Компании AMD накануне пришлось признать, что часть принадлежащей ей конфиденциальной информации попала в руки хакерской группировки IntelBroker, которая теперь пытается извлечь из этого инцидента выгоду. Представителям AMD хватило одного дня, чтобы выяснить низкую критичность данного происшествия для способности компании продолжать свою деятельность.

Источник изображения: AMD

В сообщении AMD, на которое ссылается Bloomberg, говорится следующее: «Исходя из проводимого сейчас расследования, мы можем предположить, что с сайта партнёра утекла ограниченная часть информации, описывающей характеристики компонентов, используемых при производстве отдельных продуктов AMD. Мы не склонны считать, что эта утечка данных окажет существенное влияние на наш бизнес или текущую операционную деятельность».

Напомним, что первоначальные оценки последствий инцидента упоминали не только об утечке технической документации, имеющей отношение к процессорам Ryzen и EPYC, но и контактные данные как минимум бывших сотрудников AMD, а также исходный код фирменного программного обеспечения и данные о некоторых финансовых транзакциях компании. По всей видимости, характер доставшейся злоумышленникам информации позволяет AMD считать, что инцидент не повлечёт за собой серьёзных последствий для бизнеса. Впрочем, партнёров компании, которые невольно скомпрометировали информационную безопасность AMD, наверняка заставят тщательнее за ней следить.

Представители AMD, как сообщает PCMag, подтвердили свою осведомлённость о попытках хакерской группировки IntelBroker продать служебную информацию компании, которой она завладела неправомерно в результате атаки на информационные ресурсы, связанные с деятельностью AMD. Сейчас компания участвует в расследовании и пытается определить, насколько чувствительной была похищенная информация.

Источник изображения: AMD

На одном из форумов хакерской направленности были опубликованы заявления группировки IntelBroker, в которых она утверждает, что якобы осуществила успешный взлом серверных ресурсов с данными AMD. В том числе, якобы была похищена документация по будущим продуктам AMD, данные сотрудников и клиентов компании. Кроме того, там находились фрагменты исходного кода фирменного программного обеспечения и микрокодов для компонентов. Наконец, в руки злоумышленников могла попасть финансовая отчётность AMD.

В качестве доказательства наличия у них такой информации хакеры опубликовали снимки экранов с упоминанием служебных адресов электронной почты и номеров телефонов бывших сотрудников AMD. Никаких данных о клиентах компании на этом форуме участниками хакерской атаки выложено не было. Прочие примеры похищенной информации имели отношение к технической документации по процессорам Ryzen и EPYC. Хакеры хотят продать имеющиеся данные за криптовалюту Monero.

Данная группировка ранее отметилась в контексте атак на Home Depot, а также информационные ресурсы Европола и американских правительственных организаций. AMD подчеркнула, что к расследованию привлечены представители провайдера, на сервере которого могла храниться похищенная информация компании.

Хакеры из известной криминальной группировки ShinyHunters, укравшие данные Ticketmaster и других клиентов облачного провайдера Snowflake, утверждают, что смогли получить доступ к личным данным миллионов пользователей, взломав систему подрядной организации EPAM Systems.

Источник изображения: Pixabay

В результате масштабной кибератаки, нацеленной на клиентов Snowflake, потенциально могли пострадать 165 учётных записей, однако пока удалось идентифицировать лишь некоторые из них. Хакеры завладели информацией о более чем 500 млн пользователей Ticketmaster. Кроме того, о взломе своего аккаунта в Snowflake заявил испанский банк Santander. Согласно опубликованному хакерами сообщению, украденные данные содержат информацию о банковских счетах 30 миллионов клиентов Santander, в том числе 6 миллионов номеров счетов и балансов, 28 миллионов номеров кредитных карт, а также кадровые данные сотрудников банка. Компании Lending Tree и Advance Auto Parts также признали вероятность того, что стали жертвами этой атаки.

Snowflake не раскрыла подробности о том, как хакеры получили доступ к учётным записям клиентов, заявив лишь, что преступники не взламывали сеть компании напрямую. На днях организация Mandiant, принадлежащая Google и привлечённая Snowflake для расследования инцидентов, сообщила в своём блоге, что в некоторых случаях киберпреступники получали доступ через сторонних подрядчиков, не называя этих подрядчиков и не поясняя, как именно это происходило.

Однако в беседе с изданием Wired один из злоумышленников заявил, что одной из таких компаний-подрядчиков была EPAM Systems — компания по разработке программного обеспечения и оказанию цифровых услуг с годовым доходом около $4,8 млрд. Хакер утверждает, что его группе удалось использовать данные, найденные в системе сотрудников EPAM, для получения доступа к некоторым учётным записям в Snowflake.

В EPAM опровергли свою причастность ко взломам и предположили, что хакер сфабриковал эту историю. Однако группа ShinyHunters существует с 2020 года и с тех пор взяла на себя ответственность за многочисленные кибератаки, связанные с кражей, утечкой или продажей в интернете больших массивов данных.

Snowflake является крупной компанией, предоставляющей сервисы по хранению данных в облаке и их аналитической обработке. Согласно информации на её сайте, EPAM занимается разработкой ПО и предоставляет различные управляемые услуги клиентам по всему миру, в первую очередь в Северной Америке, Европе, Азии и Австралии. Около 60 % доходов EPAM приходится на клиентов в Северной Америке. В числе услуг, которые EPAM оказывает клиентам, значится помощь в использовании и управлении учётными записями Snowflake для хранения и анализа данных.

Источник изображения: pikisuperstar / freepik.com

По словам хакера, компьютер одного из сотрудников EPAM был заражён вредоносным ПО, с помощью которого злоумышленники получили доступ к данным на этом устройстве. Используя этот доступ, они обнаружили незашифрованные имена пользователей и пароли, с помощью которых сотрудник EPAM получал доступ к учётным записям Snowflake некоторых крупных клиентов компании, в том числе Ticketmaster. Эти данные, по словам хакеров, хранились в системе управления проектами Jira.

Используя эти учётные данные, хакеры получили доступ к аккаунтам в Snowflake, поскольку для доступа к ним не требовалась многофакторная аутентификация. В тех случаях, когда необходимые учётные данные отсутствовали в системе сотрудника EPAM, хакеры искали их в уже украденных ранее базах данных. Так, для доступа к аккаунту Snowflake компании Ticketmaster были использованы аккаунты, похищенные в 2020 году опять же с помощью вредоносного ПО.

После того, как ресурс Wired предоставил подробную информацию о том, как, по словам хакеров, им удалось получить доступ к системе сотрудника EPAM, представитель компании лишь повторил заявление о том, что он не видит доказательств вовлечённости EPAM в этот инцидент. На дополнительные, конкретно поставленные вопросы, в том числе с указанием имени сотрудника и его учётных данных для доступа к аккаунту Snowflake Ticketmaster, представитель EPAM не ответил.

Хотя издание Wired не смогло подтвердить заявления хакеров о взломе компьютера сотрудника EPAM и использовании его данных для доступа к аккаунтам Snowflake, злоумышленники предоставили изданию файл, похожий на список удалённых учётных записей работника EPAM из корпоративного каталога Active Directory, полученный после взлома его рабочей станции.

Кроме того, в сообщении компании Mandiant говорится, что хакеры использовали ранее украденные вредоносным ПО учётные данные для компрометации около 80 % выявленных ими аккаунтов Snowflake, что косвенно подтверждает слова группировки ShinyHunters о таком способе доступа к данным жертв.

Таким образом, даже если хакеры не взламывали сотрудника EPAM напрямую, они явно использовали украденные учётные данные из скомпрометированных систем этой компании для последующих атак на её клиентов, в том числе владельцев учётных записей в Snowflake. Директор по информационной безопасности Snowflake Брэд Джонс (Brad Jones) также признал, что отсутствие многофакторной аутентификации способствовало взломам. Джонс сказал, что его компания будет работать над этим вопросом.

Агентство национальной безопасности США (АНБ) предупредило о растущих угрозах безопасности мобильных устройств. Регулярное выключение телефона, отключение Bluetooth, когда он не нужен, и использование только надежных аксессуаров — это лишь некоторые рекомендации, которые дала спецслужба.

Источник изображения: Kandinsky

Мобильные устройства, такие как смартфоны и планшеты, стали неотъемлемой частью нашей повседневной жизни. Однако вместе с удобством, которое они предоставляют, эти гаджеты также открывают новые возможности для киберпреступников. Как передаёт ресурс Zdnet, в своем последнем отчете «Лучшие практики для мобильных устройств» Агентство национальной безопасности США предупреждает о растущих угрозах кибератак на мобильные устройства и даёт рекомендации по их защите.

Согласно АНБ, мобильные устройства уязвимы для различных кибератак, включая фишинг, вредоносные приложения, перехват трафика и удаленный доступ. Особенно опасны целевые фишинговые атаки, направленные на заражение устройства вредоносным ПО. Для защиты АНБ рекомендует пользователям выключать и включать свои смартфоны и планшеты минимум один раз в неделю. Это позволит очистить оперативную память устройства и затруднит злоумышленникам сбор конфиденциальных данных.

Однако выключение устройства не гарантирует 100 % защиты. Поэтому АНБ также советует:

• Своевременно устанавливать обновления безопасности для приложений и операционной системы.
• Загружать приложения только из официальных магазинов приложений.
• Не переходить по ссылкам и не открывать вложения в сообщениях от неизвестных отправителей.
• Избегать использования общедоступных Wi-Fi сетей.
• Отключать Bluetooth, когда он не используется.
• Использовать надежные пароли и биометрическую аутентификацию.
• Подключать устройство только к проверенным аксессуарам и зарядным устройствам.
• Отключать службы определения местоположения, когда они не нужны.

Для дополнительной защиты также рекомендуется установить специализированные приложения для сканирования устройства на наличие уязвимостей и вредоносного ПО, например Zdnet советует iVerify.

По словам экспертов АНБ, угрозы безопасности мобильных устройств будут только возрастать. Поэтому пользователям необходимо предпринимать активные меры защиты своих личных и платежных данных от хакеров, в руках которых сегодня имеется большой арсенал инструментов по взлому и фишингу мобильных устройств. Выполнение этих рекомендаций поможет существенно снизить риски и избежать многих кибератак.

Производитель компьютерных комплектующих Cooler Master подвергся масштабной кибератаке, в результате которой были украдены личные данные около 500 000 клиентов. Хакер под псевдонимом Ghostr заявил, что ему удалось получить доступ к приватной зоне сайта Cooler Master и похитить 103 Гбайт конфиденциальных данных. Он теперь требует выкуп.

Источник изображения: Cooler Master

Среди похищенной информации — корпоративные данные Cooler Master, данные о поставщиках и продажах, а также личные данные участников программы лояльности Fanzone. В частности, были украдены имена, адреса, даты рождения, номера телефонов и адреса электронной почты клиентов.

По сообщению ресурса Hot Hardware, особенно тревожным является тот факт, что злоумышленники получили доступ к незашифрованным данным банковских карт участников Fanzone. Речь идет о номерах кредитных карт, сроках их действия и трехзначных CVV-кодах, которые используются для подтверждения платежей в интернете. Это позволяет легко похитить деньги с карт.

Хакер грозится выставить все украденные данные на продажу на черном рынке, если Cooler Master не выплатит ему выкуп. Пока компания официально не комментирует инцидент. Однако независимое расследование подтверждает, что часть утёкшей информации является подлинной.

В связи с этим всем клиентам Cooler Master, особенно участникам программы Fanzone, настоятельно рекомендуется усилить бдительность. Необходимо следить за подозрительной активностью на банковских счетах и быть осторожными при использовании личных данных в интернете. Эксперты призывают немедленно связаться с банком в случае обнаружения каких-либо признаков мошенничества. Также рекомендуется сменить пароли и установить мониторинг истории платежей.

Пока неясно, смогла ли компания Cooler Master вовремя обнаружить и заблокировать атаку до того, как злоумышленники успели нанести серьезный ущерб её клиентам. Ожидается официальное заявление компании с разъяснением ситуации и рекомендациями поставщикам и клиентам. Эксперты прогнозируют волну фишинговых атак и других киберпреступлений с использованием украденных данных Cooler Master в ближайшие недели.

Сервис доставки посылок СДЭК приостановил работу 26 мая из-за обширного технического сбоя. Ответственность за этот инцидент взяла на себя международная хакерская группировка Head Mare, заявившая об этом в своём аккаунте в соцсети X. Злоумышленники опубликовали скриншоты проникновения в систему СДЭК и «передали привет» российской ИБ-компании Bi.Zone, которая консультирует СДЭК в вопросах кибербезопасности.

Источник изображения: TheDigitalArtist / Pixabay

В сообщении злоумышленников сказано, что в ходе атаки на IT-системы СДЭК они задействовали вирус-шифровальщик. Вредоносное программное обеспечение такого типа шифрует данные, из-за чего жертва атаки теряет к ним доступ. Неназванный источник в СДЭК, а также собеседник в одной из крупных ИБ-компаний, подтвердили, что в ходе атаки на СДЭК использовался шифровальщик.

«Мы столкнулись с техническим сбоем и проводим расследование. Есть несколько теорий, и говорить что-либо до получения точной информации считаем непрофессиональным», — прокомментировал данный вопрос официальный представитель СДЭК. При этом в компании не сообщили, когда сервис может возобновить работу. Представители Bi.Zone никак не комментируют данный вопрос.

Эксперты отмечают, что шифровальщик может попасть в атакуемую систему разными способами. Чаще всего вирусы такого типа загружают пользователи через электронную почту или другие сообщения. Реже такое происходит в результате взлома системы злоумышленниками. Такие вирусы также принято называть вымогателями, поскольку обычно после завершения работы шифровальщика жертве предлагается заплатить выкуп за восстановление доступа к данным. По подсчётам Российской ассоциации электронной коммерции (РАЭК), количество кибератак с использованием шифровальщиков выросло в 2023 году на 160 % по сравнению с показателем за предыдущий год. Средний размер выкупа за расшифровку данных в 2023 году составил 53 млн рублей.

Скорость восстановления работоспособности систем СДЭК зависит от того, как часто компания делала бэкапы (резервные копии данных), и какой шифровальщик использовали злоумышленники. Если речь идёт об уже известном вредоносном ПО, то для него уже может существовать программа-декриптор, которая позволит расшифровать данные. Злоумышленники из Head Mare опубликовали скриншоты уничтожения бэкапов, заявив, что СДЭК делала резервные копии раз в полгода. Однако верить на слово злоумышленникам не стоит, поскольку часто они преувеличивают нанесённый в ходе атак ущерб.

Вчера сообщалось, что СДЭК возобновит работу сегодня после обеда. Однако позже стало известно, что произойдёт это несколько позже — курьерская служба уведомила, что в течение понедельника «значительно продвинулась» в восстановлении, но пока не готова возобновить обслуживание. «ПВЗ СДЭК восстановят выдачу отправлений не позднее завтрашнего дня, 29 мая. Мы работаем над полным возобновлением обслуживания, но также заготовили и резервные схемы», — сообщил «Интерфаксу» директор по коммуникациям СДЭК Михаил Берггрен.

Компания Dell начала уведомлять клиентов, о том, что их имена, домашние адреса и другие данные попали в руки злоумышленников в результате «инцидента в сфере кибербезопасности». В электронном письме, которое производитель компьютеров рассылает клиентам, сказано, что ведётся расследование «инцидента, связанного с порталом Dell, содержащим базу данных с ограниченными типами информации о клиентах» и информацией об из покупках продукции компании.

Источник изображения: Its me Pravin / unsplash.com

Согласно имеющимся данным, в руки злоумышленников попали не только имена клиентов и адреса их проживания, но также информация о купленном у Dell оборудовании, детали заказов, в том числе сервисные коды, описания товаров, даты оформления заказов и информация о гарантии. В сообщении Dell не уточняется, является ли утечка данных результатом хакерской атаки или же она стала следствием непреднамеренной ошибки.

Отмечается, что в результате утечки не были похищены адреса электронных почтовых ящиков клиентов, номера телефонов, финансовая и платёжная информация или «любые особо конфиденциальные данные о клиентах». Возможно, Dell преуменьшает вероятные последствия утечки, заявляя, что для клиентов нет значительного риска. Более детальную информацию касательно этого инцидента в компании предоставить отказались, сославшись на продолжающееся расследование.

Специалисты по безопасности обнаружили новый метод атаки, который позволяет перехватывать трафик пользователей VPN, несмотря на шифрование. Это практически нивелирует главное предназначение VPN. Уязвимость манипулирует настройками DHCP-сервера и работает почти против всех VPN-приложений.

Источник изображения: Kandinsky

Исследователи из компании Leviathan Security смоделировали новый тип кибератаки, которая, по их мнению, существует уже давно и позволяет злоумышленникам перехватывать трафик пользователей виртуальных частных сетей (VPN). Эта атака получила название TunnelVision. Она эксплуатирует уязвимость в протоколе DHCP, который используется для назначения IP-адресов в локальных сетях, сообщает издание Arstechnica.

Как известно, VPN инкапсулируют интернет-трафик пользователя в зашифрованный туннель и скрывают его реальный IP-адрес. Однако при атаке TunnelVision часть или весь трафик выводится из зашифрованного туннеля и становится доступным для перехвата и анализа злоумышленниками.

По словам Лиззи Моратти (Lizzie Moratti) и Дэни Кронс (Dani Cronce), TunnelVision затрагивает практически все приложения VPN на платформах Windows, macOS и iOS, кроме Linux и Android. При этом существует с 2002 года, оставаясь незамеченной. Нельзя исключать, что хакеры уже использовали её в реальных атаках.

В опубликованном исследовании поясняется, что злоумышленники запускают собственный DHCP-сервер в той же сети, к которой подключается жертва. Этот сервер использует протокол DHCP (опция 121) для изменения правил маршрутизации на устройстве жертвы. В результате весь трафик или только его часть начинает проходить через DHCP-сервер хакеров в незашифрованном виде. При этом само VPN-соединение остаётся активным и пользователь ничего не подозревает. Для реализации этой атаки злоумышленнику нужен административный доступ к сети, к которой подключается жертва.

Отмечается, что на данный момент эффективных способов защиты от TunnelVision не так много. Единственная ОС, полностью защищённая от этой атаки — Android, так как в нём отсутствует поддержка протокола DHCP (опция 121). В Linux также есть настройки, которые сводят атаку к минимуму.

Таким образом, TunnelVision представляется серьёзной угрозой анонимности и конфиденциальности пользователей VPN, потому что позволяет полностью скомпрометировать зашифрованный трафик и свести на нет все преимущества виртуальных частных сетей. Исследователи из Leviathan Security рекомендуют разработчикам VPN как можно быстрее исправить эту опасную уязвимость в своих продуктах.

После серии глобальных инцидентов, связанных с хакерскими атаками, Microsoft объявила о беспрецедентных мерах по защите данных пользователей и своей корпоративной инфраструктуры. Теперь кибербезопасность — абсолютный приоритет, а топ-менеджеры теперь рискуют бонусами за проблемы в этой области.

Ряд громких инцидентов в сфере кибербезопасности и растущая критика вынудили Microsoft объявить о ряде масштабных изменений по кардинальному улучшению защиты пользовательских данных и корпоративной инфраструктуры. Поводом послужил резкий отчет Американского совета по кибербезопасности, в котором говорится о «неадекватной защите в Microsoft, требующей немедленных изменений».

В ответ на замечания, Microsoft представила глобальный план повышения уровня кибербезопасности. Данный вопрос объявлен абсолютным приоритетом для всей компании, имеющим статус выше разработки новых продуктов и услуг. Также введена система персональной ответственности топ-менеджмента, а часть их вознаграждения будет напрямую зависеть от достижения поставленных целей.

Среди ключевых направлений работы также указывается внедрение принципов «безопасности по умолчанию» и «безопасности на этапе разработки» для всех продуктов, усиление контроля доступа и мониторинга, сокращение времени на устранение уязвимостей. Конечные цели включают защиту пользовательских учетных записей при помощи многофакторной аутентификации, применение модели наименьших привилегий и другие способы защиты.

Реализация обозначенных планов уже ведется при непосредственном контроле высшего руководства Microsoft. К работе подключены различные подразделения, отвечающие за облачные сервисы, операционные системы и офисные приложения. Параллельно идет реорганизация служб информационной безопасности с целью повышения их эффективности.

«Microsoft работает на доверии, которое нужно заработать и поддерживать. Мы осознаём глубокую ответственность за кибербезопасность мира. Это наш приоритет номер один», — заявил вице-президент Чарли Белл (Charlie Bell). Компания, наконец, осознала системный характер проблем в сфере киберзащиты и приступила к масштабным преобразованиям.

В первом квартале 2024 года число DDoS-атак на российские компании удвоилось год к году, пишет «Коммерсантъ» со ссылкой на данные структуры «Ростелекома» ГК «Солар». В основном удар пришёлся на предприятия из критически значимых отраслей, хотя атаки затрагивали и обычных пользователей.

Источник изображения: Pixabay

По данным ГК «Солар», число DDoS-атак в первом квартале составило 119 тыс. Самая продолжительная длилась 11 дней, и её максимальная мощность достигала 724 Гбит/с. Самый большой рост атак был зафиксирован в энергетическом секторе — более 2,5 тыс. DDoS-атак на энергокомпании, что втрое больше, чем в предыдущем квартале и почти на порядок больше год к году. Также хакеры активно атаковали госсектор, финансовый рынок и IT-сегмент. ГК «Солар» отметила, что росту числа атак способствуют распространение технологий интернета вещей (IoT) и «умных» устройств, которые хакеры объединяют в ботнет-сети.

В DDoS-Guard подтвердили тенденцию к росту атак: по её оценке, в первом квартале их количество в целом увеличилось год к году на 29 % до 172,5 тыс., хотя в феврале был отмечен спад. Рост атак будет продолжаться и дальше, поскольку всё больше устройств вовлекаются в ботнеты, полагают в DDoS-Guard: «Роботизированный трафик становится труднее отличить от реальных пользователей».

От кибератак страдают не только компании, но и обычные пользователи. Как сообщают источники «Коммерсанта», 13 марта из-за DDoS-атаки интернет-провайдер «Телинком», работающий в Подмосковье, был вынужден известить абонентов об ограничениях в работе сети. Также в марте выросло количество атак на сайты турагентств и авиакомпаний.

Гендиректор хостинг-провайдера RUVDS Никита Цаплин отметил тренд на локализацию DDoS: поскольку атаки из-за рубежа блокируются, хакеры всё чаще используют российские IP-адреса.

Для противодействия атакам подведомственный Роскомнадзору Главный радиочастотный центр заказал в 2023 году разработку Национальной системы противодействия DDoS-атакам, которую планировалось создать на базе имеющейся сети ТСПУ (технические средства противодействия угрозам). По условиям тендера система должна была быть создана к марту 2024 года, однако о судьбе проекта стоимостью 1,4 млрд руб. пока ничего не известно.

«РИА Новости» со ссылкой на ведомство 14 апреля сообщало, что Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора отразил в первом квартале 512 крупных DDoS-атак, что почти втрое больше, чем за весь 2023 год.

По словам источника «Коммерсанта» на рынке, Роскомнадзор использует для борьбы с сетевыми атаками блокировку по географическому признаку, отсекая трафик, исходящий с территории государств, откуда шла большая часть вредоносной активности, однако, «в силу распределённости современных кибератак блокировка только таким способом уже становится неэффективной».

Китайские производители чипов остро нуждаются в зарубежном оборудовании и технологиях, но их от силы подозревают в обходе санкций США и союзников, либо в скандалах с торговлей коммерческой тайной. Южная Корея обвиняет своего северного соседа в хакерской атаке на двух производителей оборудования для выпуска чипов, причём делает это с высокой политической трибуны.

Источник изображения: Samsung Electronics

Агентство Reuters в понедельник сообщило, что силовые ведомства Южной Кореи подозревают КНДР в хакерской атаке на две компании, занимающихся поставками оборудования для производства чипов. Ещё с конца прошлого года, как сообщает Национальная разведывательная служба Южной Кореи, северокорейские хакеры предпринимают попытки добыть необходимую информацию о технологиях производства чипов, атакуя южнокорейских производителей оборудования. Хакерские атаки были осуществлены в отношении серверов двух компаний из Южной Кореи в декабре и феврале. Среди похищенной информации упоминаются фотографии производственных помещений и чертежи оборудования для производства чипов.

Как заявили представители южнокорейского ведомства, у них есть основания полагать, что Северная Корея предпринимает попытки наладить самостоятельный выпуск полупроводниковых компонентов в условиях существующих сложностей с их получением из-за рубежа, возникших из-за санкционных ограничений. По мнению южнокорейской разведки, потребность северных соседей в чипах растёт по мере развития спутниковой и ракетной отраслей, а также оборонной сферы в целом. Как поясняют источники, хакеры из Северной Кореи использовали существующие уязвимости в серверной инфраструктуре, чтобы вызывать минимум подозрений и не оставлять следов, минимизируя использование специального программного обеспечения.

Компания AnyDesk объявила, что недавно подверглась кибератаке, в ходе которой злоумышленникам удалось получить доступ к производственным системам компании. По данным источника, хакеры украли исходный код ПО и ключи для подписи кода.

Источник изображения: bleepingcomputer.com

Напомним, компания AnyDesk является разработчиком одноимённого решения для удалённого управления рабочими столами. Приложение пользуется большой популярностью в корпоративной среде. По данным AnyDesk, компания имеет более 170 тыс. клиентов по всему миру, включая Samsung, NVIDIA, Siemens и др.

Согласно имеющимся данным, специалисты AnyDesk обнаружили взлом после выявления подозрительной активности во внутренних системах компании. Проведя аудит безопасности, они определили, что внутренние системы были скомпрометированы неизвестными. Для расследования инцидента были привлечены специалисты компании CrowdStrike, работающей в сфере информационной безопасности.

В компании подтвердили, что хакерская атака не связана с вымогательским программным обеспечением. AnyDesk не предоставила подробную информацию об инциденте, упомянув лишь о том, что были взломаны внутренние серверы. Компания уже отозвала все связанные с безопасностью сертификаты, а также восстановила затронутые инцидентом системы.

Клиентов компании заверили в том, что использовать AnyDesk безопасно, и нет доказательств того, что инцидент затронул конечные пользовательские устройства. «Мы можем подтвердить, что ситуация находится под контролем, и использовать AnyDesk безопасно. Пожалуйста, убедитесь в том, что вы используете последнюю версию приложения с новым сертификатом подписи кода», — говорится в сообщении компании.

Хотя AnyDesk не уточнила подробности касательно инцидента, источник сообщил, что хакерам удалось похитить исходный код ПО и сертификаты для подписи кода. В заявлении компании отмечается, что злоумышленникам не удалось украсть токены аутентификации, но из соображений безопасности компания сбросила все пароли к своему веб-порталу, предложив пользователям их смену. В дополнение к этому AnyDesk уже начала заменять сертификаты подписи кода в своих продуктах.

Австралийский портал Cyber Daily сообщил, что разработчики Marvel’s Spider-Man 2 и грядущей Marvel’s Wolverine из принадлежащей Sony Interactive Entertainment американской студии Insomniac Games стали жертвами хакерской атаки.

Источник изображения: X (thefrostysm)

О взломе Insomniac Games сообщили злоумышленники из группировки Rhysida. В качестве доказательства успешной операции оператор программ-вымогателей приложил изображение с некоторыми из добытых данных.

В числе украденных Rhysida материалов — личные данные и документы сотрудников Insomniac Games, включая одного бывшего, и актёра озвучения Юрия Ловенталя (Yuri Lowenthal), известного по роли Питера Паркера в дилогии Marvel’s Spider-Man.

Кроме того, злоумышленники завладели материалами по экшену Marvel’s Wolverine про Росомаху. На опубликованном Rhysida изображении (см. ниже) можно заметить несколько скриншотов и концепт-артов из будущей игры.

Источник изображения: Cyber Daily

Как передаёт Cyber Daily, Rhysida дала Insomniac семь дней перед тем, как опубликует украденные данные целиком, а пока устроила аукцион для потенциальных покупателей. Стартовая цена — 50 биткоинов, что чуть меньше $2,1 млн.

«Не упустите возможность сделать ставку на эксклюзивные, уникальные и впечатляющие данные. Откройте свои кошельки и будьте готовы купить эксклюзивные данные», — агитирует Rhysida.

Rhysida начала свою деятельность в мае текущего года и, как докладывает Gizmodo, совершила кибератаки более чем на 60 компаний, включая национальную Британскую библиотеку и лондонскую больницу короля Эдуарда VII.

Министерство государственной безопасности КНР на этой неделе со страниц популярной в стране площадки WeChat заявило, что серверы компании Huawei Technologies подвергались постоянным кибератакам с целью получения доступа к чувствительной информации со стороны спецслужб США с 2009 года. Китайские чиновники также утверждают, что программное обеспечение крупных зарубежных компаний содержит «лазейки» для спецслужб, позволяющие последним похищать данные из Китая и России.

Источник изображения: Huawei Technologies

Попытки спецслужб США вести разведывательную деятельность с проникновением на серверы Huawei Technologies регистрируются китайскими специалистами с 2009 года, как утверждается в сообщении. Расследуя последствия кибератаки на сеть одного из китайских университетов в прошлом году, эксперты ИБ-компании Qihoo 360 обнаружили вирусную программу Second Date, которая могла быть внедрена американскими спецслужбами с целью слежения за сетями передачи информации во многих странах мира. Об использовании Second Date для атаки на серверы Huawei специалисты Qihoo 360 при этом ничего не сообщили.

Власти США, по данным китайских чиновников, имеют доступ к десяткам тысяч устройств по всему миру и незаконно завладели огромными объёмами ценной информации. Законодательство КНР в последнее время ужесточило наказание за промышленный шпионаж, но деятельность американских спецслужб не может эффективно преследоваться в сфере китайской юрисдикции. По всей видимости, недавно ставшая предметом обсуждения инициатива по запрету на использование смартфонов Apple iPhone китайскими государственными служащими направлена на борьбу с информационными утечками, но официально власти КНР введение каких-либо запретов в этой сфере пока отрицают.

Попытки модификации бортового программного обеспечения электромобилей Tesla предпринимались энтузиастами и ранее, но если они базировались сугубо на программных методах, то результаты были недолговечными из-за способности компании откатить изменения после обновления системы. Теперь же найден способ контролировать доступ почти ко всем настройкам бортовой системы Tesla, не опасаясь блокировки со стороны автопроизводителя.

Источник изображения: Tesla

Своими находками в этой сфере, как сообщает DARKReading, на конференции Black Hat USA на следующей неделе собирается поделиться группа исследователей, объединяющая представителей Берлинского технического университета и независимого эксперта Олега Дрокина. Авторы исследования обнаружили способ аппаратной модификации центрального компьютера электромобилей Tesla, построенного на процессорах AMD, который даёт долгосрочный доступ не только к управлению большинством программных функций бортовой системы, но и ключам шифрования. Последний аспект означает, что злоумышленник сможет перенести профиль пользователя с одного электромобиля на другой.

В бытовом применении это означает, что у автовладельцев появится возможность приобретать «с рук» бывшие в употреблении бортовые компьютеры Tesla с целью их дальнейшего применения на своей машине. В этом случае пользователь при помощи независимых специалистов получит возможность перенести все настройки со своего электромобиля на вновь устанавливаемый компьютер с «донорского» транспортного средства. Обращение к штатным специалистам Tesla с таким вопросом обычно требует расходов в несколько тысяч долларов, а подержанный бортовой компьютер на аукционе можно купить за $200 или $400. Электроника способна страдать при авариях и наводнениях, поэтому подобные замены не так уж редки.

Как поясняет источник, метод взлома бортового ПК электромобилей Tesla построен на аппаратной модификации печатной платы, на которой установлен процессор AMD со встроенным сопроцессором ASP, отвечающим за информационную безопасность. Хакеру для получения контроля над системой нужно подпаять к исходной печатной плате специальное устройство для разработчиков и применить программатор SPI, чтобы получить доступ к шифруемым сопроцессором данным и непосредственно ключам шифрования. После модификации злоумышленник получает возможность запускать любое ПО, использовать данные клиента Tesla по своему усмотрению, а также активировать платные опции без каких-либо затрат, включая по своему желанию подогрев сидений или активируя автопилот, например.

Метод взлома позволяет снимать ограничения, диктуемые Tesla по географическому признаку. Например, можно активировать фирменную навигацию в тех странах, где она официально работать не должна, то же самое можно проделать и с бета-версией FSD — системой активной помощи водителю, которая выполняет за него почти все функции. Важно, что заблокировать эти изменения программным образом Tesla больше не сможет после проведённых манипуляций, поскольку права доступа при этом не изменятся даже после многократных обновлений системы. Фактически, чтобы восстановить контроль автопроизводителя над бортовой системой, нужно будет выпаять центральный процессор и заменить его на новый. Теоретически, как утверждают авторы исследования, можно создать готовый модуль для модификации бортовой системы Tesla, но навыки работы с паяльником для его подключения всё равно потребуются. При всём этом, как отмечают авторы доклада, с точки зрения информационной безопасности электромобили Tesla всё равно на голову выше большинства других транспортных средств, предлагаемых на рынке.