Прошлый год продемонстрировал впечатляющее разнообразие атак на блокчейн-проекты. Хакеры находили способы извлечь выгоду как из уязвимостей смарт-контрактов, так и из ошибок пользователей. Ландшафт угроз оказался чрезвычайно разнообразным. Векторы атак варьировались от относительно простых методов, таких как фишинг и использование вредоносного программного обеспечения для компрометации устройств владельцев кошельков, до более сложных атак, требующих глубокого понимания работы блокчейн-протоколов, например эксплуатации ошибок reentrancy, и знания особенностей некоторых версий контрактов.

Меня зовут Елизавета, в настоящее время занимаюсь в Positive Technologies безопасностью блокчейна. В рамках этого обзора хочу познакомить вас с ключевыми трендами из мира безопасности web3 за 2024 год, расскажу про наиболее популярные методы и векторы атак, а также масштабы ущерба для индустрии.

В феврале специалисты группы киберразведки департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) обнаружили вредоносную кампанию, нацеленную на жителей стран Ближнего Востока и Северной Африки и активную с сентября 2024 года. Для распространения вредоносного ПО злоумышленники создают поддельные новостные группы в социальных сетях и публикуют посты с рекламой, содержащие ссылки на файлообменник или Telegram-канал. По этим ссылкам располагается вредонос AsyncRAT, модифицированное для поиска криптокошельков и взаимодействия с Telegram-ботом. Похожую кампанию в 2019 году описали эксперты из компании Check Point, но сейчас наблюдается изменение некоторых техник в цепочке атаки.

Подробное изучение инцидентов и жертв показало, что наиболее атакуемыми странами являются Египет, Ливия, ОАЭ, Россия, Саудовская Аравия и Турция. Мы назвали группировку Desert Dexter, в честь одного из подозреваемых. О том, какую цепочку атаки подготовили злоумышленники, рассказываем в статье.

В первом квартале 2024 года в поле зрения сотрудников департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) попал вредоносный семпл. Сообщество назвало его Poco RAT — по наименованию используемых библиотек POCO для C++. На момент обнаружения семпл не был атрибутирован к какой-либо известной группировке.

Исследование семпла выявило определенный набор функций для удаленного управления устройством жертвы, включая загрузку файлов, снятие скриншотов, выполнение команд, управление процессами и файлами.

Дополнительный анализ техник, тактик и процедур, цепочки атак и географии кампании позволил связать активность с группировкой Dark Caracal, известной использованием вредоносного ПО Bandook.

Однажды к нам обратился клиент с проблемой: имеется 2 HDD с производительностью записи 250 MБ/с. Из них делается хранилище RAID 0. Начинаем записывать трафик, скорость — 350 MБ/с. Он успешно пишется, но через некоторое время утилизация дисков подходит к 100% и начинаются потери при записи. Вывод клиента: проблема в PT NAD, так как диски должны все успевать. Думаю, многие уже догадываются, в чем соль. У нас тоже имелись догадки, но тем не менее мы решили их проверить. Из этой проблемы и родилось небольшое исследование по записи трафика в хранилище. Под катом — наше расследование «заговора» разработчиков HDD.

Всем привет! Недавно несколько российских компаний (и Positive Technologies в их числе) провели исследование, которое было посвящено перспективам развития рынка автоматизированных систем управления технологическим процессом в России. Как безопасники, мы, конечно же, сосредоточились на вопросах защиты автоматизированных систем управления с учетом современных вызовов и киберугроз. Особенностями отечественного рынка АСУ ТП и нашими рекомендациями по безопасной разработке делимся с вами в этой статье.

Хабр, привет! И вновь на связи я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

В новый дайджест мы отнесли к трендовым восемь уязвимостей.

В мае 2022 года мы запустили собственную платформу для поиска уязвимостей за вознаграждение — Standoff Bug Bounty. С тех пор она стала крупнейшей российской площадкой багбаунти: более 18 тысяч независимых исследователей безопасности из России и других стран сдали на ней свыше 8 тысяч отчетов. Привлекая на помощь целый легион опытных багхантеров, платформа помогает компаниям усилить защищенность ИТ-инфраструктуры. Читайте в этой статье о результатах 2,5 лет работы Standoff Bug Bounty. Объясним, почему багбаунти-платформа повышает киберустойчивость компаний, какие баги чаще всего находят специалисты ИБ, как они зарабатывают и какие выплаты получают. Расскажем также о максимальных наградах и уникальных программах на платформе.

За годы развития дарквеб превратился в высокоорганизованный рынок киберпреступности, на котором и опытные злоумышленники, и новички могут найти всё, что нужно для проведения успешных кибератак. Теневые площадки живут по законам легальных рынков: привлекают пользователей с помощью маркетинговых инструментов, работают с лояльностью клиентов, обеспечивают безопасность сделок и своих ресурсов. Рынок перегрет, предложений много, но и спрос высокий. Злоумышленники готовы платить немалые деньги за товары и услуги, зная, что в случае успеха могут многократно окупить затраты.

Мы проанализировали экосистему «темной сети», выяснили, что продают и покупают в подполье, сколько тратят и зарабатывают киберпреступники, а также предположили, как будет развивать дарквеб в ближайшем будущем. Обо всём по порядку — в этой статье.

Привет, меня зовут Анна Куренова (@SavAnna), в IT я уже девять лет. Начинала как разработчик и тестировщик, потом начала искать уязвимости и перешла в ИБ. Сейчас работаю DevSecOps-инженером и веду телеграм-канал 8ug8eer. В этой статье поговорим о базовых вещах в вебе и некоторых простых уязвимостях, поиск которых под силу даже начинающим. Текст будет полезен новичкам в сфере безопасности и тестирования софта.

Нашим подопытным станет магазин соков под незамысловатым названием Juice Shop. Это уже готовое приложение, которое работает на HTTP/1.1. Я развернула его на своем домене, который содержит множество уязвимостей и отлично подходит для обучения.

Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

В декабре мы отнесли к трендовым четыре уязвимости.

Прошлый год интересно проходил для SSH. Весной — бэкдор в xz-utils (CVE-2024-3094), в результате эксплуатации которого были скомпрометированы системы с systemd. В июле — критически опасная уязвимость «состояния гонки» для систем на базе glibc, получившая название regreSSHion. Спустя еще неделю была опубликована схожая проблема, получившая идентификатор CVE-2024-6409. А в августе — еще одна, уже специфичная для FreeBSD, CVE-2024-7589.

Как заявляют исследователи, успешная эксплуатация «состояний гонки» позволяет получить RCE (удаленное выполнение кода) на подверженных системах. Более того, regreSSHion — главный баг, ставящий под угрозу безопасность множества SSH-серверов с glibc. Интересно, что эксплуатация уязвимости не требует особой конфигурации сервера (проблема актуальна и для конфигурации по умолчанию). При этом публичного PoC нет до сих пор. Мы решили разобраться в вопросе: так ли страшны эти «состояния гонки», так ли критически опасны? И какие механизмы в sshd призваны не допустить эксплуатации этой уязвимости или хотя бы уменьшить ущерб в случае успешной атаки?

Привет всем! Ловите первое в новом году расследование от команды киберразведки экспертного центра безопасности Positive Technologies.

В октябре 2024 года наш департамент выявил и отследил ранее не известную группировку. Мы назвали ее в честь африканской габонской гадюки, которую можно встретить в окрестностях стратовулкана Килиманджаро – DarkGaboon. Злоумышленники атакуют финансовые подразделения российских организаций как минимум с мая 2023 года. Что «змеиного» у этой группы киберпреступников, как им удавалось оставаться незамеченными и на чем все-таки попалась группировка – рассказываем в статье.

Привет! Сегодня мы решили напомнить читателям Хабра о том, что в Positive Technologies не только исследуют уязвимости, пишут ресерчи и разрабатывают ПО для защиты — наши коллеги ко всему прочему еще и авторы книг. Алексей Усанов уже рассказал о своей книге «Реверс-инжиниринг встраиваемых систем». Мы расспросили другого нашего коллегу, Алексея Лукацкого (@alukatsky), и он поведал нам о своем писательском пути. Разговор получился откровенный, прямолинейный, как во многом и сам Алексей Викторович. Можно ли заработать книгописательством, надо ли следовать советам Стивена Кинга, а также маленький, но полезный лайфхак для авторов — обо всем этом читайте в интервью с Алексеем Лукацким в этой статье.

Привет, хабровчане! Мы в компании ежегодно делаем подборку трендов в сфере информационной безопасности. Недавно собрали данные от наших экспертов и слово за слово разговорились об общих трендах в IT. Интересным оказалось обсуждать не влияние технологий на жизнь вообще, а то, как их развитие сказывается на жизни людей, чья работа связана с написанием программ и защитой информации. В общем — на жизни таких, как мы с вами. Наши коллеги предложили для обсуждения такие тренды: роботы-курьеры, нейротехнологии, ChatGPT и подобные системы ИИ, технологии cloud native и машинное зрение. Если вам приходят в голову другие — напишите в комментариях, будет интересно рассмотреть их тоже! Поразмышляем, сделает ли развитие технологий нашу жизнь лучше, какие сложности возникнут в будущем и как можно снизить возможные риски.

В этой статье будем рассуждать о плюсах и минусах развития технологий с позиции «обобщенного» сотрудника IT-компании. Мы представили его как человека лет тридцати-сорока, имеющего семью, детей и питомцев, любящего путешествовать. Его родители еще достаточно молоды и самостоятельны, дети — малыши и школьники. Как развитие технологий повлияет на жизнь этого человека и его семьи? Впрочем, наш герой вполне может быть одиночкой-домоседом, воспитывающим ммм... игуану и тоже, представьте себе, работать в IT и испытывать влияние технологий.

В ушедшем году наши исследователи выявили уязвимостей в российских продуктах почти в три раза больше, чем в 2023-м. В новом году количество таких брешей продолжит увеличиваться. Нас ждет больше новостей о трендовых уязвимостях в отечественном ПО: именно на такие набрасываются хакеры в первую очередь. А вот взлом «железа» смогут позволить себе немногие киберпреступники, так как это потребует больших затрат и очень высокого уровня экспертизы. А бреши в «железе» продолжают находить нешуточные!

Мы продолжаем знакомить вас с трендами кибербеза. В этой статье расскажем про уязвимости в «железе» и ПО, о том, что не так с российским софтом и каких уязвимостей ждать в 2025-м.

Друзья! Прошёл год, мы подводим технологические ибэшные и айтишные итоги, как вы, наверное, заметили. И теперь хотим с вами поиграть. Мы приготовили для вас небольшой квест по блогу. Ведь наши статьи – это то, что нас с вами тесно связывает.

🎁 Мы точно знаем, все любят подарки (и не только по праздникам). Первым трем ответившим на все вопросы максимально полно – классные призы! Начнем?

Уходящий год отчетливо дал понять, что в ближайшее время тренды на рынке кибербезопасности будут диктовать технологии. Блокчейн и искусственный интеллект все глубже проникают в бизнес- и государственные процессы, однако четких механизмов работы с ними все еще нет. Это формирует пространство для возникновения новых неизученных уязвимостей и атак. Продолжаем подводить киберитоги и киберпрогнозировать!

Один из наших клиентов поделился деталями атаки, в результате которой злоумышленники зашифровали диски многих виртуальных машин на его платформах виртуализации. Другой наш партнер рассказал такую историю — некоторые виртуальные машины в его парке начали активно, не характерно для них, потреблять процессорные мощности. Дальнейшее расследование показало, что хакеры получили доступ к платформе виртуализации через скомпрометированный каталог Active Directory и установили на серверы майнеры.

Эти истории сподвигли меня на то, чтобы разобрать проблему безопасности виртуальных сред с помощью методики ХардкорИТ. Конечно, время вспять мы не повернем, но помочь героям наших кейсов и другим компаниям избежать подобных атак в будущем — вполне. Подробности под катом!

В последние годы интернет вещей (IoT) плотно укоренился в сфере ИТ и представляет целую область, в которой физические и виртуальные объекты объединяются в одну инфраструктуру. Под «вещами» понимается все, что может быть подключено к сети: от смартфонов и бытовой электроники до отдельных станков и датчиков на производстве. IoT интенсивно проникает во многие сферы: в 2023 году активнее других его внедряли в здравоохранении, производстве, телекоммуникациях и сельском хозяйстве. Насколько промышленность подвержена киберугрозам и к чему приводят атаки на системы и устройства промышленного интернета вещей, а также как противостоять злоумышленникам – читайте в нашей новой статье.

Привет, друзья! На прошлой неделе мы взяли обратный отсчет и в ожидании боя курантов начали знакомить вас с трендами кибербеза и ИТ и делиться прогнозами на будущее. В прошлый раз поговорили про рынок российской кибербезопасности и с какими объективными трудностями он столкнулся. Это при том, что количество угроз никуда не делось, а, напротив, даже увеличилось, и задача отрасли стала еще более трудоемкой. В этот раз поговорим, о том, как рынок выходит из сложившегося положения, какие новые технологии уже работают в кибербезе и дружат ли с ними разработчики, а какие планируется внедрить.