жертвы нужно установить специальное зловредное приложение, которое считывает системные данные и вносит изменения в нагрузку процессора. Уязвимость получила название POWER-SUPPLaY.

POWER-SUPPLaY: Leaking Data from Air-Gapped Systems by Turning the Power-Supplies Into Speakers

Стоит ли правительственным организациям, военным или операторам атомных электростанций бояться этой уязвимости? Вряд ли. Угнать таким образом данные довольно просто, однако для начала процесса всё равно нужен доступ к компьютеру. Да и скорость передачи данных оставляет желать лучшего — 50 бит в секунду. То есть для передачи текстового документа латиницей в 10 000 слов нужно потратить около часа.

Не очень эффективно.

Европейские суперкомпьютеры были взломаны для майнинга

Целый ряд европейских суперкомпьютеров были остановлены после того, как в них выявлены уязвимости в системе безопасности. Эти уязвимости привели к тому, что несколько суперкомпьютеров из Великобритании, Германии, Швейцарии и, возможно, Испании, подверглись атаке.

О проблеме заявил университет Эдинбурга, с его суперкомпьютером ARCHER.

Организация bwHPC, координирующая исследовательские проекты на суперкомпьютерах в Германии, сообщила об инцидентах в области безопасности, касательно суперкомпьютеров в Университете Штутгарта, Технологическом Институте Карлсруэ, Университетах Ульма и Тюбингена, Баварской Академии Наук. Также проблемы выявлены в Швейцарском вычислительном центре Цюриха и в испанской Барселоне.

Суперкомпьютер ARCHER из университета Эдинбурга

Злоумышленники получили логины для доступа к этим суперкомпьютерам по SSH. Угнанные логины принадлежат различным университетам Польши, Канады и Китая. Затем, воспользовавшись уязвимостью CVE-2019-15666 в ядре Linux, они начали использовать суперкомпьютеры для майнинга Monero.

Отмечается, что это не первая попытка майнинга криптовалют на суперкомпьютерах. Однако ранее этим занимались сотрудники научных центров, имеющие непосредственный доступ к системам, а вот столь массированная распределённая атака проведена впервые.

Выявлена возможность взлома ПК через Thunderbolt

Исследователи в области безопасности установили, что миллионы компьютеров, оснащённые портами Thunderbolt и выпущенные до 2019 года, имеют уязвимость, позволяющую обойти всю систему безопасности.

Получить данные можно при физическом доступе к компьютеру, и не имеет значения, защищена ли система паролем и зашифрован ли диск.

Бьёрк Руйтенберг сообщил о новой атаке под названием Thunderspy. По его словам, в конструкции Intel Thunderbolt выявлены семь уязвимостей. Одна из них позволяет злоумышленнику обойти меры безопасности ПК «за 5 минут наедине с компьютером при наличии отвёртки и простых портативных компонентов». Получив доступ, злоумышленник может скопировать любые данные с ПК, даже зашифрованные.

Руйтендерг также опубликовал видео процесса взлома. В нём исследователь снял заднюю крышку с ноутбука Lenovo ThinkPad и изнутри подключил некое устройство. Отмечается, что такое устройство легко собрать из доступных в продаже компонентов за сотню долларов. После подключения устройства и изменения настроек безопасности в прошивке, он заходит в систему, как будто у него есть пароль, и получает доступ к данным. Весь процесс занимает порядка 5 минут.

Thunderspy PoC demo 1: Unlocking Windows PC in 5 minutes

Немного позднее Intel сообщила, что атаки типа Thunderspy стали невозможными с 2019 года, после внедрения Kernel Direct Memory Access (DMA) Protection. Однако все устройства, выпущенные раньше этого срока и управляемые Windows или Linux совершенно беззащитны перед Thunderspy. Уязвимость аппаратная, и не подлежит исправлению. Машины, работающие под управлением MacOS имеют частичную уязвимость, и работают с такими устройствами взлома аналогично уязвимости BadUSB.

Kaspersky: похитителей паролей стало намного больше

Количество вредоносного ПО, ворующего пароли, резко возросло. Таковы данные Kaspersky Lab.

По данным компании, в первой половине прошлого года менее 600 000 клиентов столкнулись с вредоносным ПО, крадущим пароли. Однако за тот же период текущего года таких случаев было 940 000, на 60% больше.

Kaspersky

Такие трояны воруют пароли, открывающие путь к важным данным, вроде номеров платёжных карт и полей автозаполнения посредством уязвимостей браузеров. Среди тех пользователей, что столкнулись с подобными зловредами, 25% были инфицированы Azorult, самым распространённым на российских хакерских форумах вором паролей.

Согласно исследованию, «наиболее важные для пользователя данные обычно хранятся здесь [в браузере]. Среди них могут быть текстовые файлы, содержащие часто используемые пароли».

Чтобы избежать подобных неприятностей специалисты советуют отказывать браузерам в автоматическом сохранении паролей и применять менеджеры паролей.

Firefox 70 получит интеграцию с Have I Been Pwned

Ассоциация Mozilla сообщила, что версия 70 её браузера Firefox начнёт помечать веб-сайты без поддержки HTTPS как «небезопасные», также, как поступает Chrome с прошлого года. Кроме того, в обозревателе появится интеграция с Have I Been Pwned.

Сообщается, что будет обновлён встроенный менеджер паролей, который будет переименован в Firefox Lockwise. Он будет автоматически предупреждать пользователей о том, есть ли среди сохранённых логинов ранее взломанные.

Логотип Firefox

При вводе в адресной строке about:logins можно будет посмотреть, какие из логинов замечены в утечке данных. Ввод логина будет сопровождаться следующим уведомлением: «Пароль был украден с веб-сайта с тех пор, как вы последний раз обновляли детали вашего входа». Также будет предложено обновить пароль, для сохранности данных.

Обозреватель Firefox 70 будет выпущен 22 октября 2019 года.