Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
- Дуров сообщил о полном доступе хакеров к содержимому телефонов через WhatsApp.
- Криптовалютные скамеры стали жертвами взломщиков Water Labbu.
- Сотни серверов Microsoft SQL атаковал бэкдор Maggie.
- Ритейлер DNS подтвердил утечку личных данных клиентов.
Дуров сообщил о полном доступе хакеров к содержимому телефонов через WhatsApp
Основатель Telegram Павел Дуров предупредил пользователей мессенджера WhatsApp о потенциальном доступе хакеров к содержимому их телефонов.
По его словам, это стало возможным из-за проблемы безопасности, обнаруженной разработчиками WhatsApp на прошлой неделе. Она позволяла хакерам запускать выполнение удаленного кода, отправляя жертве вредоносное видео или начиная видеозвонок в приложении.
Дуров подчеркнул, что обновление WhatsApp до последней версии не решает проблему, поскольку аналогичные уязвимости разработчики находили регулярно, начиная с 2017 года. До 2016 года в мессенджере вообще не было шифрования.
«Каждый год мы узнаем о какой-то проблеме в WhatsApp, которая ставит под угрозу все устройства пользователей. Это означает, что почти наверняка там уже существует новая брешь в системе безопасности. Такие проблемы вряд ли случайны — они заложены бэкдорами», – написал Дуров.
Основатель Telegram рекомендовал отказаться от использования WhatsApp, который, по его словам, «уже 13 лет является инструментом слежки».
Одновременно с этим корпорация Meta подала в суд на несколько китайских компаний за разработку и предположительное использование «неофициальных» приложений WhatsApp для Android для кражи более миллиона учетных записей, начиная с мая 2022 года.
Ритейлер DNS подтвердил утечку личных данных клиентов
1 октября Telegram-канал «Утечки информации» обнаружил в открытом доступе частичный дамп с 16,5 млн записей с данными покупателей сети магазинов бытовой техники и электроники DNS.
Он содержит:
- имя и фамилию (не для всех);
- адрес электронной почты (7,7 млн уникальных адресов);
- номер телефона (11,4 млн уникальных номеров);
- имя пользователя.
Частичный дамп получен не ранее 19 сентября. Его источником является автор сентябрьского слива базы данных клиентов интернет-магазина «Онлайн Трейд.Ру».
Помимо этого, в свободном доступе находится другой SQL-дамп DNS от 12 июня 2008 года. В нем можно найти в том числе хешированные пароли пользователей.
2 октября DNS подтвердил утечку личных данных клиентов и сотрудников. В компании не раскрыли количество пострадавших и характер попавшей в открытый доступ информации, уточнив только, что пароли и банковские карточки не были затронуты.
«Взлом производился с серверов, расположенных за пределами России. Мы уже нашли пробелы в защите нашей информационной инфраструктуры и ведем работы по усилению информационной безопасности в компании», – добавили в DNS.
Сейчас ритейлер проводит расследование и устраняет последствия атаки.
Сотни серверов Microsoft SQL атаковал бэкдор Maggie
Исследователи безопасности из DCSO CyTec обнаружили новую малварь Maggie, нацеленную на серверы Microsoft SQL.
MSSQL, meet Maggie!
— DCSO CyTec (@DCSO_CyTec) October 4, 2022
In our latest blog post, we analyze ‘Maggie’, a novel backdoor for MSSQL servers, implemented as an Extended Stored Procedure and only controlled using SQL queries.https://t.co/A6SQ3lLHPE
Она уже заразила сотни машин в Южной Корее, Индии, Вьетнаме, Китае, России, Таиланде, Германии и США.
Бэкдор маскируется под Extended Stored Procedure DLL (sqlmaggieAntiVirus_64.dll) с цифровой подписью компании DEEPSoft Co. Ltd, которая, судя по всему, базируется в Южной Корее.
Хакеры управляют Maggie с помощью SQL-запросов, позволяя ей вызывать системную информацию, запускать программы, взаимодействовать с файлами и папками, включать службы удаленного рабочего стола, запускать прокси-сервер SOCKS5 и настраивать переадресацию портов.
Вредонос также способен брутфорсить учетные данные администратора для проникновения на другие серверы Microsoft SQL.
Малварь имеет простую функцию перенаправления TCP, которая помогает злоумышленникам подключаться к любому IP-адресу, доступному зараженному серверу MS-SQL.
В настоящее время неясно, как именно хакеры используют Maggie после заражения, как малварь внедряется на серверы, и кто стоит за этими атаками.
Криптовалютные скамеры стали жертвами взломщиков Water Labbu
Хакерская группировка Water Labbu взломала сайты криптовалютных скамеров и похитила средства их жертв. Об этом сообщили эксперты Trend Micro.
В июле ФБР предупреждало о мошеннических dapps, которые крадут криптовалюты под видом майнинга ликвидности. Water Labbu внедряет на такие сайты вредоносные скрипты. Они отслеживают недавно подключенные Tether- и Ethereum-кошельки с балансом выше 22 000 USDT или 0,005 ETH соответственно.
Если жертва пользуется мобильным устройством, скрипт предлагает подтвердить транзакцию через сайт децентрализованного приложения, создавая впечатление, что тот пришел с самого мошеннического ресурса. Если запрос одобрен, все средства поступают на адрес операторов Water Labbu.
Для пользователей Windows взломанные сайты отображают поддельное уведомление о необходимости обновить Flash Player. Такой «установщик» на самом деле является бэкдором, загружаемым непосредственно с GitHub.
По оценкам Trend Micro, полученная Water Labbu прибыль составляет как минимум в $316 728 на основе записей о транзакциях девяти идентифицированных жертв.
Полиция Австралии арестовала решившего заработать на взломе Optus подростка
Австралийская федеральная полиция (AFP) арестовала 19-летнего жителя Сиднея по обвинению в использовании данных клиентов оператора связи Optus для вымогательства.
По данным ведомства, подросток рассылал SMS пострадавшим от сентябрьского взлома Optus с требованием в течение двух дней заплатить 2000 австралийских долларов ($1300). В противном случае он угрожал продать их персональные данные другим хакерам.
Для получения выкупа мошенник использовал счет в Commonwealth Bank of Australia. Банк предоставил полиции информацию о держателе.
В AFP утверждают, что арестованный молодой человек якобы отправил сообщения 93 клиентам Optus, чьи данные хакер опубликовал на интернет-форуме. Однако выкуп никто из них не заплатил.
Подростка обвиняют в шантаже и неправомерном использовании идентификационных данных. Ему грозит до 17 лет тюрьмы.
Стоящие за взломом Optus хакеры до сих пор не установлены, продолжается расследование.
Эксперты установили связь организаторов хакерских атак на 35 стран со спецслужбами
Неназванная элитная китайская группировка, связанная со спецслужбами, активизировала хищение конфиденциальных данных компаний и госучреждений по всему миру. Об этом пишет CNN со ссылкой на исследование консалтинговой компании PricewaterhouseCoopers (PwC).
Злоумышленники исследуют сети в поисках информации о внешней или торговой политике, но также используют криптовалютные мошенничества. Группу называют самой активной и влиятельной из всех, которых отслеживает PwC.
По словам экспертов, в течение 2022 года хакеры атаковали организации минимум в 35 странах. В США жертвами группировки стали правительственные учреждения, технологические компании и разработчики ПО. Подробностей о пострадавших аналитики не уточнили.
Исследователь PwC Крис Макконки ранее раскрывал кампании группировки, определяя предполагаемые местонахождения хакеров из Китая, Ирана и других стран.
Еще один эксперт Адам Кози, следивший за китайскими хакерами в ФБР с 2011 по 2013 год, говорил, что офицеры Народно-освободительной армии КНР проводили кибератаки на Тайвань. Он подчеркнул, что это является основным направлением деятельности Китая по дезинформации.
Также на ForkLog:
- Децентрализованная биржа Transit Swap потеряла $21 млн в результате атаки хакера.
- Взломщик Transit Swap отправил активы в Tornado Cash.
- Discord-сервер художника Beeple подвергся фишинговой атаке.
- Elliptic: более $4 млрд в криптовалютах отмыли через DEX и кроссчейн-свопы.
- В третьем квартале криптоиндустрия потеряла от взломов и скама $428 млн.
- Сеть Zcash подверглась спам-атаке.
- Команда BNB Chain восстановила работу сети после взлома на $100 млн.
- Celsius Network раскрыла детальные данные о транзакциях пользователей.
Что почитать на выходных?
В этом популярном материале рассказываем, как читать заблокированные ресурсы и оставаться на связи с близкими даже после полного отключения интернета.