Специалистам компании «Лаборатория Касперского» удалось выявить киберпреступную группировку, предположительно связанную со Службой государственной безопасности Узбекистана, благодаря ошибкам, допущенным участниками подразделения, получившего название SandCat, при обеспечении собственной операционной безопасности. В частности, исследователи обнаружили ряд эксплоитов, используемых группировкой, а также вредоносное ПО, находящееся в процессе разработки, пишет издание Motherboard Vice.
Одна из сомнительных практик включала использование «названия военного подразделения, связанного с СГБ» для регистрации домена, задействованного в атаках. Кроме того, участники SandCat установили на компьютер, где разрабатывался новый вредонос, антивирус производства ЛК, что позволило экспертам обнаружить вредоносный код на стадии его создания. Еще одну ошибку группировка допустила, встроив скриншот с одного из компьютеров в тестовый файл, тем самым раскрыв крупную платформу для атак, которая находилась в разработке. Благодаря всем этим недочетам специалистам удалось выявить четыре эксплоита для уязвимостей нулевого дня, приобретенных SandCat у сторонних брокеров, а также отследить активность не только данной группировки, но и других хакерских групп в Саудовской Аравии и Объединенных Арабских Эмиратах, использующих те же эксплоиты.
В ходе проведенного исследования специалисты выявили, что IP-адреса машин, используемых для тестирования вредоносного ПО, связаны с доменом itt.uz, зарегистрированным на военную часть 02616 из Ташкента. Более того, с тех же компьютеров SandCat загружала образцы вредоносов на Virus Total.
Впервые эксперты ЛК выявили следы активности SandCat еще в 2018 году, однако в то время у них не было оснований предполагать связь группировки с СГБ. В своих операциях SandCat применяла вредонос под названием Chainshot, который также использовался группировками из Саудовской Аравии и ОАЭ. Однако в атаках SandCat была задействована другая инфраструктура, на основании чего эксперты пришли к выводу, что речь идет о разных преступниках.
По мнению экспертов, SandCat приобретала эксплоиты для атак у двух израильских компаний — NSO Group и Candiru. Обе фирмы прекратили поставлять SandCat эксплоиты в 2018 году, в результате группировка занялась разработкой собственного вредоносного ПО.
«Эти парни [SandCat] существуют уже давно и до недавнего времени я никогда не слышал о наличии у Узбекистана кибервозможностей. Так что для меня было шоком узнать, что они покупают все эти эксплоиты и атакуют людей, и никто никогда не писал о них», — отметил специалист исследовательской команды ЛК Брайан Бартоломью (Brian Bartholomew).

Источник: https://www.securitylab.ru/news/501570.php

Хакер под ником Gnosticplayers рассказал о взломе нескольких приложений крупнейшего американского разработчика онлайн-игр Zynga Inc. По его словам, он получил доступ к данным 218 млн игроков. Утечка затронула всех пользователей Android и iOS, которые установили игру-головоломку Words With Friends и зарегистрировались в ней до 3 сентября этого года.
Взломщик поделился с изданием The Hacker News данными нескольких аккаунтов. Судя по этим образцам, к нему попали имена пользователей, адреса электронной почты, хэшированные пароли с солью, токены сброса паролей (если их сбрасывали), номера телефонов и Facebook ID (если были указаны при регистрации), а также идентификаторы аккаунта Zynga.
Gnosticplayers добавил, что ему также удалось похитить данные пользователей Draw Something и игры OMGPOP, которая уже не поддерживается производителем. По его словам, среди информации, к которой он получил доступ, были 7 млн паролей пользователей в незашифрованном виде.
12 сентября представители Zynga опубликовали официальное заявление об утечке данных из Words With Friends и Draw Something, но не раскрыли количество пострадавших пользователей. Они сообщили, что уже начали расследование и привлекли к нему сторонних специалистов и правоохранительные органы. Также разработчики предприняли шаги для защиты учетных записей пользователей, но призвали самих игроков проявить бдительность.
Zynga Inc — один из самых успешных разработчиков онлайн-игр с текущей рыночной капитализацией в более чем 5 млрд долларов. Компании принадлежат такие игры, как FarmVille, Words With Friends, Zynga Poker, Mafia Wars и Café World, насчитывающие миллиард пользователей по всему миру.
Эксперты по кибербезопасности не считают, что этот взлом игр принесет жертвам небывалый урон, но неоднозначно оценивают подход компании Zynga к защите данных.
Джавад Малик (Javvad Malik) из компании KnowBe4 отметил оперативную реакцию разработчика на инцидент, но заявил, что «в наши дни ни одна компания не должна хранить пароли в открытом доступе».
Илья Колоченко (Ilia Kolochenko), основатель и генеральный директор компании ImmuniWeb, не торопится делать выводы о масштабах атаки до окончания расследования, но уверен, что полученная информация «не даст злоумышленникам огромного пространства для маневра».
В марте этого года Gnosticplayers выставил на продажу похищенные данные 26 миллионов пользователей и объяснил это желанием проучить компании за наплевательское отношение к защите данных. «Столь низкий уровень безопасности в 2019 году меня просто бесит», — признался злоумышленник.

Источник: https://threatpost.ru/hacker-told-about-zynga-games-data-breach/34341/

Для мобильного клиента кроссплатформенного мессенджера Telegram выпущена версия 5.11, исправляющая уязвимость, которая позволяет получателю просматривать изображения или файлы даже после того, как они были удалены отправителем.
В марте Telegram реализовала новую функцию, которая позволяет пользователю удалить отправленное сообщение со всех устройств получателя. Она была добавлена в качестве дополнительного уровня конфиденциальности в случае, если файл, изображение или сообщение было отправлено случайно, или отправитель позже решил удалить его.
Исследователь безопасности Дхирадж Мишра (Dhiraj Mishra) обнаружил ошибку в протоколе Telegram MTProto, связанную с функцией удаления сообщений. Когда отправитель удаляет сообщение, изображение или файл из Telegram, оно удаляется из диалога как отправителя, так и получателя, но все равно останется на устройстве. Пользователи Android-устройств в данном случае по-прежнему смогут просматривать удаленные файлы.
Уязвимость затрагивает не только удаление мультимедийных файлов из отдельных диалогов, но также отправку файлов в супергруппу Telegram. Если пользователь отправил файл по ошибке в группу, а затем удалил его, то каждый член группы все равно сможет получить доступ к нему из файловой системы устройства. Мишра протестировал уязвимость только на версии Telegram для Android, но полагает, что проблема также может затрагивать релиз для iOS.
После сообщения об ошибке Telegram наградила исследователя выплатой в размере €2500.
Исследователь опубликовал видео с демонстрацией процесса эксплуатации уязвимости.

Источник: https://www.securitylab.ru/news/500920.php

Мобильные телефоны Samsung, Sony, Huawei и LG уязвимы для фишинговой атаки, в ходе которой злоумышленники могут изменить настройки устройства и направить пользовательский трафик через свой прокси.
Об этом сообщили специалисты Check Point, которые выяснили, что версии Android на смартфонах и планшетах указанных производителей плохо проверяют подлинность входящих сообщений с управляющими командами. Часть вендоров уже выпустила заплатки для описанных недостатков.
Как выяснили ИБ-аналитики, проблема заключалась в инструкциях стандарта OMA CP, применяемых для передачи сетевых настроек на группу устройств. Киберпреступники могли подделать эти команды и распространить на целевые устройства, которые приняли бы их без надлежащей проверки. В частности, злоумышленники могли отправить параметры собственного прокси-сервера, предназначенного для перехвата и изменения трафика.
Злоумышленники могут изменить ключевые настройки сети на Android-устройствах:
Конфигурация ОС Android не поддерживает использование OMA CP по умолчанию, однако некоторые сотовые операторы применяют этот протокол для доставки сетевых настроек абонентам. Киберпреступникам достаточно приобрести недорогой GSM-модем и соответствующее ПО для формирования посланий OMA CP, чтобы передать на уязвимые устройства следующие параметры:
Адрес сервера MMS-сообщений.
Адрес прокси-сервера.
URL домашней страницы браузера и список закладок
Адрес почтового узла.
Серверы каталогов для синхронизации контактов и календаря.
Исследователи сообщили, что мобильные телефоны Samsung вообще не содержали проверок легитимности входящих сообщений с инструкциями. Для передачи вредоносных посланий на устройства Sony, Huawei и LG злоумышленникам необходим IMSI-идентификатор абонента. Как подчеркивают ИБ-специалисты, этот номер, привязанный к SIM-карте пользователя, легко выяснить через специализированные сервисы или из баз слитых данных.
Аналитики сообщили производителям о выявленной проблеме. Разработчики Samsung и LG уже выпустили патчи для своих версий Android, а Huawei пообещала закрыть баг в прошивке следующего поколения смартфонов. Представители Sony не планируют исправлять уязвимость, поскольку считают, что работа их продуктов полностью соответствует спецификациям OMA CP.
В мае этого года ИБ-специалисты сообщили, что фишеры размещают на своих сайтах скрипты, имитирующие push-уведомления Android. Злоумышленники маскируют вредоносные ссылки в посланиях о якобы пропущенных звонках, рассчитывая, что пользователь не заметит подвоха и перейдет на вредоносный ресурс.

Источник: https://threatpost.ru/four-horsemen-of-traffic-highjacking-on-android/34001/

Исследователь безопасности компании Exodus Intelligence Иштван Куручай (Istvбn Kurucsai) обнаружил в одном из компонентов Chrome критическую уязвимость, позволяющую злоумышленникам выполнить вредоносный код непосредственно в браузере жертвы.
Проблема связана с JavaScript-движком V8 с открытым исходным кодом. Разработчики движка выпустили исправление еще в прошлом месяце, однако пользователи Chrome получат обновленную версию только сегодня, 10 сентября, с выходом Chrome 77. Подобные промежутки между выпуском патчей для компонентов с открытым исходным кодом и для ПО, где они используются, получили название «patch gap».
Такие «patch gap» представляют большую угрозу безопасности, поскольку дают злоумышленникам достаточно времени на подготовку эксплоита. По мнению Куручая, у киберпреступников было несколько недель на то, чтобы внимательно изучить журнал изменений V8, проанализировать патчи безопасности и разработать эксплоит, который можно применять в атаках на Chrome. Хотя создание эксплоитов для Chrome – задача не из самых легких, злоумышленник, обладающий хорошими навыками работы с JavaScript, вполне может с ней справиться.
Для того чтобы это доказать, Куручай опубликовал на GitHub PoC-эксплоит для уязвимости в V8, позволяющий запускать в браузере вредоносный код. Правда, для успешной атаки одного эксплоита недостаточно. Нужно также проэксплуатировать уязвимость обхода песочницы, но это не является проблемой, уверен исследователь. Злоумышленник может воспользоваться уже известной уязвимостью обхода песочницы в более старых версиях Chrome и атаковать пользователей, не обновляющих свой браузер.

Источник: https://www.securitylab.ru/news/500913.php