Журнал Bild опубликовал сегодня (статья на немецком) материал о взломе, который затрагивает различных публичных людей в Германии. Частная переписка, адреса электронной почты, контрактная информация, включая мобильные номера телефонов, а также финансовая информация на сотни политиков была опубликована в Твиттере (еще в декабре, но обратили на нее внимание только сейчас). Среди жертв утечки — канцлер Германии Ангела Меркель и президент республики Франк-Вальтер Штайнмайер. Также, кроме политиков, в материалы попала информация о журналистах, и даже популярных исполнителях.

Какой-либо системы в материалах не видно, поэтому не очень понятно, откуда появились эти данные. Объем материалов намекает на то, данные могли собираться на протяжении длительного времени, и там было потрачено немало усилий на их сбор. Кроме источника утечки (хотя главное подозрение падает на фишинг и последующую добычу информации из других онлайн-учеток), непонятна и цель публикации этих материалов, среди которых могут оказаться и вброшенные ненастоящие данные.

Вот еще материал на английском, если по немецки вы не verstehen.
https://www.theregister.co.uk/2019/01/04/germany_mass_hack_merkel/

Небольшая коллекция ссылок, накопившаяся за последние пару дней. Часть из ссылок прислана читателями, за что им спасибо!

1. Взлом и последующая утечка пользовательских данных компании BlankMediaGames, около 8,4 млн записей, включая адреса электронной почты и платежную информацию
https://blog.dehashed.com/town-of-salem-blankmediagames-hacked/

2. Хакер, рассылавший приветы от Pewdiepie на принтеры и Chromecast-устройства, срочно выпилился из интернета. Потому что после своих приколов он решил собрать денег на Patreon, что оказалось опасным для потенциального деанона
https://pastebin.com/pfX5p4ze

3. Новая израильская компания, специализирующаяся на киберопасности (фокус компании — продажа инструментов для агрессивного внедрения в компьютерные системы), называется Candiru (рыба-паразит, проникающая в тело человека через доступные отверстия, включая анус или пенис. брррррр)
https://www.haaretz.com/israel-news/business/.premium-top-secret-israeli-cyberattack-firm-revealed-1.6805950

4. Полезные советы, почему очень важно оберегать свой номер телефона (в штатах, например, перевод номера на другого оператора или другую СИМ-карту методом социальной инжинирии со службой поддержки — популярная тема, благодаря этому было украдено немало криптовалюты в прошлом году). Статья актуальна для США в первую очередь, но я рекомендую изучить со своими операторами возможность дополнительной защиты вашего номера от мошенничества.
https://techcrunch.com/2018/12/25/cybersecurity-101-guide-protect-phone-number/

5. First-Ever UEFI Rootkit Tied to Sednit APT
https://threatpost.com/uefi-rootkit-sednit/140420/

6. Biological One‐Way Functions for Secure Key Generation
https://onlinelibrary.wiley.com/doi/full/10.1002/adts.201800154

Последний выпуск в этом году, но в следующем году мы обязательно продолжим, потому что, как известно, информация опасносте!

Несколько ссылок на почитать в новом году (а то у вас поди уже оливье, вот это все):

1. Вирусная атака на издательские системы компании Tribune System, которая издает и распространяет на западном побережье США сразу нескольких крупных газет в США — LA Times, WSJ, NYT. Технические детали атаки неизвестны, но представители уже заявили, что “атака из-за рубежа”. Я не удивлюсь, если окажется, как с московской канатной дорогой, что кто-то не поставил важный апдейт, и какой-то очередной WannaCry пробрался в сеть
https://www.latimes.com/local/lanow/la-me-ln-times-delivery-disruption-20181229-story.html

2. Когда-то в прошлом, когда смартфоны были маленькими… В смысле, когда они были не сильно распространены, у Twitter была фича “отправить твит по SMS”. Если отправить твит с номера телефона, привязанного к аккаунту, то твит опубликуется в ленте. Компания INSINIA SECURITY продемонстрировала, что уязвимость в Twitter, позволяющая публиковать твиты в чужих аккаунтах с помощью спуфинга номера телефона, по-прежнему существует, несмотря на утверждения Twitter, что уязвимость была исправлена. Спорный момент в том, что компания решила продемонстрировать это, опубликовав твиты в аккаунтах различных известных личностей.
Пост компании
О постах в аккаунтах селебритис (и рассуждения о том, нарушает ли это закон)

3. Презентация с проходившей в Германии конференции 35c3 об истории джейлбрейка iOS. Очень познавательно и будет интересно тем, кто пользуется айфоном с самого начала, когда без джейлбрейка вообще мало что можно было сделать
https://api.tihmstar.net/35c3slides.pdf

4. Европейский Союз объявил о том, что будет выплачивать премию за обнаружение уяюзвимостей в популярных проектах с открытым исходным кодом, включая KeePass, 7-zip, VLC, Drupal и FileZilla
https://juliareda.eu/2018/12/eu-fossa-bug-bounties/

Интереснейшая статья о spear-phishing атаках иранских хакеров, близких к Islamic Revolutionary Guard Corps (IRGC) против активистов, журналистов и представителей госорганов США. Интересная она прежде всего тем, что в атаках применялись методики, позволяющие обходить двухфакторную аутентификацию, установленную пользователями на учетных записях Gmail и Yahoo. Если вкратце, то нападающие злоумышленники мониторили с помощью встроенного в письма невидимого изображения открытие письма (поскольку атака была направлена на конкретного человека, это облегчало мониторинг). Если жертва повелась на полученное письмо, и начинала вход путем ввода логина и пароля, то при вводе пароля в фейковую страницу нападающие тут же получали логин и пароль. Они тут же вводили полученные реквизиты учетной записи в настоящую страницу. Если при логине показывался запрос на двухфакторную аутентификацию, атакующие тут же перенаправляли жертву на такую же, но фейковую страницу для ввода одноразового пароля, и после этого перехватывали и вводили у себя полученный одноразовый код.

В статье говорится, что были зафиксированы методы успешного фишинга в случае с 2FA кодами, полученными жертвами по SMS. Особенно помогало успешности атак то, что страницы постились на sites.google.com, и использовали адреса notifications.mailservices@gmail.com и noreply.customermails@gmail.com, что для большинства пользователей выглядит достаточно убедительно. Подтвержденных случаев успеха с 2FA-кодами из аутентификационных приложений вроде как нет, по словам Certfa Lab, но, судя по схеме, ничего не мешает в случае такой атаки перехватить и их. В реальности от таких направленных атак могут защитить только аппаратные ключи безопасности (вот как это работает для Google). Большинству читателей канала, наверно, пока не стоит беспокоиться, вряд ли вы или я станем целью такой направленной атаки, но меня беспокоит то, что этот механизм вполне может быть автоматизирован в будущем, и тогда без ключа будет уже никуда. Chrome поддерживает ключи уже давно, Safari скоро тоже подтянется, а если вы действительно беспокоитесь о безопасности своего почтового аккаунта Gmail, рассмотрите вариант с Advanced Protection Program.

Первоисточник с огромным количеством деталей об атаках:
https://blog.certfa.com/posts/the-return-of-the-charming-kitten/

Забавно, что статья называется “Возвращение очаровательных котят”, потому что методика и сервера, использованные для атаки, очень похожи на деятельность хакерской группировки Charming Kittens, и авторы расследования делают вывод, что это они и есть. Хорошее название у группировки.