Уязвимости - новости по уязвимостям

Хакеры взломали южнокорейскую криптобиржу GDAC и украли 15 миллионов долларов

Южнокорейская криптобиржа GDAC подверглась взлому, хакеры вывели различные криптовалюты на сумму более 20 миллиардов вон (15 миллионов долларов), передает агентство Yonhap."Хакеры похитили у южнокорейской криптобиржи GDAC криптовалюты на сумму более 20 миллиардов вон (15 миллионов долларов)", - говорится в сообщении агентства.

Как отмечает агентство, сумма похищенных криптовалют составляет около 23% от общего объема активов, находящихся на хранении у биржи. Согласно информации агентства, взлом произошел в воскресенье.

По данным биржи, некоторые активы, скорее всего, были отправлены на зарубежные криптовалютные биржи. "Услуги GDAC по вводу и выводу средств приостановлены", - отмечает агентство со ссылкой на заявление биржи. Согласно информации агентства, GDAC сообщила о случившемся в полицию.

В даркнете продают вредоносные приложения для Google Play за 20 тысяч долларов

Эксперты «Лаборатории Касперского» поделились интересно статистикой, собранной в результате анализа объявления о продаже вредоносных приложений для Google Play на нескольких форумах в даркнете — русскоязычных и международных — с помощью сервиса Kaspersky Digital Footprint Intelligence.

Цены на программы и аккаунты разработчиков доходят до 20 тысяч долларов США. Чтобы загрузить вредоносное приложение в магазин, необходимо купить аккаунт разработчика в Google Play и загрузчик вредоносного кода. Аккаунты предлагают по цене от 60 до 200 долларов. Стоимость вредоносных загрузчиков варьируется от 2 до 20 тысяч долларов в зависимости от сложности, новизны и уникальности кода, а также от дополнительной функциональности.

Как отмечают эксперты, в даркнете чаще всего предлагают встроить вредоносный код в криптовалютные трекеры, различные финансовые приложения, сканеры QR-кодов или приложения для знакомств. Такие программы выкладываются в Google Play, а вредоносный код злоумышленники добавляют позднее. За дополнительную плату злоумышленники могут запутать код, чтобы затруднить анализ приложения и усложнить обнаружение защитными решениями.

Предлагается три способа сотрудничества: за долю от конечной прибыли, по подписке и за полное приобретение аккаунта или зловреда. Продавцы также могут предложить опубликовать приложение за покупателя, чтобы тому не пришлось напрямую взаимодействовать с Google Play.

Эксперт по кибербезопасности «Лаборатории Касперского» Алиса Кулишенко рассказала: Вредоносные программы для мобильных устройств продолжают оставаться одной из самых распространённых киберугроз. В 2022 году мы обнаружили более 1,6 миллионов таких приложений. Однако есть и хорошая новость — эффективность защитных решений тоже быстро растёт. На теневых форумах злоумышленники жаловались, что загружать вредоносные приложения в официальные магазины стало труднее.

Google исправила более 60 уязвимостей Android

Google выпустила патчи, закрывающие несколько выявленных в ОС Android уязвимостей, в том числе три наиболее опасные: две из них получили статус критических, а третья, по сведениям компании, эксплуатировалась злоумышленниками.

Перечисляя подробности в отчёте по безопасности Android за апрель 2023 года, Google уточнила, что наиболее опасным уязвимостям были присвоены номера CVE-2023-21085, CVE-2023-21096 и CVE-2022-38181.

Первая и вторая — уязвимости Android, которые позволяют выполнять код в удалённом режиме без дополнительных привилегий для злоумышленника. Правда, эксплуатировать их можно только в результате фишинговой атаки, то есть для их работы необходимо участие потенциальной жертвы, пусть и неосознанное.

Третья была выявлена в драйвере графического процессора Arm Mali — она эксплуатировалась злоумышленниками с конца прошлого года, правда, в компании не уточнили, какие хакеры прибегали к этому средству, и кто стал жертвой атаки.

Уязвимость позволяла злоумышленникам повышать привилегии без взаимодействия с пользователем. Всего в апреле Google выпустила два патча Android: первый был направлен на исправление ошибок в самой системе, второй был связан с ядром Arm и компонентами, которые выпускают партнёры компании: Imagination Technologies, MediaTek, UNISOC и Qualcomm.

В общей сложности закрыты более 60 уязвимостей. К сожалению, из-за фрагментации Android выпуск обновлений зависит от производителей устройств — поддерживаемые модели смартфонов и планшетных компьютеров должны получить их в ближайшее время.

Найден ещё один разработчик шпионского софта для iOS — он продавал ПО всем желающим

Израильская компания NSO Group приобрела широкую известность после того, как выяснилось, что она разработала программное обеспечение Pegasus для взлома устройств на базе iOS и продавала его правительствам ряда стран.

Теперь же специалисты Citizen Lab из школы им. Манка при Университете Торонто опубликовали отчёт по итогам расследования, в ходе которого им удалось обнаружить непубличную компанию QuaDream — разработчика ещё одного шпионского ПО для iOS.

NSO Group и QuaDream ведут схожий бизнес, но информация о втором разработчике практически не появлялась в СМИ, компания не имеет официального сайта, а также страниц в социальных сетях. Фактически об этой компании стало известно из-за судебного разбирательства с кипрской InReach.

По данным исследователей, специалисты QuaDream создали эксплойт для взлома устройств с iOS 14. Шпионское ПО продавалось всем желающим, которые были готовы заплатить за него.Предполагается, что эксплойт активно использовался в период с января по ноябрь 2021 года, а информация о нём в СМИ появилась лишь в феврале 2022 года.Специалисты по информационной безопасности из Microsoft помогли Citizen Lab понять, для чего может использоваться ПО QuaDream, а сам эксплойт получил название KingsPawn.

Оказалось, что с его помощью можно перехватывать и записывать телефонные разговоры, использовать микрофон для слежки, вести фотосъёмку с устройства жертвы и даже генерировать пароли для прохождения двухфакторной аутентификации в iCloud. В эксплойт также встроена функция самоуничтожения, которая позволяет скрыть следы пребывания вредоноса на устройстве в случае необходимости.

Microsoft устранила уязвимость Windows, которую используют хакеры-вымогатели

Microsoft выпустила очередной патч в рамках программы Patch Tuesday, содержащий исправления для 97 уязвимостей в разных продуктах компании. Помимо прочего, разработчики устранили уязвимость нулевого дня CVE-2023-28252, которая связана с драйвером Windows Common Log File System (CLFS) и позволяет повысить уровень привилегий в атакуемой системе.

Согласно имеющимся данным, упомянутая уязвимость активно используется хакерами для проведения атак с использованием вымогательского программного обеспечения. Проблема затрагивает все актуальные серверные и клиентские версии Windows, поэтому установку патча лучше не откладывать.

По данным «Лаборатории Касперского», уязвимость CVE-2023-28252 используется злоумышленниками для развёртывания вымогателя Nokoyawa. Преимущественно атаки такого типа нацелены на представителей малого и среднего бизнеса на Ближнем Востоке, в Северной Америке и Азии.

Специалисты по информационной безопасности отметили, что упомянутая уязвимость нулевого дня отличается от других тем, что она активно эксплуатируется финансово мотивированными киберпреступниками. Впервые вредоносное ПО Nokoyawa было замечено в феврале 2022 года. Предполагается, что члены ныне не существующей группировки Hive выступали в роли операторов этого ПО.

Как и другие вымогатели, Nokoyawa шифрует данные на атакуемых устройствах, после чего требует выкуп за их восстановление. Операторы вредоноса также угрожали жертвам раскрытием конфиденциальных данных, которые они якобы похищают в ходе атак.

DDoS-атаки в России на майские праздники усилятся в 2-3 раза

Весной 2023 года российские компании переживают всплеск комплексных DDoS-атак. Более того, на майские праздники ожидается ещё больший взлёт атак – в два - три раза. Об этом сегодня сообщают «Известия» со ссылкой на экспертов по компьютерной безопасности StormWall.

Как отмечают StormWall, в первом квартале 2023 года хакеры начали вдвое чаще организовывать комплексные атаки, которые нацелены сразу на несколько сетевых уровней и элементов инфраструктуры организации.

Сильнее всего пострадали от атак финансовая сфера (32% от общего числа инцидентов), электронной коммерции (26%) и сфера развлечений (14%). Далее по популярности у хакеров идут компании телеком-сферы (10%), страхования (7%), нефтегазовой отрасли (5%), производственной сферы (3%) и образования (2%).

В StormWall прогнозируют дальнейший рост DDoS-атак на компании в России, при чём их мощность может достигать 2,5–3 Тбит/с благодаря новым гигантским ботнетам. Кроме того, хакеры скоро начнут задействовать мощности ChatGPT для усиления атак. Следующий большой всплеск активности ожидается на майских праздниках - число атак может вырасти в два, а то и в три раза.

У процессоров AMD Zen 2 и Zen 3 нашли неисправимую уязвимость ко взлому через модуль безопасности TPM

Специалисты по кибербезопасности из Берлинского технического университета показали, что доверенный платформенный модуль (Trusted Platform Module, TPM) на платформе AMD может быть взломан с помощью атаки faulTPM на замыкание напряжения, что позволяет получить полный доступ к криптографическим данным, хранящимся внутри. Это позволяет хакеру полностью скомпрометировать любое приложение или шифрование, включая BitLocker, который полагается как раз на TPM.

Исследователи достигли своей цели через уязвимость в Platform Security Processor (PSP), присутствующий в чипах AMD Zen 2 и Zen 3. В отчёте не уточняется, уязвимы ли процессоры Zen 4, а сам процесс взлома требует физического доступа к машине на «несколько часов». Исследователи также выложили на GitHub код, использованный для атаки, и список необходимого оборудования, стоимостью около $200.

Актуальность обнаруженной проблеме придаёт то, что Microsoft включила активацию TPM в системные требования для установки Windows 11. Этот шаг встретил неприятие публики из-за его пагубного влияния на скорость работы системы. И хотя требования Windows 11 относительно TPM легко обойти, поддержка этой функции со стороны Microsoft увеличила число приложений, полагающихся на TPM 2.0 для обеспечения безопасности. И все они уязвимы для faulTPM.

Специалисты использовали подопытный ноутбук от Lenovo, в котором физически подключили использованное оборудование к блоку питания, микросхеме BIOS SPI и шине SVI2 (интерфейс управления питанием). Предметом атаки стал сопроцессор безопасности PSP, присутствующий в процессорах Zen 2 и Zen 3, с целью получения данных, позволяющего расшифровать объекты, хранящиеся в TPM.Успешное извлечение «секретного ключа» из KDF даёт полной доступ и контроль над устройством и всеми содержащимися в нем данными в относительно короткие сроки.

По умолчанию, BitLocker использует только механизм TPM для хранения секретных ключей, но пользователь может назначить PIN-код, работающий в тандеме с механизмами на базе TPM. Это позволит создать многоуровневую защиту, однако эти PIN-коды не включены по умолчанию и уязвимы для атак методом перебора. Исследователи утверждают, что атака методом манипуляции напряжением может быть исправлена только в микро архитектурах процессоров следующего поколения. Процессоры Intel уязвимости не подвержены. Официальных сообщений от AMD по этому поводу пока не появлялось.

Киберпреступники взломали лежащий в сейфе аппаратный криптокошелёк - украдены биткоины на сумму 30 тысяч долларов

«Лаборатория Касперского» обнаружила и изучила нетривиальный киберинцидент. Злоумышленники сумели украсть с аппаратного кошелька 1,33 биткоинов (на момент исследования на сумму 29 585 долларов). Причём кража состоялась, когда отключённое от интернета устройство лежало в сейфе владельца.

Как рассказали эксперты, аппаратные кошельки считаются более безопасным способом хранить цифровые активы, чем программные «горячие», поскольку для отправки криптовалюты или взаимодействия с децентрализованными финансовыми протоколами необходимо подключать отдельные USB-устройства к компьютеру.

Для кражи злоумышленникам пришлось заблаговременно физически вскрыть устройство, а также внести изменения в оригинальную прошивку загрузчика и самого кошелька. Внешне взломанный криптокошелёк работал как обычно, однако киберперступники уже получили полный контроль над ним.

Эксперт «Лаборатории Касперского» по кибербезопасности Станислав Голованов пояснил: Хотя аппаратные кошельки считаются одним из самых безопасных способов хранения криптовалюты, злоумышленники нашли способ взломать их — продавать заражённые или поддельные устройства. Таких атак можно избежать. Мы настоятельно рекомендуем приобретать подобные устройства только у официальных и проверенных источников, чтобы минимизировать риски.

Студент НГТУ оштрафован на 10 тысяч рублей за взлом сайта университета

Студент Новосибирского государственного технического университета (НГТУ) оштрафован на 10 000 рублей за взлом сайта своего вуза. Об этом говорится на сайте Ленинского районного суда города Новосибирска.

Согласно источнику, студент проник в базу данных сайта университета и получил доступ к личным данным сотрудников и студентов. Помимо этого, он скачал ответы на тестовые задания и разместил их в открытом доступе в соцсети.

Взлом был обнаружен сотрудниками службы безопасности вуза, после чего приняты меры по устранению последствий и предотвращению дальнейших вторжений. Студент был задержан и передан в полицию.

Расследование выявило, что молодой человек имел навыки в области информационной безопасности и использовал их для незаконного проникновения в систему. Студенту было предъявлено обвинение по части 1 статьи 272 УК России (неправомерный доступ к охраняемой законом компьютерной информации). Тем не менее, суд решил прекратить уголовное дело и назначить молодому человеку штраф в размере 10 000 рублей.

В свою защиту студент заявил, что не имел злого умысла и взломал сайт только для того, чтобы проверить его уязвимости и протестировать свои навыки. Университет в свою очередь напоминает, что нарушение информационной безопасности является серьезным правонарушением и призывает студентов соблюдать закон.

Хакеры Anonymous Sudan увеличили сумму выкупа в 50 раз для авиакомпании SAS

Группировка Anonymous Sudan, которая недавно атаковала авиакомпанию Scandinavian Airlines (SAS), увеличила требования о выкупе в 50 раз, поскольку компания SAS не выполнила требования хакеров.24 мая злоумышленники отключили веб-сайт и приложение SAS, лишив клиентов компании возможности приобретать авиабилеты и печатать посадочные талоны. На данный момент веб-сайт SAS для бронирования и управления рейсами (flysas.com) не отвечает уже почти 22 часа.

25 мая группа Anonymous Sudan решила увеличить сумму выкупа в 50 раз – с $3500 до $175 000. Хакеры заявили, что будут продолжать атаку столько, сколько потребуется, пока основная авиакомпания Швеции, Дании и Норвегии не заплатит.

«Мы будем продолжать увеличивать сумму и приостановим работу вашего сервиса в течение дня. Чем больше вы откладываете платеж, тем больше будет увеличиваться выкуп. Для нас это не имеет значения.Выбор за вами, не недооценивайте нашу силу, потому что это только вопрос времени, когда мы попросим миллионы, и вы увидите, как ваша компания рухнет на ваших глазах», — заявили киберпреступники в своём Telegram-канале.

24 мая клиенты SAS начали жаловаться на то, что не могут зайти на сайт авиакомпании. В этот же день группа Anonymous Sudаn заявила о кибератаке в своём Telegram-канале. Затем группа потребовала выкуп в размере $3500 за то, чтобы прекратить атаку. Группа предоставила SAS время в 1 час, чтобы «договориться» с ботом Anonymous Sudan в Telegram. Иначе хакеры продолжат атаки в течение дня, а также опубликуют данные компании.