Про взлом Киевстара
The attack wiped "almost everything", including thousands of virtual servers and PCs, he said, describing it as probably the first example of a destructive cyberattack that "completely destroyed the core of a telecoms operator."
During its investigation, the SBU found the hackers probably attempted to penetrate Kyivstar in March or earlier, he said in a Zoom interview on Dec. 27.
https://www.reuters.com/world/europe/russian-hackers-were-inside-ukraine-telecoms-giant-months-cyber-spy-chief-2024-01-04/
интересная тема про экплойт, позволяющий "оживлять" протухшие куки Google и получать доступ к аккаунту, даже если пользователь изменил пароль
https://www.infostealers.com/article/the-0-day-all-infostealer-groups-are-exploiting/
DeputyDog/breaking-through-the-infostealer-exploit-and-the-enigma-of-cookie-restoration-e03e6e3cda50" rel="nofollow">https://medium.com/@DeputyDog/breaking-through-the-infostealer-exploit-and-the-enigma-of-cookie-restoration-e03e6e3cda50
Специалисты ЛК рассказывают об «операции триангуляция», где последовательность из 4 уязвимостей нулевого дня в iOS позволяла создать эксплойт, не требовавший участия пользователя:
• Attackers send a malicious iMessage attachment, which the application processes without showing any signs to the user.
• This attachment exploits the remote code execution vulnerability CVE-2023-41990 in the undocumented, Apple-only ADJUST TrueType font instruction. This instruction had existed since the early nineties before a patch removed it.
• It uses return/jump oriented programming and multiple stages written in the NSExpression/NSPredicate query language, patching the JavaScriptCore library environment to execute a privilege escalation exploit written in JavaScript.
• This JavaScript exploit is obfuscated to make it completely unreadable and to minimize its size. Still, it has around 11,000 lines of code, which are mainly dedicated to JavaScriptCore and kernel memory parsing and manipulation.
• It exploits the JavaScriptCore debugging feature DollarVM ($vm) to gain the ability to manipulate JavaScriptCore’s memory from the script and execute native API functions.
• It was designed to support both old and new iPhones and included a Pointer Authentication Code (PAC) bypass for exploitation of recent models.
• It uses the integer overflow vulnerability CVE-2023-32434 in XNU’s memory mapping syscalls (mach_make_memory_entry and vm_map) to obtain read/write access to the entire physical memory of the device at user level.
• It uses hardware memory-mapped I/O (MMIO) registers to bypass the Page Protection Layer (PPL). This was mitigated as CVE-2023-38606.
• After exploiting all the vulnerabilities, the JavaScript exploit can do whatever it wants to the device including running spyware, but the attackers chose to: (a) launch the IMAgent process and inject a payload that clears the exploitation artefacts from the device; (b) run a Safari process in invisible mode and forward it to a web page with the next stage.
• The web page has a script that verifies the victim and, if the checks pass, receives the next stage: the Safari exploit.
• The Safari exploit uses CVE-2023-32435 to execute a shellcode.
• The shellcode executes another kernel exploit in the form of a Mach object file. It uses the same vulnerabilities: CVE-2023-32434 and CVE-2023-38606. It is also massive in terms of size and functionality, but completely different from the kernel exploit written in JavaScript. Certain parts related to exploitation of the above-mentioned vulnerabilities are all that the two share. Still, most of its code is also dedicated to parsing and manipulation of the kernel memory. It contains various post-exploitation utilities, which are mostly unused.
• The exploit obtains root privileges and proceeds to execute other stages, which load spyware. We covered these stages in our previous posts.
https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/
Исходники GTA5 выложили в интернете. В архиве можно найти картинки не только из ГТА, но и из других, в том числе невыпущенных игр
https://rockstarintel.com/gta-v-source-code-leaked-gta-6-files/
Если устанавливать дешевые камеры с подключением в интернет в спальне, то рано или поздно записи с этих камер окажутся в интернете
https://e.vnexpress.net/news/crime/thousands-of-private-camera-footages-from-bedrooms-hacked-sold-online-4688865.html
Ух
Data scraped from the servers for Apple's TestFlight service circa 2012 to 2015 have been leaked, giving access to tens of thousands of iOS apps and games.
https://www.eurogamer.net/apple-testflight-servers-from-2012-to-2015-leak-containing-terabytes-of-data
PS вряд ли там будет что-то реально ценное на сегодняшний день, учитывая смену архитектуры и прогресс с того времени, но приколы типа «невыпущенная игра Ровио» будут еще встречаться, видимо
теперь вместо секретной госпрограммы о передаче информации о пуш-уведомлениях Apple будет требовать судебный ордер или ордер об обыске — которые требуют подписи судьи.
https://www.documentcloud.org/documents/24219266-apple-law-enforcement-guidelines-updated-december-2023#document/p19/a2415172
прекрасная история про польский поезд, в котором есть компания производитель, установившая, по сути, некий DRM на ПО для поезда, чтобы предотвратить ремонт третьими сторонами, и польские хакеры, которые взломали этот самый ДРМ после того, как их наняли "починить" ПО. если я правильно понял цепочку, то компания-оператор поездов чинила их силами своих подрядчиков, после чего поезда переставали ездить (брикались). Из последних сил компания наняла хакеров, которые заглянули в софт и нашли закладки, блокирующие работу поездов при стороннем ремонте. Теперь компания-производитель поездов хочет подать в суд на этих хакеров.
https://gizmodo.com/hackers-hit-with-legal-threats-after-they-fixed-a-brick-1851097424
еще утром читатель присылал новость, что в Украине после кибератаки прилёг оператор Киевстар
https://www.veon.com/newsroom/press-releases/veon-backs-uzbekistan-bid-to-become-central-asia-it-hub-1
https://www.bleepingcomputer.com/news/security/ukraines-largest-mobile-carrier-kyivstar-down-following-cyberattack/
красивое название у уязвимости (точнее, набора из 14) — 5Ghoul. Уязвимость в 5G модемах Qualcomm и MediaTek, которая затрагивает сотни смартфонов на Android и iOS, и другие устройства. основной результат эксплуатации — denial of service, то есть невозможность использовать 5G. Иногда - ребут модема.
https://asset-group.github.io/disclosures/5ghoul/
Читатель прислал письмо, которое получил. Взломали Bangkok Airways, унесли данные участников программы по накоплению миль, включая имена, адреса, телефоны, явки…
Читать полностью…I dug into the terms of Binance's settlement with feds. The world's biggest crypto exchange is about to open its database of transaction records to US regulators/law enforcement for a "24/7, 365-days-a-year financial colonoscopy."
https://bsky.app/profile/agreenberg.bsky.social/post/3kfvkdgf2bi24
noellemitchell/111689747161147289" rel="nofollow">https://mstdn.social/@noellemitchell/111689747161147289
Читать полностью…подборка самых крупных кибератак прошедшего года
https://www.bleepingcomputer.com/news/security/the-biggest-cybersecurity-and-cyberattack-stories-of-2023/
Кстати, вроде как Ubisoft тоже взломали на 900ГБ
https://www.xfire.com/ubisoft-confirms-new-security-breach/
Срочный патч у Barracuda по исправлению zero day, активно эксплуатируемой китайской хакерской группировкой
https://www.bleepingcomputer.com/news/security/barracuda-fixes-new-esg-zero-day-exploited-by-chinese-hackers/
Не знаю чем там закончилась история со «взломом» налоговой службы в россии, но теперь вот еще утверждается про взлом росводоканала
https://newsukraine.rbc.ua/news/ukrainian-hackers-breach-rosvodokanal-seize-1703107044.html
утечка данных в моей больнице, благодаря MOVEit. "извините, мы не виноваты, но лучшее, что мы можем сделать — это год мониторинга ваших данных"
"The following types of your information may have impacted: your name and MRN/patient ID, date of birth, health insurance information, provider name, treatment cost information, and treatment information/diagnosis."
DTF: Утекли данные про продажи видеоигр Sony
– Студия Insomniac Games допустила крупную утечку данных
– Среди файлов утечки были данные про продажи игр Sony
– Например, продажи Bloodborne составили 7,4+ млн копий
– Продажи Ghost of Tsushima превысили тоже 7,4 млн копий
– Игра The Last of Us Remastered разошлась на 18,2 млн копий
@ftsec x 300.ya.ru
MongoDB is actively investigating a security incident involving unauthorized access to certain MongoDB corporate systems, which includes exposure of customer account metadata and contact information. We detected suspicious activity on Wednesday (Dec. 13th, 2023) evening US Eastern Standard Time, immediately activated our incident response process, and believe that this unauthorized access has been going on for some period of time before discovery. At this time, we are not aware of any exposure to the data that customers store in MongoDB Atlas. Nevertheless, we recommend that customers be vigilant for social engineering and phishing attacks, activate phishing-resistant multi-factor authentication (MFA), and regularly rotate their MongoDB Atlas passwords. MongoDB will update this alert page with additional information as we continue to investigate the matter.
https://www.mongodb.com/alerts
Oh no, компания, которая заявила, что может активно слушать разговоры пользователей вокруг различных устройств, спиздела, вот это неожиданность:
The company added that it does not "listen to any conversations or have access to anything beyond a third-party aggregated, anonymized and fully encrypted data set that can be used for ad placement" and "regret[s] any confusion."
Но любителей теорий заговоров разве это остановит? «А может это рептилоиды заставили теперь их опровергнуть это утверждение??? ТЫ ПОДУМАЛ ОБ ЭТОМ???»
https://arstechnica.com/gadgets/2023/12/no-a-marketing-firm-isnt-tapping-your-device-to-hear-private-conversations/
Psychedelic cryptography is a way of concealing messages (normally in videos) so that only people who’ve taken LSD can receive the messages.
Такая криптография нам нравится
https://qri.org/blog/psycrypto-contest
ну и чтобы два раза не вставать — декабрьский патч-вторник у Microsoft, 36 уязвимостей, 4 из которых — критические
https://msrc.microsoft.com/update-guide/en-us/releaseNote/2023-Dec
прикольную фичу по безопасности выкатила Apple в новой бете iOS. Она призвана бороться с кражей айфонов, когда вор по какой-то причине знает пароль к устройству (подсмотрел, например). Активировав эту фичу, пользователь получит более защищенное устройство: айфон потребует отпечаток пальца или скан лица при попытке просмотреть пароли или сбросить к заводским настройкам, выключить режим потерянного устройства, просмотреть платежные средства. И можно сделать так, что смена пароля Apple ID будет возможна только в часто посещаемых локациях: дом, офис, тд.
https://www.theverge.com/2023/12/12/23998665/apple-stolen-device-protection-face-touch-id-icloud-account-vulnerability-ios-17-3-beta
у Apple сегодня вышли апдейты iOS/iPadOS/macOS и тд, и как обычно, там есть и улучшения безопасности
например, iOS 17.2 исправляет 10 различных уязвимостей. Но хорошие новости, например, что ни одна из них, похоже, не была zero day с активной эксплуатацией.
https://support.apple.com/en-us/HT214035
"Департамент СМИ и рекламы Москвы запретил владельцам билбордов размещать рекламу с QR-кодами
Это произошло после того, как вчера ФБК разместил в столице, а также Петербурге и Новосибирске билборды, на которых QR-код, изначально отсылавший на нейтральный сайт, в итоге путем редиректа перенаправлял на сайт антипутинской кампании."
это очень смешно, а также нет :)
Atlassian молодцы, на 9 из 10 (в смысле, по критичности уязвимостей)
• CVE-2023-22522: Template injection flaw allowing authenticated users, including those with anonymous access, to inject unsafe input into a Confluence page (critical, with a 9.0 severity score). The flaw impacts all Confluence Data Center and Server versions after 4.0.0 and up to 8.5.3.
• CVE-2023-22523: Privileged RCE in Assets Discovery agent impacting Jira Service Management Cloud, Server, and Data Center (critical, with a 9.8 severity score). Vulnerable Asset Discovery versions are anything below 3.2.0 for Cloud and 6.2.0 for Data Center and Server.
• CVE-2023-22524: Bypass of blocklist and macOS Gatekeeper on the companion app for Confluence Server and Data Center for macOS, impacting all versions of the app prior to 2.0.0 (critical, with a 9.6 severity score).
• CVE-2022-1471: RCE in SnakeYAML library impacting multiple versions of Jira, Bitbucket, and Confluence products (critical, with a 9.8 severity score).