Новая атака BadPower ставит под угрозу сотни миллионов устройств
Недавно сразу несколько компаний анонсировали решения мощностью 100–125 Вт, которые способны полностью зарядить смартфон за пару десятков минут. Из отчёта специалистов следует , что сотни миллионов гаджетов уязвимы перед атакой злоумышленников под названием BadPower. Лаборатория Xuanwu Lab протестировала 35 адаптеров питания, внешних аккумуляторов и других устройств, которые присутствуют сейчас на рынке. У 18 из них обнаружились проблемы с безопасностью, воспользовавшись которыми, хакеры могут инициировать подачу избыточного напряжения на смартфон, планшет или ноутбук. В лучшем случае это приведёт к выходу оборудования из строя, в худшем — к возгоранию и даже нанесению вреда здоровью находящихся рядом людей. Взломать устройство можно как при непосредственном доступе к устройству с помощью специального устройства, так и так и удалённо — через подключенный к нему скомпрометированный гаджет. Последний способ используется злоумышленниками чаще, тем более что 11 из 18 уязвимых устройств позволяют обойтись без непосредственного контакта. Причём не важно, о какой технологии быстрой зарядки идёт речь. Важно то, разрешена ли в принципе перезапись микрокода в чипе адаптера питания через USB-порт, или хотя бы надёжно ли проверяется подлинность прошивки. К сожалению, результаты исследования Xuanwu Lab оказались неутешительными: около 60 % применяемых в быстрых зарядных устройствах контроллеров позволяют свободно обновить микрокод через USB-порт. Лаборатория Tencent Security Xuanwu Lab уже сообщила о результатах своего исследования соответствующим организациям-регуляторам в Китае, а также взаимодействует с производителями электроники для принятия мер по борьбе с BadPower. Специалисты отмечают, что в большинстве случаев для устранения уязвимости достаточно будет обновить прошивку зарядного устройства.
Ботнет Emotet возобновил активность спустя пять месяцев перерыва
Один из крупнейших и наиболее опасных вредоносных ботнетов Emotet вернулся после пятимесячного перерыва с масштабной кампанией по рассылке вредоносного спама с целью установки вымогателей, банковских троянов и прочих вредоносов. Операторы ботнета отправили 250 тыс. сообщений в течение дня, в основном пользователям в США, Великобритании, на Ближнем Востоке, в Южной Америке и Африке. Как и в предыдущих вредоносных кампаниях, электронные письма содержали вредоносный документ Microsoft Word, файлы PDF или URL-адреса. Вредоносные вложения содержат макросы, которые при активации устанавливают бэкдор. Операторы вредоноса обычно ждут несколько дней, прежде чем устанавливать последующее вредоносное ПО, такое как банковский троян TrickBot или вымогатель Ryuk. Emotet ранее был известен как банковский троян, но потом изменил курс и превратился в ботсеть, распространяя различные виды вымогательского ПО. Сейчас Emotet является одной из самых опасных в мире угроз. Сеть используется для распространения банковского трояна Trickbot и вымогателей Ryuk. Такая комбинация вредоносов получила название «тройная угроза» и использовалась в рамках атак на государственные администрации в США в июле 2019 года.
Производитель банкоматов Diebold Nixdorf обнаружил новую форму атак в Восточной Европе
Специалисты Diebold Nixdorf предупредили о новой вариации black box атак на банкоматы, которую начали применять злоумышленники в Бельгии. Black box атаки представляют собой разновидностью джекпоттинговых (jackpotting) атак, во время которых киберпреступники буквально заставляют банкомат выплевывать деньги. Такая атака может быть выполнена с помощью вредоносного ПО, установленного в банкомате, или с помощью «черного ящика». Этим термином обычно обозначают ноутбук или устройство на базе одноплатного микрокомпьютера, которое используется для подключения к внутренним компонентам банкомата (для доступа к портам, проводке и прочему преступники обычно разбирают корпус или вырезают в нем отверстие). Подключившись к машине, злоумышленники попросту отдают банкомату команду на «высвобождение» наличных из кассет, в которых те хранятся. Diebold Nixdorf пишет, что пока новые атаки применяются только против банкоматов ProCash 2050xe, к которым злоумышленники подключаются через порты USB. Компания объясняет: «Во время недавних инцидентов злоумышленники сосредоточили свои усилия на уличных системах. Они разрушают части лицевой панели, чтобы получить физический доступ к главному отделению. Затем они отсоединяют USB-кабель, соединяющий диспенсер CMD-V4 и специальную электронику, или кабель межу специальной электроникой и компьютером банкомата. Этот кабель подключается к “черному ящику” злоумышленников для отправки команд на выдачу наличных». Но не это само по себе привлекло внимание специалистов. Дело в том, что обычно для взаимодействия с компонентами банкомата злоумышленники используют малварь или собственный код, но теперь хакеры, похоже, заполучили копию легитимного ПО (прошивки) банкоматов, которое они установили на «черный ящик» и использовали для взаимодействия с машинами. Пока расследование инцидентов еще продолжается, но в Diebold Nixdorf считают, что хакеры могли подключиться к какому-то банкомату и обнаружить, что его ПО хранилось на незашифрованном жестком диске. Издание ZDNet ссылается на собственные источники в банковской сфере и сообщает, что предупреждение, опубликованное производителем, напрямую связано с расследованием ряда джекпоттинговых атак, произошедших в Бельгии в июне-июле 2020 года. Эти атаки (два случая странного джекпоттинга) вынудили бельгийский банк Argenta приостановить работу 143 банкоматов. Причем местные СМИ писали, что были атакованы исключительно устройства Diebold Nixdorf. Специалист по банковскому фроду из компании Telefonica, Мануэль Пинтаг (Manuel Pintag), сообщил журналистам, что такой метод взлома банкоматов в целом не уникален, хотя ранее он встречался не в странах Европы, а в Латинской Америке.
В США доставлен кипрский «SEO-хакер»
В США был экстрадирован гражданин Кипра по обвинению во взломе портала для подачи жалоб Ripoff Report, вымогательстве и продажи доступа к его серверу третьим лицам. Как сообщает пресс-служба Министерства юстиции США, 21-летний житель Никосии (Кипр) Джошуа Поллосо Эпифаниу был доставлен в Нью-Йорк на прошлой неделе и предстанет перед судом Северного округа штата Джорджия в понедельник, 20 июля, для официального предъявления обвинений. Ripoff Report – коммерческий сайт, позволяющий любому человеку старше 14 лет публиковать жалобы на компании, сервисы и отдельных лиц. Эти жалобы индексируются поисковыми системами и попадают в поисковую выдачу, что может плохо отразиться на репутации компаний. Как было установлено сотрудниками правоохранительных органов США, в октябре 2016 года с помощью брутфорс-атаки Эпифаниу получил доступ к учетной записи одного из сотрудников Ripoff Report. Согласно судебным материалам, в то время обвиняемый работал в неназванной SEO-компании и занимался удалением с сайта Ripoff Report жалоб на ее клиентов. Вместе с сообщником Эпифаниу удалил из базы данных ROR как минимум 100 жалоб, взяв с клиентов SEO-компании от $3000 до $5000 за удаление каждой. Когда кипрский банк заблокировал денежные переводы на его счет, обвиняемый вместе с подельником организовал выдачу SEO-компанией накладных задним числом с целью оправдать получаемые им платежи. Схема дала сбой в ноябре 2016 года, когда Эпифаниу написал главе Ripoff Report электронное письмо с требованием в течение 48 часов заплатить ему $90000, пригрозив в противном случае опубликовать базу данных сайта в открытом доступе. Не получив ответа, на следующий день Эпифаниу прислал видео, демонстрирующее, как он получает доступ к учетной записи главы Ripoff Report. Хотя Минюст США не раскрывает личность сообщника Эпифаниу, по данным журналистов Fox 11, им является основатель калифорнийской управляющей компании с хорошей репутацией Submit Express Пьер Зарокян (Pierre Zarokian). Зарокян был арестован в 2018 году и признал свою вину в начале текущего года.
В Конгрессе США готовится закон против «русских хакеров»
Лидер республиканцев в Палате представителей Конгресса США Кевин Маккарти готовит законопроект против «русских хакеров». Об этом конгрессмен сообщил на свое странице в Twitter в пятницу, 17 июля. Маккарти заявил о подготовке законопроекта после того, как США, Канада и Великобритания обвинили Россию в попытке похитить данные о вакцине против коронавируса. Как ранее сообщал SecurityLab, киберпреступная группировка APT29 (Cozy Bear), связываемая правительствами некоторых стран со Службой внешней разведки РФ, атаковала фармакологические компании в США, Канаде и Великобритании, занимающиеся разработкой и тестированием вакцины против COVID-19. В своем твите Маккарти обвинил Россию в попытках «ослабить ответные меры против пандемии». По словам конгрессмена, уже в ближайшие дни он представит проект закона, который обеспечит возможность «призвать русских хакеров к ответу». Россия отрицает какие-либо обвинения в свою сторону. В частности, как заявил пресс-секретарь президента РФ Дмитрий Песков, в Москве не знают, кто может стоять за хакерскими атаками, и не имеют к ним никакого отношения.
