Шквал запросов по СДЭК рвет все поисковые ленты, а всепропальщиские лейтмотивы пронизывают буквально все обсуждения в отношении киберинцидента, с которым столкнулась одна из ведущих курьерских компаний в России.
Оперативно нарисовались проукраинские Head Mare с якобы пруфами и заявлениями про ransomware и уничтоженные бэкапы в купе с обвинениями в адрес Бизонов и ИБ за копейку.
По всем признакам возникшего сбоя можно полагать, что не обошлось без программы-вымогателя и ряда потенциальных упущений в плане защиты, что присутствует вдоль и поперек интернационально.
Cогласно заявлениям компании, восстановительные работы ведутся, прогресс имеет место быть, можно лишь надеется на благополучное завершение.
Официальные лица подтверждают атаку, однако Роскомнадзор все еще ожидает уведомления и результаты расследования от СДЭК.
Вместе с тем, все же вызывает недоумение, на наш взгляд, не всегда адекватная реакция клиентов, особенно тех, кто так или иначе знаком с инфосеком.
Подобные высокотехнологичные преступления со стороны вымогателей на западе локализуются неделями, а то и более, причем в компаниях, более заточенных под более высокий уровень кибербезопасности.
Если перечитать то, о чем мы не раз сообщали: тенденции хактивизма и все более разрушительных атак на фоне растущей международной напряженности будут превалировать на ландшафте угроз и все чаще затрагивать рядовых пользователей.
Про ИБ за полбюджета пару(если не тысячу нецензурных) слов было уже не раз сказано.
Пока же хотелось бы дождаться внятных результатов расследования и не делать всеобъемлющих выводов.
Так что будем посмотреть.
Оперативно нарисовались проукраинские Head Mare с якобы пруфами и заявлениями про ransomware и уничтоженные бэкапы в купе с обвинениями в адрес Бизонов и ИБ за копейку.
По всем признакам возникшего сбоя можно полагать, что не обошлось без программы-вымогателя и ряда потенциальных упущений в плане защиты, что присутствует вдоль и поперек интернационально.
Cогласно заявлениям компании, восстановительные работы ведутся, прогресс имеет место быть, можно лишь надеется на благополучное завершение.
Официальные лица подтверждают атаку, однако Роскомнадзор все еще ожидает уведомления и результаты расследования от СДЭК.
Вместе с тем, все же вызывает недоумение, на наш взгляд, не всегда адекватная реакция клиентов, особенно тех, кто так или иначе знаком с инфосеком.
Подобные высокотехнологичные преступления со стороны вымогателей на западе локализуются неделями, а то и более, причем в компаниях, более заточенных под более высокий уровень кибербезопасности.
Если перечитать то, о чем мы не раз сообщали: тенденции хактивизма и все более разрушительных атак на фоне растущей международной напряженности будут превалировать на ландшафте угроз и все чаще затрагивать рядовых пользователей.
Про ИБ за полбюджета пару
Пока же хотелось бы дождаться внятных результатов расследования и не делать всеобъемлющих выводов.
Так что будем посмотреть.
X (formerly Twitter)
Head Mare (@head_mare) on X
1/7 Хэд Марэ не дала времени #СДЭК на то, чтобы защитить себя. Сисадмины оказались слишком слабы. А политики безопасности не оправдали себя. #СДЭК продолжает нести знамя худшей доставки по России, обгоняя даже почту рф
Ресерчеры из Positive Technologies в партнерстве с QApp, QBoard и Российским квантовым центром выкатили объемную аналитику по квантовым технологиям в ИТ, сделав акцент на комплексной оценке информационной безопасности технологических инноваций.
Как это было с в прошлом классическими компьютерами и смартфонами, квант станет неотъемлемой частью будущей жизни, с учетом быстрого развития и не такой уж далекой.
Приближающаяся парадигма сочетает в себе технологию кубитов, аппаратную архитектуру, программный стек, алгоритмы, цепочки поставок и модели использования, и все это все еще в стадии развития.
Безусловно, эволюция облачных сервисов в области квантовых технологий побудит злоумышленников искать уязвимости в продуктах вендоров и атаковать поставщиков услуг квантовых облачных вычислений.
Кроме того, сами злоумышленники, скорее всего, примут новые алгоритмы: в будущем злоумышленники могут использовать постквантовое шифрование для предотвращения восстановления данных с помощью квантовых компьютеров.
Одним постом изложить все аспекты исследования точно не получится даже тезисно, но взглянуть слегка в будущее все же стоит, ознакомившись с отчетом.
Как это было с в прошлом классическими компьютерами и смартфонами, квант станет неотъемлемой частью будущей жизни, с учетом быстрого развития и не такой уж далекой.
Приближающаяся парадигма сочетает в себе технологию кубитов, аппаратную архитектуру, программный стек, алгоритмы, цепочки поставок и модели использования, и все это все еще в стадии развития.
Безусловно, эволюция облачных сервисов в области квантовых технологий побудит злоумышленников искать уязвимости в продуктах вендоров и атаковать поставщиков услуг квантовых облачных вычислений.
Кроме того, сами злоумышленники, скорее всего, примут новые алгоритмы: в будущем злоумышленники могут использовать постквантовое шифрование для предотвращения восстановления данных с помощью квантовых компьютеров.
Одним постом изложить все аспекты исследования точно не получится даже тезисно, но взглянуть слегка в будущее все же стоит, ознакомившись с отчетом.
ptsecurity.com
Security of quantum technologies in IT
This analytical overview will attempt to make sense of today's quantum information technology, identify its current evolutionary stage, and answer the following questions: How can malicious actors use quantum computing to attack traditional systems? How do…
Подкатили технические подробности и PoC для серьезных уявзимостей, которые точно нельзя упускать из виду.
Horizon3 представила полное описание и PoC для CVE-2024-23108 в устройствах FortiSIEM, которая позволяет удаленно выполнять команды от имени пользователя root без необходимости аутентификации.
Уязвимость имеет рейтинг 10/10 и была исправлена в феврале этого года.
CVE-2024-23108 влияет на FortiClient FortiSIEM версий 6.4.0 и выше и был исправлен вместе с другой уязвимостью RCE (CVE-2024-23109) с уровнем серьезности 10/10.
Для нее также теперь доступны и описание, и PoC.
Причем изначально в компании отказывались признавать недостатки и присовокупили их к исходному сообщению об уязвимости CVE-2023-34992.
Однако в конечном итоге выяснилось, что CVE-2024-23108 и CVE-2024-23109 на самом деле являются обходными патчами для CVE-2023-34992. Недоразумение урегулировали.
Исследователь Ван Тилен опубликовал PoC для CVE-2024-27842, исправленной в этом месяце Apple.
Она позволяет приложениям macOS запускать произвольный код с привилегиями ядра. Проблема исправлена в macOS Sonoma 14.5.
Описание и PoC стали доступны для уязвимости в Glibc (CVE-2024-2961) благодаря трудам исследователя Ambionics Чарльза Фола.
Ошибку можно использовать для атак с удаленным выполнением кода на приложения и веб-сайты на основе PHP.
Horizon3 представила полное описание и PoC для CVE-2024-23108 в устройствах FortiSIEM, которая позволяет удаленно выполнять команды от имени пользователя root без необходимости аутентификации.
Уязвимость имеет рейтинг 10/10 и была исправлена в феврале этого года.
CVE-2024-23108 влияет на FortiClient FortiSIEM версий 6.4.0 и выше и был исправлен вместе с другой уязвимостью RCE (CVE-2024-23109) с уровнем серьезности 10/10.
Для нее также теперь доступны и описание, и PoC.
Причем изначально в компании отказывались признавать недостатки и присовокупили их к исходному сообщению об уязвимости CVE-2023-34992.
Однако в конечном итоге выяснилось, что CVE-2024-23108 и CVE-2024-23109 на самом деле являются обходными патчами для CVE-2023-34992. Недоразумение урегулировали.
Исследователь Ван Тилен опубликовал PoC для CVE-2024-27842, исправленной в этом месяце Apple.
Она позволяет приложениям macOS запускать произвольный код с привилегиями ядра. Проблема исправлена в macOS Sonoma 14.5.
Описание и PoC стали доступны для уязвимости в Glibc (CVE-2024-2961) благодаря трудам исследователя Ambionics Чарльза Фола.
Ошибку можно использовать для атак с удаленным выполнением кода на приложения и веб-сайты на основе PHP.
Horizon3.ai
CVE-2024-23108: Fortinet FortiSIEM 2nd Order Command Injection Deep-Dive – Horizon3.ai
CVE-2024-23108 Fortinet FortiSIEM Command Injection Deep-Dive and Indicators of Compromise. This blog details a command injection vulnerability which allows an unauthenticated attacker to access the FortiSIEM server as root to execute arbitrary commands.
В киберподполье набирает популярность нацеленный на банкоматы в Европе новый штамм вредоносного ПО под названием EU ATM Malware с заявленной беспрецедентной эффективностью в 99%.
Согласно утверждениям селлера, EU ATM Malware способен расчехлить практически любой европейский банкомат и до 60% устройств по всему миру, производимых Diebold Nixdorf, Hyosung, Oki, Bank of America, NCR, GRG, Hitachi и др.
Заявленные экономические ТТХ вредоноса гарантируют покупателю до 30 000 долларов за банкомат, при этом модностью автоматизировано, обеспечивая развертывание и эксплуатацию. Но также имеет и ручной режим работы.
Селлер предлагает гибкую систему оплаты и готов предоставить ежемесячную подписку, демоверсию полезной нагрузки на срок до трех дней, а также первоначальный взнос с выделением доли прибыли от успешных операций.
Насколько EU ATM Malware соответствует заявленным характеристикам и станет ли реальной угрозой банковского сектора в Европе пока не ясно, но будем посмотреть.
Согласно утверждениям селлера, EU ATM Malware способен расчехлить практически любой европейский банкомат и до 60% устройств по всему миру, производимых Diebold Nixdorf, Hyosung, Oki, Bank of America, NCR, GRG, Hitachi и др.
Заявленные экономические ТТХ вредоноса гарантируют покупателю до 30 000 долларов за банкомат, при этом модностью автоматизировано, обеспечивая развертывание и эксплуатацию. Но также имеет и ручной режим работы.
Селлер предлагает гибкую систему оплаты и готов предоставить ежемесячную подписку, демоверсию полезной нагрузки на срок до трех дней, а также первоначальный взнос с выделением доли прибыли от успешных операций.
Насколько EU ATM Malware соответствует заявленным характеристикам и станет ли реальной угрозой банковского сектора в Европе пока не ясно, но будем посмотреть.
Daily Dark Web
New ATM Malware Threatens European Banking Security - Daily Dark Web
New ATM Malware Threatens European Banking Security Discover the latest security threats and database leaks, including unauthorized VPN access and email breaches, in the cyber underground world.Stay informed about emerging cyber threats, such as unauthorized…
Согласно рейтингу американских спецслужб, тройку основных угроз в киберсфере после Китая и российской внешней разведки замыкает… Нет, не Северная Корея, и даже не Иран.
На удивление - почетное третье место отдано англоязычной группировке Scattered Spider (aka 0ktapus или UNC3944), о чем рапортовал Брайан Ворндран, помощник директора киберотдела ФБР, на прошедшей недавно конференции Sleuthcon по вопросам борьбы с киберпреступностью.
Безусловно, оснований для столь значимой номинации по версии ФБР более чем, на счету Scattered Spider внушительный послужной список известных компаний, включая гигантов казино MGM Resorts и Caesars Entertainment, а также высокотехнологичный конгломерат Okta.
По данным Ворндрана, Scattered Spider состоит в основном из жителей США и Великобритании, а в основе их объединения - более широкое онлайн-сообщество, известное как The Com.
Хакеры мастерски владеют социнженерией, прокладывая себе лазейки в привилегированные сети и нацеливаясь на службы поддержки и другие ключевые точки доступа.
Бывало доступ натурально выбивали из жертв, работая в формате violence-as-a-service.
Оказавшись внутри, Scattered Spider продемонстрирует высококлассные навыки перемещения по сетям и кражи данных, зачастую привлекая к своим атакам авторитетные банды вымогателей.
Агент описал группу как «очень, очень большую, обширную, распределяемую группу лиц», многие из которых незнакомы напрямую.
Всего же по данным спецслужб, Scattered Spider насчитывает аж 1000 членов.
Что-то подобное мы уже слышали, когда вдруг прозвучали заявления про то, как над кейсом Solarwinds оказывается работали тысячи инженеров русской разведки.
Больше это походит на попытку оправдать собственные провалы в оперативной работе, ведь из 1000 участников до настоящего времени спецслужбам США и Великобритании почему-то удалось задержать лишь несколько школьников.
На удивление - почетное третье место отдано англоязычной группировке Scattered Spider (aka 0ktapus или UNC3944), о чем рапортовал Брайан Ворндран, помощник директора киберотдела ФБР, на прошедшей недавно конференции Sleuthcon по вопросам борьбы с киберпреступностью.
Безусловно, оснований для столь значимой номинации по версии ФБР более чем, на счету Scattered Spider внушительный послужной список известных компаний, включая гигантов казино MGM Resorts и Caesars Entertainment, а также высокотехнологичный конгломерат Okta.
По данным Ворндрана, Scattered Spider состоит в основном из жителей США и Великобритании, а в основе их объединения - более широкое онлайн-сообщество, известное как The Com.
Хакеры мастерски владеют социнженерией, прокладывая себе лазейки в привилегированные сети и нацеливаясь на службы поддержки и другие ключевые точки доступа.
Бывало доступ натурально выбивали из жертв, работая в формате violence-as-a-service.
Оказавшись внутри, Scattered Spider продемонстрирует высококлассные навыки перемещения по сетям и кражи данных, зачастую привлекая к своим атакам авторитетные банды вымогателей.
Агент описал группу как «очень, очень большую, обширную, распределяемую группу лиц», многие из которых незнакомы напрямую.
Всего же по данным спецслужб, Scattered Spider насчитывает аж 1000 членов.
Что-то подобное мы уже слышали, когда вдруг прозвучали заявления про то, как над кейсом Solarwinds оказывается работали тысячи инженеров русской разведки.
Больше это походит на попытку оправдать собственные провалы в оперативной работе, ведь из 1000 участников до настоящего времени спецслужбам США и Великобритании почему-то удалось задержать лишь несколько школьников.
CyberScoop
Potent youth cybercrime ring made up of 1,000 people, FBI official says
The group known as Scattered Spider is one of the most impactful cybercrime groups working today and has proven elusive to law enforcement so far.
Ресерчеры из Лаборатории Касперского продолжают сводить и анализировать статистику по угрозам для систем промышленной автоматизации.
В новом отчете свежие данные, полученные с помощью Kaspersky Security Network (KSN) с компьютеров АСУ из категории корпоративной ОТ-инфраструктуры, за первый квартал 2024 года, включая общие показатели по угрозам, разбивку по источникам, отраслям и регионам.
В первом квартале 2024 года доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, снизилась на 0,3 п.п. по сравнению с предыдущим кварталом до 24,4%.
Автоматизация зданий исторически лидировала в исследованных отраслях по проценту компьютеров АСУ, на которых были заблокированы вредоносные объекты. В целом показатели снизились во всех отраслях.
В первом квартале 2024 года защитные решения ЛК заблокировали вредоносное ПО из 10 865 различных семейств, принадлежащих к различным категориям.
Наибольший рост по сравнению с прошлым периодом зафиксировано для AutoCAD - в 1,16 раза.
Интернет, почтовые клиенты и съемные устройства хранения данных остаются основными источниками угроз для компьютеров в технологической инфраструктуре организации.
При этом в первом квартале 2024 года процент компьютеров АСУ, на которых были заблокированы угрозы из различных источников, снизился по каждому крупному источнику.
В региональном разрезе процент компьютеров АСУ, заблокировавших вредоносные объекты в течение квартала, колебался от 32,4% в Африке до 11,5% в Северной Европе.
В двух регионах с самым высоким процентом атакованных компьютеров АСУ - Африке и Юго-Восточной Азии - этот процент увеличился по сравнению с предыдущим кварталом.
На сайте Kaspersky ICS CERT доступны более детализированные глобальные и региональные отчеты.
В новом отчете свежие данные, полученные с помощью Kaspersky Security Network (KSN) с компьютеров АСУ из категории корпоративной ОТ-инфраструктуры, за первый квартал 2024 года, включая общие показатели по угрозам, разбивку по источникам, отраслям и регионам.
В первом квартале 2024 года доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, снизилась на 0,3 п.п. по сравнению с предыдущим кварталом до 24,4%.
Автоматизация зданий исторически лидировала в исследованных отраслях по проценту компьютеров АСУ, на которых были заблокированы вредоносные объекты. В целом показатели снизились во всех отраслях.
В первом квартале 2024 года защитные решения ЛК заблокировали вредоносное ПО из 10 865 различных семейств, принадлежащих к различным категориям.
Наибольший рост по сравнению с прошлым периодом зафиксировано для AutoCAD - в 1,16 раза.
Интернет, почтовые клиенты и съемные устройства хранения данных остаются основными источниками угроз для компьютеров в технологической инфраструктуре организации.
При этом в первом квартале 2024 года процент компьютеров АСУ, на которых были заблокированы угрозы из различных источников, снизился по каждому крупному источнику.
В региональном разрезе процент компьютеров АСУ, заблокировавших вредоносные объекты в течение квартала, колебался от 32,4% в Африке до 11,5% в Северной Европе.
В двух регионах с самым высоким процентом атакованных компьютеров АСУ - Африке и Юго-Восточной Азии - этот процент увеличился по сравнению с предыдущим кварталом.
На сайте Kaspersky ICS CERT доступны более детализированные глобальные и региональные отчеты.
Securelist
Threat landscape for industrial automation systems, Q1 2024
In this report Kaspersky ICS CERT shares statistics on threats blocked on ICS computers globally and in separate regions in Q1 2024: share of attacked computers, most affected industries, most common types of threats.
Исследователи CyFirma обнаружили на RAMP новую RaaS Synapse, реализуемую на хакерских форумах с февраля 2024 года как одну из самых быстрых на сегодняшний день ransomware.
Одна из основных замеченных особенностей вредоносного ПО - это выполнение проверки часового пояса и языка системы, приводящая к завершению работы, если обнаружено, что какая-либо из них базируется в Иране.
Кроме того, Synapse шифрует данные телеметрии перед отправкой их на сервер C2 с использованием специального алгоритма с примечательной входной строкой: “Chuong Dong looks like <REDACTED>!!”
Та же строка используется в методологии шифрования семейства Babuk Ransomware.
Учитывая утечку исходников Babuk Ransomware в 2021 году, налицо все признаки того, что владельцы Synapse использовали функциональные возможности его кода или вообще могли быть связи с его разработчиками.
Анализ показывает, что SynapseCrypter позаимствовал множество функций и у Lambda Ransomware, связанной с группой VoidCrypt.
Изученная стабильная версия Synapse 1.0.0 представляет новый мощный штамм программы-вымогателя с расширенными функциями, с C2, сборщиком полезной нагрузки и системой чата на базе TOR.
Ransomware предотвращает повреждение файлов, использует схемы быстрого шифрования и предлагает гибкие режимы, включая пользовательские параметры.
Помимо упомянутых функций, SynapseCrypter может похвастаться дополнительными возможностями.
Он включает в себя функции сетевого сканирования и возможность репликации на сетевых устройствах с использованием жестко запрограммированных учетных данных, хранящихся в его конфигурации.
SynapseCrypter использует поиск NTFS для просмотра файлов и CHACHA8 для их шифрования, проверяет наличие файлов и папок в белом списке перед шифрованием, поддерживает очистку теневых копий и самоудаление.
После шифрования Synapse производит переименование файлов, изменение обоев и значков, а также удаление данных.
В отличие от некоторых других программ-вымогателей, Synapse не задействует сайт утечки данных. Вместо этого его операторы взаимодействуют с жертвами через TOR для переговоров о выкупе.
Ресерчеры отмечают, что появление Synapse RaaS подчеркивает динамично меняющийся ландшафт угроз ransomware, где новая ransomware с его избирательным подходом к шифрованию и заимствованными функциями у других штаммов представляет серьезную угрозу.
Одна из основных замеченных особенностей вредоносного ПО - это выполнение проверки часового пояса и языка системы, приводящая к завершению работы, если обнаружено, что какая-либо из них базируется в Иране.
Кроме того, Synapse шифрует данные телеметрии перед отправкой их на сервер C2 с использованием специального алгоритма с примечательной входной строкой: “Chuong Dong looks like <REDACTED>!!”
Та же строка используется в методологии шифрования семейства Babuk Ransomware.
Учитывая утечку исходников Babuk Ransomware в 2021 году, налицо все признаки того, что владельцы Synapse использовали функциональные возможности его кода или вообще могли быть связи с его разработчиками.
Анализ показывает, что SynapseCrypter позаимствовал множество функций и у Lambda Ransomware, связанной с группой VoidCrypt.
Изученная стабильная версия Synapse 1.0.0 представляет новый мощный штамм программы-вымогателя с расширенными функциями, с C2, сборщиком полезной нагрузки и системой чата на базе TOR.
Ransomware предотвращает повреждение файлов, использует схемы быстрого шифрования и предлагает гибкие режимы, включая пользовательские параметры.
Помимо упомянутых функций, SynapseCrypter может похвастаться дополнительными возможностями.
Он включает в себя функции сетевого сканирования и возможность репликации на сетевых устройствах с использованием жестко запрограммированных учетных данных, хранящихся в его конфигурации.
SynapseCrypter использует поиск NTFS для просмотра файлов и CHACHA8 для их шифрования, проверяет наличие файлов и папок в белом списке перед шифрованием, поддерживает очистку теневых копий и самоудаление.
После шифрования Synapse производит переименование файлов, изменение обоев и значков, а также удаление данных.
В отличие от некоторых других программ-вымогателей, Synapse не задействует сайт утечки данных. Вместо этого его операторы взаимодействуют с жертвами через TOR для переговоров о выкупе.
Ресерчеры отмечают, что появление Synapse RaaS подчеркивает динамично меняющийся ландшафт угроз ransomware, где новая ransomware с его избирательным подходом к шифрованию и заимствованными функциями у других штаммов представляет серьезную угрозу.
CYFIRMA
SYNAPSE : Ransomware Technical Analysis - CYFIRMA
EXECUTIVE SUMMARY At CYFIRMA, our commitment is to provide timely insights into prevalent threats and malicious tactics affecting both organizations...
Forwarded from Russian OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Russian OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
Вопреки заявлениям Check Point высокосерьезная 0-day VPN задействуется в атаках еще с апреля 2024 года, в ходе которых злоумышленники крадут данные Active Directory для горизонтального перемещения по сетям жертв.
В понедельник Check Point предупредила клиентов о нацеливании начиная с 24 мая на их шлюзы безопасности злоумышленниками с использованием старых локальных учетных записей VPN с небезопасной аутентификацией только по паролю.
Впоследствии компания обнаружила, что хакеры использовали уязвимость раскрытия информации (CVE-2024-24919) в этих атаках и выпустила срочные исправления для блокировки попыток эксплуатации уязвимых сетей CloudGuard, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways и Quantum Spark.
Однако исследователи Mnemonic поделились своими наблюдениями, согласно которым попытки эксплуатации CVE-2024-24919 в некоторых средах клиентов начались еще 30 апреля.
Компания добавила, что уязвимость является «особенно критичной», поскольку ее легко использовать удаленно, поскольку она не требует взаимодействия с пользователем или каких-либо привилегий на атакованных шлюзах безопасности Check Point с включенным удаленным доступом VPN и мобильным доступом.
Она позволяет злоумышленнику пересчитывать и извлекать хэши паролей для всех локальных учетных записей, включая учетную запись, используемую для подключения к Active Directory. Слабые пароли также могут быть скомпрометированы.
Полный масштаб последствий при этом еще пока неизвестен.
Было замечено, что злоумышленники извлекали ntds.dit, в которой хранятся данные Active Directory о пользователях, группах, дескрипторах безопасности и хэшах паролей, от скомпрометированных клиентов в течение 2–3 часов после входа в систему с помощью локального пользователя.
Уязвимость также использовалась для извлечения информации, которая позволяла злоумышленникам перемещаться внутри сети жертвы и злоупотреблять кодом Visual Studio для туннелирования вредоносного трафика.
Mnemonic рекомендовала клиентам Check Point немедленно обновить затронутые системы до фиксированной версии и удалить всех локальных пользователей на уязвимых шлюзах безопасности.
Администраторам также следует сменить пароли/учетные записи для подключений LDAP со шлюза в Active Directory, провести после исправления проверку журналов на наличие признаков компрометации и, если возможно, обновить сигнатуру Check Point IPS для обнаружения попыток эксплуатации.
В понедельник Check Point предупредила клиентов о нацеливании начиная с 24 мая на их шлюзы безопасности злоумышленниками с использованием старых локальных учетных записей VPN с небезопасной аутентификацией только по паролю.
Впоследствии компания обнаружила, что хакеры использовали уязвимость раскрытия информации (CVE-2024-24919) в этих атаках и выпустила срочные исправления для блокировки попыток эксплуатации уязвимых сетей CloudGuard, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways и Quantum Spark.
Однако исследователи Mnemonic поделились своими наблюдениями, согласно которым попытки эксплуатации CVE-2024-24919 в некоторых средах клиентов начались еще 30 апреля.
Компания добавила, что уязвимость является «особенно критичной», поскольку ее легко использовать удаленно, поскольку она не требует взаимодействия с пользователем или каких-либо привилегий на атакованных шлюзах безопасности Check Point с включенным удаленным доступом VPN и мобильным доступом.
Она позволяет злоумышленнику пересчитывать и извлекать хэши паролей для всех локальных учетных записей, включая учетную запись, используемую для подключения к Active Directory. Слабые пароли также могут быть скомпрометированы.
Полный масштаб последствий при этом еще пока неизвестен.
Было замечено, что злоумышленники извлекали ntds.dit, в которой хранятся данные Active Directory о пользователях, группах, дескрипторах безопасности и хэшах паролей, от скомпрометированных клиентов в течение 2–3 часов после входа в систему с помощью локального пользователя.
Уязвимость также использовалась для извлечения информации, которая позволяла злоумышленникам перемещаться внутри сети жертвы и злоупотреблять кодом Visual Studio для туннелирования вредоносного трафика.
Mnemonic рекомендовала клиентам Check Point немедленно обновить затронутые системы до фиксированной версии и удалить всех локальных пользователей на уязвимых шлюзах безопасности.
Администраторам также следует сменить пароли/учетные записи для подключений LDAP со шлюза в Active Directory, провести после исправления проверку журналов на наличие признаков компрометации и, если возможно, обновить сигнатуру Check Point IPS для обнаружения попыток эксплуатации.
Mnemonic
Advisory: Active exploitation of Check Point Remote Access VPN vulnerability (CVE-2024-24919)
mnemonic has several observations of the exploit being used in the wild. The vulnerability is particularly critical because it does not require any user interaction or privileges, making it easy to exploit remotely.
Ресерчеры из Лаборатории Касперского обратили внимание на новые вызовы в сфере инфосека, связанные с активизацией кибератак через доверительные отношения.
В 2023 году такие атаки вошли в тройку наиболее часто используемых векторов. Обусловлено это тем, что российский рынок IT-аутсорсинга, как и мировой, продолжает демонстрировать уверенный рост - сервисные услуги пользуются все большей популярностью.
Но вместе с преимуществами, такими как экономия времени и ресурсов, делегирование непрофильных задач создает и новые угрозы.
Так, предоставляя доступ сторонним компаниям (поставщикам услуг или подрядчикам) в свою инфраструктуру, бизнес увеличивает риски возникновения атак Trusted Relationship Attack (по классификации MITRE ATT&CK - T1199).
Реализуя их, злоумышленники сперва получают доступ к сети поставщика услуг, а затем, если удается скомпрометировать действующие учетные данные для подключения к сети целевой организации, проникают в ее инфраструктуру.
В большинстве случаев подрядчики - это представители малого и среднего бизнеса, которые менее защищены, чем их крупные собратья. В том числе поэтому поставщики IT-услуг привлекают внимание атакующих.
Для злоумышленников этот вектор интересен тем, что позволяет провести масштабную атаку со значительно меньшими усилиями, чем в других случаях.
Атакующим достаточно получить доступ к сети поставщика услуг, чтобы подвергнуть киберриску всех его клиентов, вне зависимости от размера и сферы деятельности.
При этом злоумышленники, используя легитимное подключение, зачастую остаются незамеченными, так как для пострадавшей организации их действия в собственной инфраструктуре выглядят как действия сотрудников поставщика услуг.
По статистике за 2023 год, только каждая четвертая пострадавшая организация смогла выявить инцидент в рамках изучения подозрительной активности у себя в инфраструктуре, остальные же обнаружили проникновение уже после утечки или шифрования.
Дабы полностью погрузиться в суть вопроса лучше обратиться к первоисточнику и понять, каким злоумышленники получают доступ в сеть поставщика и реализуют атаку, а главное - как этому противодействовать.
В 2023 году такие атаки вошли в тройку наиболее часто используемых векторов. Обусловлено это тем, что российский рынок IT-аутсорсинга, как и мировой, продолжает демонстрировать уверенный рост - сервисные услуги пользуются все большей популярностью.
Но вместе с преимуществами, такими как экономия времени и ресурсов, делегирование непрофильных задач создает и новые угрозы.
Так, предоставляя доступ сторонним компаниям (поставщикам услуг или подрядчикам) в свою инфраструктуру, бизнес увеличивает риски возникновения атак Trusted Relationship Attack (по классификации MITRE ATT&CK - T1199).
Реализуя их, злоумышленники сперва получают доступ к сети поставщика услуг, а затем, если удается скомпрометировать действующие учетные данные для подключения к сети целевой организации, проникают в ее инфраструктуру.
В большинстве случаев подрядчики - это представители малого и среднего бизнеса, которые менее защищены, чем их крупные собратья. В том числе поэтому поставщики IT-услуг привлекают внимание атакующих.
Для злоумышленников этот вектор интересен тем, что позволяет провести масштабную атаку со значительно меньшими усилиями, чем в других случаях.
Атакующим достаточно получить доступ к сети поставщика услуг, чтобы подвергнуть киберриску всех его клиентов, вне зависимости от размера и сферы деятельности.
При этом злоумышленники, используя легитимное подключение, зачастую остаются незамеченными, так как для пострадавшей организации их действия в собственной инфраструктуре выглядят как действия сотрудников поставщика услуг.
По статистике за 2023 год, только каждая четвертая пострадавшая организация смогла выявить инцидент в рамках изучения подозрительной активности у себя в инфраструктуре, остальные же обнаружили проникновение уже после утечки или шифрования.
Дабы полностью погрузиться в суть вопроса лучше обратиться к первоисточнику и понять, каким злоумышленники получают доступ в сеть поставщика и реализуют атаку, а главное - как этому противодействовать.
securelist.ru
Атаки через доверительные отношения (Trusted Relationship)
Разбираем тактики и техники злоумышленников, атакующих организации через доверительные отношения (Trusted Relationship), а именно — через подрядчиков и внешних поставщиков IT-услуг.
Если кто не понял, скрин выше относится к Operation Endgame, в рамках которой западные спецслужбы из 20 стран совместно с Bitdefender, Sekoia, Shadowserver, Prodaft, Proofpoint и др. накрыли инфораструктуру шести крупнейших в мире вредоносных ботнетов.
Под раздачу попали крупнейшие загрузчики вредоносного ПО, включая Bumblebee, IcedID, Pikabot, Smokeloader, SystemBC, Trickbot, которые, по данным силовиков, использовались для развертывания ransomware в рамках бизнес-модели host rental.
Помимо технической части операции под оперативный замес попали четверо подозреваемых (1 в Армении и 3 на Украине), было произведено 16 обысков: 1 в Армении, 1 в Нидерландах, 3 в Португалии и 11 на Украине.
Немецкая полиция также выкатила ордера на арест еще восьми подозреваемых, один из которых заскринился в буденовке, вменяя им участие в работе Smokeloader и Trickbot.
По оценкам следователей, участники ботнетов в совокупности могли заработать до 75 млн. долл., сдавав в аренду доступа к своей инфраструктуре операторам вымогателей, а сумма инкриминируемого ущерба исчисляется сотнями миллионов евро.
Во всей этой истории обращает на себя внимание тот факт, что все фотографии разыскиваемых лиц имеют отредактированный фон и судя по всему сделаны с камер их мобильных девайсов.
Ведь если нельзя, но очень хочется, то все можно.
Под раздачу попали крупнейшие загрузчики вредоносного ПО, включая Bumblebee, IcedID, Pikabot, Smokeloader, SystemBC, Trickbot, которые, по данным силовиков, использовались для развертывания ransomware в рамках бизнес-модели host rental.
Помимо технической части операции под оперативный замес попали четверо подозреваемых (1 в Армении и 3 на Украине), было произведено 16 обысков: 1 в Армении, 1 в Нидерландах, 3 в Португалии и 11 на Украине.
Немецкая полиция также выкатила ордера на арест еще восьми подозреваемых, один из которых заскринился в буденовке, вменяя им участие в работе Smokeloader и Trickbot.
По оценкам следователей, участники ботнетов в совокупности могли заработать до 75 млн. долл., сдавав в аренду доступа к своей инфраструктуре операторам вымогателей, а сумма инкриминируемого ущерба исчисляется сотнями миллионов евро.
Во всей этой истории обращает на себя внимание тот факт, что все фотографии разыскиваемых лиц имеют отредактированный фон и судя по всему сделаны с камер их мобильных девайсов.
Ведь если нельзя, но очень хочется, то все можно.
Europol
Largest ever operation against botnets hits dropper malware ecosystem | Europol
OP Endgame
Исследователи из Lumen's Black Lotus Labs сообщают о масштабном инциденте, в рамках которого вредоносный ботнет Pumpkin Eclipse в период с 25 по 27 октября 2023 года положил целого првайдера в ходе атаки на более чем 600 000 маршрутизаторов.
Несмотря на широкий последствия атака была нацелена на конкретного интернет-провайдера (ISP) в США и на три используемых им модели маршрутизаторов: ActionTec T3200s, ActionTec T3260s и Sagemcom F5380.
Причем для восстановления работы владельцам пришлось попросту заменить устройства.
Несмотря на то, что в отчете Black Lotus не назвала жертву, в тот же период глобальный сбой произошел у Windstream, о чем также свидетельствуют сообщения на Reddit и DSLReports.
Сама компания отказалась от комментариев.
Исследователи не смогли найти уязвимость, использованную для первоначального доступа, поэтому злоумышленники либо использовали 0-day, либо слабые учетные данные в сочетании с открытым административным интерфейсом.
Полезная нагрузка первого этапа - это bash-скрипт под названием get_scrpc, отвечающего за доставку второго сценария под названием get_strtriiush, который реализует основную полезную нагрузку Chalubo («mips.elf»).
Chalubo запускается из памяти и выдерживает 30-минутный интервал, избегая обнаружения и песочниц.
Использует шифрование ChaCha20 при взаимодействии с C2 и защиты канала связи, одновременно стирая все файлы с диска и меняя имя процесса после запуска.
Злоумышленник может отправлять команды боту через скрипты Lua, которые обеспечивают фильтрацию данных, загрузку дополнительных модулей или установку новых полезных нагрузок на зараженное устройство.
Chalubo реализует механизм персистентности, поэтому перезагрузка зараженного маршрутизатора не приводит к нарушению работы бота.
Малварь также поддерживает функцию DDoS, что указывает на его возможные операционные цели Pumpkin Eclipse.
Однако Black Lotus Labs так и не нашли каких-либо DDoS-атак со стороны ботнета.
Телеметрия Black Lotus Labs позволила задетектить 45 панелей вредоносного ПО Chalubo, взаимодействующих с более чем 650 000 уникальными IP в период 3 октября по 3 ноября 2023 года, большинство из которых в США.
Ресерчеры полагают, что злоумышленник мог приобрести доступ к панели Chalubo с конкретной целью - развертывания деструктивной полезной нагрузки на маршрутизаторах в рамках конкретной ASN.
При этом для наблюдавшейся атаки была задействована лишь одна из панелей, риентированная на конкретного американского интернет-провайдера.
К сожалению, исследователям не удалось найти полезную нагрузку, использованную для блокировки маршрутизаторов, поэтому они не смогли определить, как это было сделано и с какой целью, равно как и найти какие-либо связи между инфраструктурой вредоносного ПО и известными APT.
Несмотря на широкий последствия атака была нацелена на конкретного интернет-провайдера (ISP) в США и на три используемых им модели маршрутизаторов: ActionTec T3200s, ActionTec T3260s и Sagemcom F5380.
Причем для восстановления работы владельцам пришлось попросту заменить устройства.
Несмотря на то, что в отчете Black Lotus не назвала жертву, в тот же период глобальный сбой произошел у Windstream, о чем также свидетельствуют сообщения на Reddit и DSLReports.
Сама компания отказалась от комментариев.
Исследователи не смогли найти уязвимость, использованную для первоначального доступа, поэтому злоумышленники либо использовали 0-day, либо слабые учетные данные в сочетании с открытым административным интерфейсом.
Полезная нагрузка первого этапа - это bash-скрипт под названием get_scrpc, отвечающего за доставку второго сценария под названием get_strtriiush, который реализует основную полезную нагрузку Chalubo («mips.elf»).
Chalubo запускается из памяти и выдерживает 30-минутный интервал, избегая обнаружения и песочниц.
Использует шифрование ChaCha20 при взаимодействии с C2 и защиты канала связи, одновременно стирая все файлы с диска и меняя имя процесса после запуска.
Злоумышленник может отправлять команды боту через скрипты Lua, которые обеспечивают фильтрацию данных, загрузку дополнительных модулей или установку новых полезных нагрузок на зараженное устройство.
Chalubo реализует механизм персистентности, поэтому перезагрузка зараженного маршрутизатора не приводит к нарушению работы бота.
Малварь также поддерживает функцию DDoS, что указывает на его возможные операционные цели Pumpkin Eclipse.
Однако Black Lotus Labs так и не нашли каких-либо DDoS-атак со стороны ботнета.
Телеметрия Black Lotus Labs позволила задетектить 45 панелей вредоносного ПО Chalubo, взаимодействующих с более чем 650 000 уникальными IP в период 3 октября по 3 ноября 2023 года, большинство из которых в США.
Ресерчеры полагают, что злоумышленник мог приобрести доступ к панели Chalubo с конкретной целью - развертывания деструктивной полезной нагрузки на маршрутизаторах в рамках конкретной ASN.
При этом для наблюдавшейся атаки была задействована лишь одна из панелей, риентированная на конкретного американского интернет-провайдера.
К сожалению, исследователям не удалось найти полезную нагрузку, использованную для блокировки маршрутизаторов, поэтому они не смогли определить, как это было сделано и с какой целью, равно как и найти какие-либо связи между инфраструктурой вредоносного ПО и известными APT.
Lumen
The Pumpkin Eclipse - Lumen
Executive Summary Lumen Technologies’ Black Lotus Labs identified a destructive event, as over 600,000 small office/home office (SOHO) routers were taken offline belonging to a single internet service provider (ISP). The incident took place over a 72-hour…
Ресерчеры ThreatFabric продолжают отслеживать APT LightSpy, обнаружив на сей раз задействуемую группой версию шпионского ПО для macOS.
Вредоносная программа также известна как F_Warehouse и представляет собой модульную платформу слежения за iOS и Android, позволяя красть широкий спектр данных с мобильных устройств, включая файлы, снимки экрана, геолокацию, записи разговоров и платежную информацию WeChat, а также данные из Telegram и QQ Messenger.
Новая версия LightSpy для macOS подтверждает широкую сферу применения инструмента, ранее известного только для устройств Android и iOS.
Злоумышленники, стоящие за фреймворком, используют его для атак на цели в Азиатско-Тихоокеанском регионе.
Согласно новому отчету ThreatFabric, имплант macOS активен в дикой природе по крайней мере с января 2024 года.
Однако в настоящее время его работа, похоже, ограничивается тестовыми средами, а зараженные хосты принадлежат исследователям.
Ресерчеры смогли проникнуть в панель управления LightSpy, воспользовавшись неправильной конфигурацией, и подробно изучить функционал и инфраструктуру, а также выделить зараженные устройства.
Злоумышленники используют CVE-2018-4233 и CVE-2018-4404 в WebKit для запуска выполнения кода в Safari, ориентированном на macOS 10.13.3 и более ранние версии.
Первоначально на устройство доставляется 64-битный двоичный файл MachO, замаскированный под файл изображения PNG (20004312341.png), который расшифровывает и выполняет встроенные сценарии, извлекая второй этап.
Полезная нагрузка второго этапа загружает эксплойт повышения привилегий (ssudo), утилиту шифрования/дешифрования (ddss) и ZIP-архив (mac.zip) с двумя исполняемыми файлами (update и update.plist).
В конце концов, сценарий оболочки расшифровывает и распаковывает эти файлы, получая root-доступ на взломанном устройстве и устанавливая постоянство в системе, настраивая двоичный файл «обновления» для выполнения при запуске.
Следующий шаг выполняется компонентом macircloader, который загружает, расшифровывает и запускает LightSpy Core, действуя как центральная система управления плагинами для структуры шпионского ПО и отвечая за связь с C2.
Ядро LightSpy также может выполнять команды оболочки на устройстве, обновлять его сетевую конфигурацию и устанавливать расписание активности, чтобы избежать обнаружения.
Платформа LightSpy реализует широкий функционал шпионажа, прежде всего, за счет различных плагинов, задействуя 14 плагинов для Android и 16 плагинов для iOS и 10 для macOS.
Плагины позволяют LightSpy выполнять комплексную эксфильтрацию данных из зараженных систем macOS, а его модульная конструкция обеспечивает гибкость эксплуатации.
В своем отчете ThreatFabric отмечает, что имея доступ к панели злоумышленника, они смогли подтвердить также существование имплантатов для Windows, Linux и маршрутизаторов, но пока не понимая, как именно они задействуются в атаках.
Вредоносная программа также известна как F_Warehouse и представляет собой модульную платформу слежения за iOS и Android, позволяя красть широкий спектр данных с мобильных устройств, включая файлы, снимки экрана, геолокацию, записи разговоров и платежную информацию WeChat, а также данные из Telegram и QQ Messenger.
Новая версия LightSpy для macOS подтверждает широкую сферу применения инструмента, ранее известного только для устройств Android и iOS.
Злоумышленники, стоящие за фреймворком, используют его для атак на цели в Азиатско-Тихоокеанском регионе.
Согласно новому отчету ThreatFabric, имплант macOS активен в дикой природе по крайней мере с января 2024 года.
Однако в настоящее время его работа, похоже, ограничивается тестовыми средами, а зараженные хосты принадлежат исследователям.
Ресерчеры смогли проникнуть в панель управления LightSpy, воспользовавшись неправильной конфигурацией, и подробно изучить функционал и инфраструктуру, а также выделить зараженные устройства.
Злоумышленники используют CVE-2018-4233 и CVE-2018-4404 в WebKit для запуска выполнения кода в Safari, ориентированном на macOS 10.13.3 и более ранние версии.
Первоначально на устройство доставляется 64-битный двоичный файл MachO, замаскированный под файл изображения PNG (20004312341.png), который расшифровывает и выполняет встроенные сценарии, извлекая второй этап.
Полезная нагрузка второго этапа загружает эксплойт повышения привилегий (ssudo), утилиту шифрования/дешифрования (ddss) и ZIP-архив (mac.zip) с двумя исполняемыми файлами (update и update.plist).
В конце концов, сценарий оболочки расшифровывает и распаковывает эти файлы, получая root-доступ на взломанном устройстве и устанавливая постоянство в системе, настраивая двоичный файл «обновления» для выполнения при запуске.
Следующий шаг выполняется компонентом macircloader, который загружает, расшифровывает и запускает LightSpy Core, действуя как центральная система управления плагинами для структуры шпионского ПО и отвечая за связь с C2.
Ядро LightSpy также может выполнять команды оболочки на устройстве, обновлять его сетевую конфигурацию и устанавливать расписание активности, чтобы избежать обнаружения.
Платформа LightSpy реализует широкий функционал шпионажа, прежде всего, за счет различных плагинов, задействуя 14 плагинов для Android и 16 плагинов для iOS и 10 для macOS.
Плагины позволяют LightSpy выполнять комплексную эксфильтрацию данных из зараженных систем macOS, а его модульная конструкция обеспечивает гибкость эксплуатации.
В своем отчете ThreatFabric отмечает, что имея доступ к панели злоумышленника, они смогли подтвердить также существование имплантатов для Windows, Linux и маршрутизаторов, но пока не понимая, как именно они задействуются в атаках.
Threatfabric
LightSpy: Implant for macOS
Learn how notorious surveillance framework LightSpy has added a macOS implant.
Журналисты The Guardian пролили свет на десятилетнюю секретную операцию Израиля, связанную с кибершпионажем и давлением на членов Международного уголовного суда (МУС).
Спецслужбы Израиля задействовали все свои самые передовые киберинструменты и перехватывали переписку, звонки, электронные письма и документы должностных лиц МУС, в том числе главного прокурора Карима Хана и его предшественницы на посту Фаты Бенсуда.
Благодаря этому премьер-министру Израиля Биньямину Нетаньяху удалось заранее узнать о намерениях прокурора выдать ордера на арест израильтян.
По данным журналистов, разведоперация была под особым контролем Нетаньяху и велась с позиции Шин Бет, Аман и Unit 8200.
Инициирована она была в 2015 году после признания в ООН и присоединения Палестины к суду, а приступившая тогда к расследованию ситуации в Палестине Фату Бенсуда получила первые угрозы буквально уже через месяц.
По словам источников, благодаря полному доступу к палестинской телекоммуникационной инфраструктуре сотрудники разведки могли перехватывать звонки, не устанавливая шпионское ПО на устройства чиновников МУС.
По словам нынешних и бывших сотрудников разведки, военные кибернаступательные группы и Шин Бет систематически следили за сотрудниками палестинских НПО и Палестинской администрации, которые сотрудничали с МУС, с помощью шпионского ПО Pegasus от NSO.
Позже, когда дело запахло жаренным, Бенсудой занялся сам шеф Моссада Йосси Коэн, который провел ряд неформальных встреч с ней, буквально каждый раз неожиданно появляясь рядом с ней из ни от куда.
Не сумев найти общий язык, израильская разведка накопала кучу компромата на супруга прокурора МУС, однако и это не помогло. И в конце 2020 года Бенсуда передала дело Палестины в палату предварительного производства.
В этот момент израильтяне обратились за помощью к США, которым также МУС угрожал расследованиями военных преступлений в Афганистане.
По итогу США ввели против Бенсуды санкции и ограничения, сославшись на неконкретную информацию о финансовой коррупции и должностных преступлениях на самых высоких уровнях прокуратуры МУС.
В свою очередь, офицеры израильской разведки сами стали объектом расследования со стороны МУС, членов которого заблаговременно предупредили о слежке.
Теперь результаты на первых заголовках ведущих СМИ Ближнего Востока и Запада, а Бенсуда завершила расследование дела Палестины, положив начало процессу, который сейчас может привести к уголовным обвинениям.
В общем, демократия на демократии едет и демократией погоняет.
Спецслужбы Израиля задействовали все свои самые передовые киберинструменты и перехватывали переписку, звонки, электронные письма и документы должностных лиц МУС, в том числе главного прокурора Карима Хана и его предшественницы на посту Фаты Бенсуда.
Благодаря этому премьер-министру Израиля Биньямину Нетаньяху удалось заранее узнать о намерениях прокурора выдать ордера на арест израильтян.
По данным журналистов, разведоперация была под особым контролем Нетаньяху и велась с позиции Шин Бет, Аман и Unit 8200.
Инициирована она была в 2015 году после признания в ООН и присоединения Палестины к суду, а приступившая тогда к расследованию ситуации в Палестине Фату Бенсуда получила первые угрозы буквально уже через месяц.
По словам источников, благодаря полному доступу к палестинской телекоммуникационной инфраструктуре сотрудники разведки могли перехватывать звонки, не устанавливая шпионское ПО на устройства чиновников МУС.
По словам нынешних и бывших сотрудников разведки, военные кибернаступательные группы и Шин Бет систематически следили за сотрудниками палестинских НПО и Палестинской администрации, которые сотрудничали с МУС, с помощью шпионского ПО Pegasus от NSO.
Позже, когда дело запахло жаренным, Бенсудой занялся сам шеф Моссада Йосси Коэн, который провел ряд неформальных встреч с ней, буквально каждый раз неожиданно появляясь рядом с ней из ни от куда.
Не сумев найти общий язык, израильская разведка накопала кучу компромата на супруга прокурора МУС, однако и это не помогло. И в конце 2020 года Бенсуда передала дело Палестины в палату предварительного производства.
В этот момент израильтяне обратились за помощью к США, которым также МУС угрожал расследованиями военных преступлений в Афганистане.
По итогу США ввели против Бенсуды санкции и ограничения, сославшись на неконкретную информацию о финансовой коррупции и должностных преступлениях на самых высоких уровнях прокуратуры МУС.
В свою очередь, офицеры израильской разведки сами стали объектом расследования со стороны МУС, членов которого заблаговременно предупредили о слежке.
Теперь результаты на первых заголовках ведущих СМИ Ближнего Востока и Запада, а Бенсуда завершила расследование дела Палестины, положив начало процессу, который сейчас может привести к уголовным обвинениям.
В общем, демократия на демократии едет и демократией погоняет.
the Guardian
Spying, hacking and intimidation: Israel’s nine-year ‘war’ on the ICC exposed
Exclusive: Investigation reveals how intelligence agencies tried to derail war crimes prosecution, with Netanyahu ‘obsessed’ with intercepts
Добро пожаловать в матрицу!
Швейцарский стартап FinalSpark запустил онлайн-платформу Neuroplatform, реализующую доступ к органоидам человеческого мозга (биологическим нейронам, выращенным in vitro) в качестве биопроцессоров.
Создав первый в мире биопроцессор, исследователи FinalSpark выяснили, что можно значительно сократить потребление энергии ИИ, подключив его к биопроцессорам.
Современные методы обучения ИИ требует задействования большого объема энергии: один LLM, такой как GPT-3, потребляет до 10 ГВтч, а человеческий мозг работает всего на 20 Вт.
Ученые смогли запустить биопроцессор, поместив ткани мозга в мультиэлектронные матрицы MEAs.
Мозговые клетки размещаются в инкубаторах при температуре тела, снабжаются водой и питательными веществами, а также защищаются от бактериального или вирусного заражения.
Каждый MEA содержит четыре органоида мозга, подключенных к восьми электродам, которые одновременно стимулируют органоиды и записывают данные, которые они обрабатывают.
Данные передаются через цифро-аналоговые преобразователи с разрешением 16 бит и частотой 30 кГц. Срок службы установки – до нескольких месяцев.
За последние три года в нейроплатформе использовалось более чем 1000 органоидов мозга, что позволило собрать более 18 ТБ данных.
Правда, как сообщают исследователи, им еще удалось понять, имеют ли органоиды мозга разум или могут ли вообще быть разумными.
Если ученые все же додумаются снабдить MEAs возможностью простраивать нейтронные связи, то следом за матрицей определенно стоит ожидать Скайнет.
Швейцарский стартап FinalSpark запустил онлайн-платформу Neuroplatform, реализующую доступ к органоидам человеческого мозга (биологическим нейронам, выращенным in vitro) в качестве биопроцессоров.
Создав первый в мире биопроцессор, исследователи FinalSpark выяснили, что можно значительно сократить потребление энергии ИИ, подключив его к биопроцессорам.
Современные методы обучения ИИ требует задействования большого объема энергии: один LLM, такой как GPT-3, потребляет до 10 ГВтч, а человеческий мозг работает всего на 20 Вт.
Ученые смогли запустить биопроцессор, поместив ткани мозга в мультиэлектронные матрицы MEAs.
Мозговые клетки размещаются в инкубаторах при температуре тела, снабжаются водой и питательными веществами, а также защищаются от бактериального или вирусного заражения.
Каждый MEA содержит четыре органоида мозга, подключенных к восьми электродам, которые одновременно стимулируют органоиды и записывают данные, которые они обрабатывают.
Данные передаются через цифро-аналоговые преобразователи с разрешением 16 бит и частотой 30 кГц. Срок службы установки – до нескольких месяцев.
За последние три года в нейроплатформе использовалось более чем 1000 органоидов мозга, что позволило собрать более 18 ТБ данных.
Правда, как сообщают исследователи, им еще удалось понять, имеют ли органоиды мозга разум или могут ли вообще быть разумными.
Если ученые все же додумаются снабдить MEAs возможностью простраивать нейтронные связи, то следом за матрицей определенно стоит ожидать Скайнет.
Cybernews
Human brain cells grown in Matrix-like jars to feed AI
A Swiss startup aims to reduce AI energy consumption by plugging it into human-like brains. It remains unknown whether the organoids are sentient or not.