Поиск

Похоже, киберпреступность набирает обороты и не собирается их сбрасывать. Об этом свидетельствуют множественные инциденты безопасности, сообщения о которых появляются еженедельно. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 4 по 10 сентября 2017 года. Самым громким инцидентом безопасности на прошлой неделе, пожалуй, стал взлом американской компании Equifax. Неизвестным удалось похитить персональные данные 143 млн клиентов компании. В руках злоумышленников оказались номера социального страхования, даты рождения и домашние адреса. Компания не раскрывает подробностей об атаке, однако связывает ее со своим web-приложением. Согласно некоторым сообщениям, хакеры проэксплуатировали уязвимость в популярном фреймворке Apache Struts, позволяющую удаленно запускать на сервере вредоносный код. Уязвимость (CVE-2017-9805) была исправлена на прошлой неделе. Жертвами утечки данных также стали 28 млн пользователей латиноамериканской версии Reddit под названием Taringa!. Неизвестные хакеры похитили такую информацию, как имена пользователей, электронные адреса и пароли. Несмотря на то, что пароли были зашифрованы, сотрудникам сайта LeakBase удалось расшифровать более 93% из них. Инцидент не затронул номера телефонов и биткойн-адреса. Как стало известно на прошлой неделе, личные данные военнослужащих и сотрудников разведслужб США в течение нескольких месяцев находились в открытом доступе. Порядка 9,4 тыс. файлов с персональной информацией были доступны для загрузки с некорректно сконфигурированного облачного сервера Amazon. Хакерской группировке CynoSure Prime удалось расшифровать 320 млн хешей паролей. База данных была собрана из различных источников исследователем безопасности Троем Хантом и опубликована в открытом доступе в прошлом месяце. Пароли были хешированы с использованием 15 алгоритмов. Самым популярным из них оказался SHA-1. Еще одним громким событием на прошлой неделе стала публикация на сайте WikiLeaks очередной порции секретных документов ЦРУ. Данный релиз отличается от предыдущих, поскольку проливает свет не на хакерские инструменты спецслужбы, а на систему управления ракетами Protego. Система устанавливается на самолетах с двигателями производства Pratt & Whitney, оснащенных системами запуска ракет класса «воздух-воздух» и «земля-воздух». Группировка The Shadow Brokers предоставила подписчикам своего платного сервиса сентябрьский дамп похищенной информации. Среди прочего, клиенты хакеров получили инструкцию к эксплоиту UNITEDRAKE из арсенала Агентства национальной безопасности США. Инструмент упоминается в документах Эдварда Сноудена, а также был описан специалистами «Лаборатории Касперского» еще в 2015 году. Еще один хакерский инструмент, разработанный спецслужбами, обнаружили исследователи из Palo Alto Networks. По случайному стечению обстоятельств, эксперты наткнулись на новый вариант вредоносного ПО Babar. Вредонос предположительно был создан французской разведкой и использовался хакерской группировкой Animal Farm, о которой также стало известно из документов Сноудена. Большой резонанс у общественности вызвало сообщение экспертов из Symantec о новой волне кибератак на энергетический сектор Европы и Северной Америки, получившей название Dragonfly 2.0. Злоумышленники распространяли вредоносное ПО с помощью спама.

Программная ошибка в ядре Microsoft Windows открывает дверь для вредоносного ПО в обход решений безопасности. Как сообщают исследователи компании EnSilo, уязвимость присутствует во всех версиях ОС, начиная от Windows 2000 и заканчивая Windows 10. «Уязвимость представляет собой программную ошибку в ядре Windows, из-за которой вендоры безопасности не могут определить, какие модули были загружены во время прогона программы», - пояснил эксперт EnSilo Омри Мисгав. Исследователи обнаружили ошибку в механизме PsSetLoadImageNotifyRoutine, используемом некоторыми решениями безопасности для определения, когда в ядро или пространство пользователя был загружен код. С помощью уязвимости злоумышленник может заставить PsSetLoadImageNotifyRoutine вернуть недействительное имя модуля и тем самым выдать вредоносное ПО за легитимное. Эксперты уведомили Microsoft о своей находке еще в начале текущего года, однако компания не посчитала ее проблемой. Судя по некоторым публикациям в интернете, об ошибке уже известно некоторое время. Тем не менее, причины ее возникновения и последствия никогда раньше не описывались подробно.

С точки зрения информационной безопасности прошедшая неделя выдалась весьма беспокойной. Несколько масштабных утечек данных, взлом Instagram, отзыв 500 тыс. уязвимых к кибератакам кардиостимуляторов, одни из крупнейших атак шифровальщиков – лишь малая часть инцидентов, произошедших за период с 28 августа по 3 сентября 2017 года. Большой резонанс на прошлой неделе вызвал взлом Instagram. Поначалу считалось, что инцидент затронул только знаменитостей, однако, как оказалось позже, неизвестные хакеры могли похитить учетные данные 6 млн пользователей соцсети. По данным «Лаборатории Касперского», причиной утечки стала уязвимость в мобильном приложении Instagram. Проблема затрагивает выпущенную в 2016 году версию клиента 5.8.1. Инцидент с Instagram является далеко не единственной масштабной утечкой данных, зафиксированной на прошлой неделе. Французский исследователь безопасности Benkow обнаружил на одном из web-серверов в Нидерландах крупнейшую незащищенную базу данных для рассылки спама. В БД содержатся электронные адреса и пароли для доступа к почтовым ящикам 711 млн пользователей, а также перечень почтовых серверов для рассылки спама. Производитель новых смартфонов Essential по ошибке допустил утечку данных своих клиентов. 29 августа на форуме Reddit появилось обсуждение подозрительного письма, отправленного с серверов компании некоторым покупателям. В письме сотрудники Essential просили подтвердить заказ на телефоны и предоставить удостоверение личности – паспорт или водительские права. 30 августа основатель Essential Энди Рубин подтвердил наличие проблем с системой поддержки клиентов и принес свои извинения. На сайте Pastebin был обнаружен список из более 33 тыс. полностью рабочих учетных записей для доступа по протоколу Telnet к устройствам «Интернета вещей» (IoT). Данные могут использоваться для создания ботнетов и осуществления масштабных DDoS-атак. В основном список состоит из учетных данных, установленных на устройствах по умолчанию. Особенно остро проблема безопасности IoT-устройств встала после обнаружения опасных уязвимостей в кардиостимуляторах производства компании Abbott. С их помощью находящиеся неподалеку от пациента злоумышленники могут «посадить» аккумулятор устройства или ускорить сердцебиение и нанести непоправимый вред здоровью жертвы. Управление по контролю за качеством пищевых продуктов и лекарств США объявило об отзыве 500 тыс. проблемных кардиостимуляторов. Пациенты с уже установленными устройствами должны обратиться к лечащему врачу для установки патча. На прошлой неделе после временного затишья снова напомнила о себе APT-группировка Turla, связываемая с российским правительством. О возобновлении активности Turla сообщили сразу две ИБ-компании. Эксперты ESET обнаружили новый бэкдор Gazer, применяемый в шпионских кампаниях против посольств и консульств по всему миру. В свою очередь, специалисты «Лаборатории Касперского» рассказали о связанной с Turla шпионской кампании WhiteBear. Помимо «русских правительственных хакеров», в очередной раз дали о себе знать «американские правительственные хакеры». Благодаря публикации на сайте WikiLeaks новой порции документов ЦРУ, стало известно об инструменте Wolfcreek, применяемом спецслужбой для взлома Windows XP и Windows 7. Примечательно, на прошлой неделе жертвой хакеров стал сам сайт WikiLeaks. Киберпреступная группировка OurMine заявила об успешной кибератаке на ресурс, хотя на деле «взлом» оказался не более чем дефейсом. Специалисты двух ИБ-компаний независимо друг от друга обнаружили масштабные вредоносные кампании по распространению двух разных, совершенно новых образцов некогда популярного у киберпреступников вымогательского ПО Locky. 28 августа за 24 часа пользователи в США получили 23 млн вредоносных писем. Данная кампания является одной из наиболее масштабных во второй половине 2017 года. В ходе второй операции злоумышленники за три дня разослали 62 тыс. фишинговых писем.

С точки зрения инцидентов безопасности прошедшая неделя выдалась весьма напряженной для ИБ-экспертов. Украина готовилась к новой волне атак наподобие NotPetya, пользователей Facebook атаковало вредоносное ПО, WikiLeaks опубликовал новую порцию секретных документов ЦРУ, а журналисты The Intercept обнародовали очередной документ АНБ, похищенный Эдвардом Сноуденом в 2013 году. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 21 по 27 августа 2017 года. Одним из наиболее громких инцидентов на прошлой неделе стал взлом сайта Enigma Project. Неизвестные хакеры скомпрометировали ресурс и обманным путем заставили его пользователей отправить средства на подконтрольный им кошелек Ethereum. Впервые за долгое время о себе напомнили участники движения Anonymous. На этот раз их жертвой стала Национальная служба здравоохранения Великобритании. По словам злоумышленников, им удалось взломать систему записи на прием SwiftQueue, обслуживающую восемь медучреждений, и похитить данные 1,2 млн пациентов. В SwiftQueue подтверждают факт взлома, но заявляют, что объем похищенной информации гораздо меньше. В предверии Дня независимости Украины 24 августа на серверах производителя ПО для бухучета был обнаружен вредоносный код. Данный факт явно свидетельствует о подготовке новой волны атак наподобие NotPetya, имевших место 27 июня текущего года. Злоумышленники получили доступ к web-сайту разработчика Crystal Finance Millennium и использовали его для распространения вредоносных программ. Тем не менее, внедрить в обновления сторонний код хакерам не удалось. Примечательно, что на прошлой неделе о массовом заражении компьютеров при посещении популярных online-изданий для бухгалтеров и юристов сообщили эксперты Group-IB. Злоумышленники скомпрометировали ряд специализированных ресурсов и распространяли вредоносное ПО Buhtrap. Исследователи «Лаборатории Касперского» обнаружили актуальную кроссплатформенную угрозу, распространяемую через приложение Facebook Messenger. Пользователи получают ссылку на поддельный сайт, откуда на их системы загружается вредоносное ПО. Специалисты считают, что для распространения вредоносной ссылки спамеры, скорее всего, используют взломанные учетные записи, уязвимости в браузерах или кликджекинг. Исследователи из Trend Micro предупредили об очередном майнере криптовалют, использующем эксплоит EternalBlue из арсенала АНБ. Для загрузки скриптов и других компонентов бесфайловое вредоносное ПО CoinMiner использует Windows Management Instrumentation (WMI). Согласно новой порции документов Агентства национальной безопасности США, предоставленных Эдвардом Сноуденом, американское правительство построило на Северной территории Австралии секретную базу для мониторинга беспроводной связи и поддержки своей программы по использованию дронов. Как сообщает The Intercept, на базе расположена стратегическая наземная станция спутниковой связи для секретного мониторинга телекоммуникаций в нескольких странах и получения геолокационных данных целей, предназначенных для атак с использованием дронов. Новую порцию документов правительства США также опубликовал портал WikiLeaks. На этот раз были обнародованы документы, описывающие вредоносное ПО ExpressLane. Данный инструмент используется ЦРУ для тайной слежки за другими американскими спецслужбами, такими как ФБР и АНБ.

«Лаборатория Касперского» сообщила о расширении портфолио программных решений для мобильной платформы Android и выпуске бесплатного приложения Kaspersky Smart Home & IoT Scanner, позволяющего проводить аудит безопасности и анализ защищённости беспроводных сетей Wi-Fi и подключенных к ним устройств. Kaspersky Smart Home & IoT Scanner автоматически распознает в беспроводной сети такие устройства, как Wi-Fi-маршрутизаторы, IP-камеры, умные телевизоры (Smart TV), принтеры, мобильные гаджеты, настольные компьютеры, сетевые хранилища данных (NAS), медиасерверы и игровые консоли. Программа сканирует их на предмет уязвимостей, находит открытые порты, которые могут быть взломаны или заражены вредоносным ПО, выявляет слабые/предустановленные логины и пароли, а также даёт рекомендации по усилению защиты подключенных устройств. Помимо этого, приложение умеет отслеживать новые устройства в сети Wi-Fi и информировать об этом пользователя. В компании подчёркивают, что в настоящий момент решение Kaspersky Smart Home & IoT Scanner представлено в бета-версии и может содержать различного рода ошибки и недоработки. Пользователям, загрузившим и установившим программу, предлагается сообщать о возможных проблемах специалистам «Лаборатории Касперского». Скачать Kaspersky Smart Home & IoT Scanner можно в магазине приложений Google Play. Программа совместима с устройствами на базе Android версии 4.1 и выше.

Прошедшая неделя ознаменовалась утечкой данных 1,8 млн жителей Чикаго, взломами учетных записей в соцсетях телеканала HBO и Sony PlayStation Network, предупреждением о готовящихся кибератаках наподобие NotPetya и пр. Предлагаем ознакомиться с кратким обзором инцидентов безопасности за период с 14 по 20 августа 2017 года. В начале прошлой недели стало известно о первом задокументированном случае использования GPS-спуфинга в реальных атаках. Инцидент имел место 22 июля текущего года. Как минимум 20 судов в Черном море столкнулись с тем, что их навигационные системы показывали неверное местоположение. По мнению эксперта из Техасского университета в Остине Тодда Хамфриса, проблемы с навигаторами могут быть связаны с испытаниями Россией новых средств для ведения электронной войны. Компания ES&S, поставляющая машины для голосования десяткам штатов, допустила утечку данных американских избирателей. Из-за неправильной конфигурации любой желающий мог без труда загрузить персональную информацию 1,8 млн человек. БД содержит имена, адреса, даты рождения и частично номера социального страхования избирателей. В некоторых записях также указаны номера водительских прав и идентификационные номера. Как оказалось, доступ к используемому ES&S сервису AWS S3 был открытым для всех, однако каким-то непонятным образом утекли только данные жителей Чикаго. Исследователи компании Proofpoint обнаружили трояны в восьми популярных расширениях для Google Chrome. Вредоносный код был внедрен в результате кибератак на разработчиков плагинов для браузера. Злоумышленники сумели заполучить доступ к Chrome Web Store разработчиков и внедрить вредоносный функционал. На прошлой неделе о себе снова напомнила хакерская группировка из Саудовской Аравии OurMine. Хакеры атаковали двух жертв – телеканал HBO (17 августа) и Sony PlayStation Network (20 августа), взломав их учетные записи в Twitter и Facebook. Как и в других подобных случаях, OurMine предложила компаниям свои услуги по обеспечению кибербезопасности. Эксперты Trend Micro обнаружили новую вредоносную кампанию, эксплуатирующую уязвимость Microsoft Office для установки RAT на компьютеры жертв. Уязвимость (CVE-2017-0199) использовалась ботнетом Dridex в 2016-2017 годах и была исправлена Microsoft в апреле текущего года. В ходе текущей вредоносной кампании для доставки RAT на систему злоумышленники используют функции слайд-шоу в PowerPoint. Специалисты из Palo Alto Networks сообщили о целенаправленных атаках на американских военных подрядчиков. За атаками предположительно стоит хакерская группировка Lazarus, связываемая ИБ-экспертами с правительством КНДР. Национальный банк Украины предупредил о возможности новых, подобных NotPetya кибератак на государственный и частный секторы. Эксперты обнаружили новый образец вредоносного ПО и пришли к выводу, что кто-то готовит очередную волну атак. Новых атак следует ожидать 24 августа, в День независимости Украины.

Для ИБ-экспертов прошлая неделя выдалась весьма беспокойной. Мошенники «обчистили» крупнейший австралийский банк, хакеры потребовали от руководства HBO выкуп за похищенные материалы и опубликовали сценарий новой серии «Игры престолов», портал WikiLeaks обнародовал очередную порцию документов ЦРУ и т.д. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 7 по 13 августа 2017 года. В понедельник, 7 августа, хакеры опубликовали очередную порцию документов, похищенных в результате взлома американского телеканала HBO. Помимо прочего, обнародованный дамп файлов содержал сценарий еще не выпущенной пятой серии нового сезона «Игры престолов». Кроме того, злоумышленники потребовали от руководства HBO выкуп, грозясь в противном случае выложить в открытый доступ все похищенные материалы. «Австралийский банк Содружества» (Commonwealth Bank of Australia, CBA) стал жертвой мошеннической схемы по отмыванию денег, в ходе которой злоумышленники пополняли счета через принадлежащие финорганизации банкоматы, а затем переводили средства на оффшорные счета. Таким образом преступникам удалось перевести $55 млн. В ходе расследования выяснилось, что счета в CBA, использовавшиеся злоумышленниками, оформлялись по поддельным водительским правам. Как пояснили представители банка, данные транзакции остались незамеченными из-за ошибки в программном обеспечении банкоматов. На прошлой неделе стало известно о хакерских атаках на национального оператора энергосетей Великобритании, ирландскую компанию EirGrid. Инциденты имели место в апреле текущего года, однако были обнаружены только в прошлом месяце. В четверг, 10 августа, в рамках проекта Vault 7 портал WikiLeaks опубликовал очередную порцию материалов, похищенных у ЦРУ США. Документ под названием CouchPotato описывает инструмент для удаленного перехвата в режиме реального времени потокового видео RTSP/H.264. Еще один инструмент из арсенала спецслужб США всплыл на прошлой неделе. Речь идет об эксплоите EternalBlue, используемом Агентством национальной безопасности и опубликованном хакерами из Shadow Brokers в апреле текущего года. По данным экспертов FireEye, эксплоит применялся в атаках на высокопоставленных постояльцев отелей. За атаками, предположительно, стоит киберпреступная группировка APT 28. Специалисты компании DirectDefense обнаружили на сервисе VirusTotal конфиденциальные корпоративные данные клиентов производителя EDR-решений Carbon Black. Как утверждает руководство DirectDefense, сотрудники компании выявили огромное количество конфиденциальной информации, значительная часть из которой принадлежала компаниям из списка Fortune 1000, в том числе Amazon, Google и Apple. Помимо Carbon Black, утечку данных своих клиентов допустила техасская компания Power Quality Engineering. Из-за неправильной конфигурации утилиты для переноса и синхронизации файлов rsync в открытом доступе оказались данные об электроэнергетической инфраструктуре Dell, SBC, Freescale, Oracle, Texas Instruments и др.

В России утвержден новый ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер». Национальный стандарт будет введен с 1 января 2018 года согласно приказу Росстандарта от 8 августа 2017 года. Об этом сегодня сообщила пресс-служба Банка Росси. Согласно документу, к планированию, реализации, контролю и совершенствованию процесса защиты данных в банках необходимо подходить комплексно. Стандарт описывает требования к организации всех основных процессов защиты информации, в том числе меры по предотвращению утечек и нарушения целостности информационной инфраструктуры, а также по защите от атак с использованием вредоносного ПО. Предписания по защите информации при осуществлении операций через мобильные устройства указаны отдельным пунктом. Кроме того, стандарт описывает требования по обеспечению безопасности данных на всех этапах жизненного цикла используемых в финорганизациях автоматизированных систем и приложений. «Переход на новые стандарты позволит финансовым организациям повысить уровень защищенности от киберпреступлений, обеспечить стабильное и бесперебойное обслуживание клиентов», - сообщает пресс-служба Банка России.

Континентальная хоккейная лига и группа «Астерос подписали соглашение о сотрудничестве. Партнерство направлено на повышение уровня безопасности на хоккейных матчах за счет использования современных технологий и решений с учетом опыта «Астерос» по обеспечению антитеррористической защиты спортивных объектов страны. На данный момент КХЛ является первой спортивной лигой в России, официально заявившей о подобных намерениях. Подписание состоялось в рамках международного семинара «Актуальные вопросы обеспечения безопасности при проведении матчей Чемпионата Континентальной хоккейной лиги — Чемпионата России по хоккею сезона 2017/2018 годов». Свои подписи под документом поставили вице-президент КХЛ по хоккейным операциям Георгий Кобылянский и генеральный директор группы «Астерос» Александр Саенко. Меморандум определяет основные направления стратегического партнерства КХЛ и группы «Астерос». Приоритетами для совместной работы обозначены анализ текущего состояния объектов, разработка плана по достижению соответствия средств обеспечения безопасности требованиям законодательства РФ, разработка рекомендаций и регламентов, а также паспортов безопасности объектов и проведение консультаций и семинаров по изменениям законодательного поля, регулирующего обеспечение безопасности спортивных и культурно-массовых объектов. «Стратегическое партнерство между КХЛ и группой «Астерос» позволит оптимизировать процессы обеспечения безопасности на аренах, принимающих хоккейные матчи Континентальной, Молодежной и Женской лиг. Первоочередная задача КХЛ как организатора — убедиться в защищенности всех участников мероприятия. «Астерос» имеет опыт реализации уникальных по технологичности и масштабу проектов в области обеспечения безопасности зданий и сооружений. Мы видим в этом сотрудничестве старт длительного и плодотворного взаимодействия в вопросах комплексной системы безопасности и антитеррористической защиты на спортивных объектах КХЛ», — сказал Георгий Кобылянский. «КХЛ — это уникальный проект, охватывающий семь стран. За свою почти 10-летнюю историю лига проделала большой путь, провела около 7 тыс. матчей, интерес к которым растет из года в год. Так, в прошлом сезоне игры регулярного чемпионата КХЛ посетили почти 6 млн зрителей. Повышенное внимание общественности диктует свои правила в области обеспечения безопасности и антитеррористической защиты спортивных объектов. Безусловно, подписание меморандума говорит о высокой ответственности менеджмента КХЛ за безопасность гостей матчей и спортсменов, за имидж лиги и хоккея в целом. Уверен, что этот шаг внесет особый вклад в культуру организации спортивных состязаний и станет примером для других спортивных лиг», - отметил Владимир Шелепов, заместитель генерального директора по развитию бизнеса группы «Астерос». В двухдневном семинаре приняли участие представители менеджмента клубов КХЛ, а также ответственные лица со стороны правоохранительных органов стран-участниц чемпионата. Ключевые вопросы, обсуждаемые в рамках мероприятия, касались обеспечения комплексной безопасности спортивных объектов и прилегающих к ним территорий, средств и технологий антитеррористической защиты, а также опыта их применения в разных странах. Группа «Астерос» была привлечена к работе семинара второй раз. Владимир Шелепов представил концептуальный подход компании к комплексной безопасности и антитеррористической защите объекта спорта на примере олимпийского комплекса «Лужники». На данный момент в качестве генерального подрядчика «Астерос» завершает работы по подготовке данного объекта к проведению чемпионата мира по футболу. «Лужники» ограждены периметром безопасности протяженностью 3,5 км, здесь развернуты 7 пешеходных и 6 транспортных КПП, что суммарно обеспечивает более 450 точек прохода людей и около 40 полос проезда транспорта. В целом, за порядком на территории вокруг стадиона будут «следить» около 1,3 тыс. высокотехнологичных камер видеонаблюдения. Кроме того, Владимир Шелепов привел пример обеспечения всего комплекса систем безопасности надежной и отказоустойчивой вычислительной инфраструктурой, способной работать в бесперебойном режиме за счет взаиморезервируемых дата-центров.

Прошедшая неделя оказалась богатой всевозможными инцидентами в области ИБ – утечка электронных писем, связанных с предвыборной кампанией президента Франции Эмманюэля Макрона, публикация секретных документов ЦРУ, взлом сетей телеканала HBO, кибератака на клиентов компании «Ростелеком», возобновление деятельности хакерской группировки Carbanak и многое другое. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 31 июля по 6 августа 2017 года. На прошлой неделе организация WikiLeaks «порадовала» общественность сразу двумя утечками. Сначала на портале появились электронные письма, связанные с предвыборной кампанией Макрона, а затем и очередная порция документов ЦРУ, описывающих хакерский потенциал спецслужбы. Письма датируются периодом с 20 марта 2009 года по 24 апреля 2017 года и представляют собой часть архива из 71 848 электронных сообщений с 26 503 вложениями. По всей видимости, документы были похищены в результате взлома предвыборного штаба Макрона в мае текущего года. Помимо электронных писем, на сайте WikiLeaks были опубликованы документы ЦРУ относительно проекта Dumbo, предназначенного для контроля за использованием web-камер и микрофонов, а также манипуляций с видеозаписями. Инструмент Dumbo способен идентифицировать, контролировать и манипулировать системами мониторинга и обнаружения на компьютерах под управлением Microsoft Windows. Большой резонанс на прошлой неделе вызвала кибератака на американский телеканал HBO. Неизвестным злоумышленникам удалось похитить 1,5 ТБ данных, включительно со сценарием новой серии «Игры престолов» и несколькими эпизодами телесериалов «Футболисты» и «Комната 104». Кроме того, хакеры выложили в открытый доступ текстовый документ, содержащий персональную информацию одного из руководителей телеканала. Обнародованные сведения включают логины/пароли для десятков учетных записей, в том числе аккаунтов в соцсетях и платных подписок, данные online-банкинга и пр. Еще одним громким событием стал арест британского исследователя безопасности Маркуса Хатчинса, прошлой весной остановившего волну атак WannaCry. Хатчинс, также известный как MalwareTech, был арестован сотрудниками ФБР в США, где принимал участие в хакерских конференциях Black Hat и DEF CON. Ему были предъявлены обвинения в создании и распространении банковского трояна Kronos в период с июля 2014 по июль 2015 годов. Хатчинс признал свою вину и был выпущен под залог без права пользоваться интернетом и покидать пределы США. Что касается авторов WannaCry, то на прошлой неделе они, наконец, вывели полученные с помощью вредоноса средства со своих биткойн-кошельков. В ночь на 3 августа были зафиксированы семь транзакций, в ходе которых за 15 минут были переведены $142 тыс. На прошлой неделе исследователь безопасности Трой Хант опубликовал доступную для поиска базу данных, включающую порядка 320 млн уникальных хешей паролей, собранных в результате различных утечек данных. Помимо инструмента, эксперт также выложил два текстовых архива. Первый включает 306 млн хешей паролей (5,3 ГБ, в распакованном виде - 11,9 ГБ), а второй - 14 млн хешей паролей (250 МБ). Клиенты компании «Ростелеком» в Южном и Уральском федеральных округах столкнулись с проблемами с доступом в интернет из-за хакерской атаки. Злоумышленники атаковали определенные модели абонентского оборудования xDSL (модемы для доступа в интернет по технологии xDSL) с устаревшей прошивкой, а также устаревшие версии антивирусов на компьютерах пользователей. Нашумевшая киберпреступная группировка Carbanak снова напомнила о себе на прошлой неделе. На этот раз жертвами хакеров стали сети ресторанов в США. Злоумышленники заражали системы заведений вредоносным ПО Bateleur, способным обходить антивирусные решения и песочницы.

Представлена платформа VIA Mobile360, предназначенная для реализации современных систем оказания помощи водителю при движении (ADAS). Главной составляющей VIA Mobile360 является довольно компактный (215 × 48 × 282 мм) компьютер повышенной прочности. Он содержит неназванный процессор с архитектурой big.LITTLE: чип объединяет четыре вычислительных ядра ARM Cortex-A17 с частотой до 1,8 ГГц и четыре ядра Cortex A7 с частотой до 1,4 ГГц. Объём оперативной памяти LPDDR3-1600 составляет 2 Гбайт. Компьютер несёт на борту флеш-модуль eMMC вместимостью 16 Гбайт и твердотельный накопитель Transcend MLC SSD ёмкостью 512 Гбайт. Кроме того, есть слоты для карт microSD и SD. Оснащение включает модуль 4G LTE, адаптеры беспроводной связи Wi-Fi 802.11b/g/n и Bluetooth 4.0, приёмник спутниковой навигационной системы GPS, сетевой контроллер Gigabit Ethernet. Есть три порта USB 2.0, а также по одному разъёму Mini USB 2.0 и USB 3.0. Компьютер допускает подключение до шести камер. Разработчик предлагает применять 1,3-Мп решения Sharp FOV-50. Кроме того, может быть подключен 7-дюймовый сенсорный дисплей с HD-разрешением. Операционная система — Android 5.0. На базе платформы VIA Mobile36 могут быть реализованы такие функции, как контроль полосы движения, предупреждение о возможном столкновении, контроль «слепых» зон, обнаружение пешеходов и других транспортных средств, идентификация дорожных знаков и пр. Цена демонстрационного комплекта VIA Mobile360 с четырьмя камерами и дисплеем составляет 4200 долларов США.

Прошедшая неделя ознаменовалась рядом событий, в числе которых взлом криптовалютного сервиса Veritaseum, утечка данных 400 тыс. клиентов итальянского банка UniCredit, арест основателя крупнейшей криптовалютной биржи BTC-E, публикация на WikiLeaks конфиденциальных документов ЦРУ и пр. Предлагаем вашему вниманию краткий обзор событий, имевших место с 24 по 30 июля нынешнего года. В начале минувшей недели криптовалютный сервис Veritaseum подвергся хакерской атаке, в результате которой злоумышленникам удалось похитить небольшое количество токенов, на продаже которых они смогли заработать довольно внушительную сумму - $8,4 млн в криптовалюте. Тогда же стало известно о том, что по вине Транспортного ведомства Швеции произошла утечка личных данных миллионов граждан страны. В публичном доступе оказались имена, фотографии и адреса проживания владельцев транспортных средств. Утечка затронула не только частный сектор, но и транспортные средства, принадлежащие полиции и армии. 26 июля представители итальянской банковской группы UniCredit сообщили о хакерских атаках, произошедших осенью 2016 года и летом нынешнего года, которые затронули порядка 400 тыс. клиентов финансовой организации. Днем ранее в Греции по запросу американских властей был задержан россиянин Александр Винник, который предположительно является основателем одной из самых крупных криптовалютных бирж BTC-E. Ему были предъявлены обвинения в «отмывании денег, заговоре с целью отмывания денег, проведении незаконных денежных операций и осуществлении нелицензируемых денежных переводов». В случае признания виновным Виннику грозит 20 лет лишения свободы. Минувшая неделя также ознаменовалась арестом создателей рекламного ПО Fireball, заразившего около 5 млн компьютеров во всем мире. На прошедшей неделе сотрудники команды безопасности Google сообщили о новом мощном вредоносном ПО для Android, предназначенном для шпионажа. Lipizzan может осуществлять различные действия, в том числе записывать звонки и VoIP разговоры, собирать данные о гаджете и пользователе, а также извлекать информацию из ряда приложений, в том числе Gmail, Hangouts, KakaoTalk, LinkedIn, Messenger, Skype, Snapchat, StockEmail, Telegram, Threema, Viber и WhatsApp. Предыдущая неделя не обошлась без публикации на WikiLeaks очередной партии секретных документов Центрального разведуправления США. В этот раз организация обнародовала информацию о проекте Imperial, включающем три инструмента для кибершпионажа - Achilles, Aeris и SeaPea, которые позволяют незаметно для пользователя совершать манипуляции с его папками и файлами. Эксперты в области безопасности продемонстрировали атаки на подключенные к интернету устройства. В частности исследователи Билли Райос и Джонатан Баттс обнаружили ряд уязвимостей в бесконтактных моющих системах для легковых автомобилей, позволяющих удаленно взломать систему и совершить физическую атаку на машину и находящихся в ней людей. Специалисты подразделения Tencent Keen Security Lab провели атаку на электромобиль Tesla Model X, в ходе которой им удалось получить контроль над системой освещения автомобиля, встроенными дисплеями, также они смогли открывать и закрывать двери и багажник транспортного средства и заставить его затормозить при движении.

Минувшая неделя ознаменовалась ликвидацией одной из крупнейших торговых площадок даркнета Hansa, резонансными инцидентами, связанными с хищением крупных сумм криптовалюты, утечкой данных 4 млн клиентов компании Dow Jones, публикацией на WikiLeaks очередной порции секретных документов ЦРУ и пр. Предлагаем вашему вниманию краткий обзор происшествий, имевших место в период с 17 по 23 июля текущего года. 17 июля блокчейн-стартап CoinDash стал жертвой взлома, в результате которого неизвестный злоумышленник похитил более 43 тыс. эфиров (обменная единица платформы Ethereum), подменив адрес указанного на сайте Ethereum-кошелька. Спустя несколько дней похожий инцидент произошел с компанией Parity. Неизвестный хакер проэксплуатировал уязвимость в Ethereum-клиенте для управления кошельками Parity и похитил криптовалюту из многопользовательских кошельков на сумму порядка $32 млн. На минувшей неделе также стало известно о том, что американская аналитическая компания Dow Jones допустила утечку данных 4 млн своих клиентов. В открытом доступе оказалась персональная информация подписчиков компании, в том числе их имена, внутренние идентификаторы, адреса, платежные реквизиты и четыре последние цифры пластиковых карт. 20 июля представители Европола сообщили о ликвидации одного из крупнейших рынков «Темной паутины» Hansa, на котором предлагались различные нелегальные товары - от наркотиков до хакерских инструментов. С помощью одного из литовских провайдеров сотрудникам нидерландской полиции удалось внедриться в инфраструктуру Hansa и получить контроль над серверами площадки в июне нынешнего года, однако сайт продолжал работать еще в течение месяца, пока полицейские собирали информацию о пользователях ресурса. В начале прошлой недели хакер под псевдонимом Johnny Walker заявил об успешном взломе электронной почты сотрудника секретного разведывательного отдела Госдепартамента США, занимающегося российским вопросом. В руках хакера оказалась частная переписка служащего за два года. Переписка велась с ЦРУ и другими разведведомствами, международными фондами, неправительственными организациями и журналистами. Еще одним событием на минувшей неделе стала публикация WikiLeaks очередной части секретных документов Центрального разведывательного управления США. В этот раз организация обнародовала информацию о подрядчике ЦРУ, компании Raytheon Blackbird Technologies, специализирующейся на анализе используемых киберпреступниками сложных программ и техник. С ноября 2014 года по сентябрь 2015 года компания предоставила разведслужбе по меньшей мере пять отчетов с анализом разработанных киберпреступниками методов и векторов атак. Предположительно, ЦРУ использовало эти данные при разработке собственного вредоносного ПО.

Правительство Великобритании намерено ужесточить законодательство касательно использования беспилотных летательных аппаратов, так как их растущая популярность вызывает целый ряд проблем с безопасностью для окружающих. Гражданам, которые владеют беспилотными летательными аппаратами весом более 250 г, может потребоваться в соответствии с новыми правилами, анонсированными правительством в субботу, зарегистрировать свой беспилотный летательный аппарат и посещать курсы по технике безопасности. Новые правила были разработаны после ряда инцидентов с участием дронов, чуть было не приведших к аварии авиалайнеров. Министерство транспорта Великобритании не уточнило, когда могут быть введены новые правила и каким будет порядок их применения, но заявило, что предлагаемое тестирование предназначено для оценки того, насколько осведомлены владельцы о правилах безопасности полётов, обеспечении авиационной безопасности и конфиденциальности. Правительство заявило о планах продвигать и расширять использование «геофенсинга» с целью предотвращения попадания дронов в воздушное пространство над запрещёнными территориями, включая режимные объекты и пространство над аэропортом. Для этого предполагается программировать беспилотные летательные аппараты с использованием GPS-координат. «Наши меры направлены на то, чтобы защитить общественность, максимально используя весь потенциал беспилотных летательных аппаратов, — заявил министр авиации лорд Мартин Калланан (Martin Callanan). — Благодаря регистрации беспилотных летательных аппаратов и введению тестов на знание техники безопасности мы можем уменьшить непреднамеренное нарушение воздушного пространства с особым режимом полётов и защитить таким образом общественность». В дополнение к новым правилам, пользователи беспилотников в Великобритании также должны следовать «коду дронов», согласно котором дрон должен всегда находится в поле зрения оператора на высоте ниже 400 футов (122 м), на разумном расстоянии от людей и объектов, и, что самое главное, необходимо использовать дрон подальше от аэропортов. DJI, один из самых известных производителей беспилотников, заявил агентству BBC, что он выступает за предложенные правительством Великобритании новые правила.

Прошедшая неделя ознаменовалась закрытием крупнейшей нелегальной торговой площадки даркнета AlphaBay, утечкой данных 14 млн клиентов компании Verizon, публикацией на WikiLeaks очередного хакерского инструмента ЦРУ и пр. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 10 по 16 июля 2017 года. На прошлой неделе стало известно сразу о нескольких утечках данных. Во-первых, доступной в Сети оказалась персональная информация 14 млн клиентов американской телекоммуникационной компании Verizon. Инцидент произошел по вине стороннего подрядчика, не ограничившего внешний доступ к серверу Amazon S3, где хранятся данные. Доступ к серверу и его содержимому можно было получить с помощью ссылки с указанием поддомена verizon-sftp. Во-вторых, утечку данных своих клиентов подтвердили сети гостинично-развлекательных комплексов Hard Rock, Loews и Trump Hotels . Инцидент произошел в результате взлома системы бронирования SynXis Central Reservations от компании Sabre. Одним из наиболее громких событий прошлой недели стало отключение крупнейшего черного рынка «глубинной паутины» AlphaBay. Сайт торговой площадки ушел в offline еще 5 июля, однако о причинах отключения ничего не сообщалось. Как стало известно на прошлой неделе, 5 июля в ходе правоохранительной операции прошли обыски в трех странах и был арестован предполагаемый администратор AlphaBay. Спустя неделю арестованный был обнаружен повешенным в своей камере в тюрьме Таиланда. Организация WikiLeaks опубликовала в рамках проекта Vault 7 очередную порцию секретных документов ЦРУ. В этот раз был обнародован проект под названием HighRise, представляющий собой Android-приложение для перехвата и перенаправления SMS-сообщений на удаленный сервер. На прошлой неделе представитель Министерства иностранных дел РФ Мария Захарова сообщила о кибератаке на сайт ведомства, имевшей место 29 июня текущего года. Злоумышленники заблаговременно взломали электронную почту посольства России в Иране и стали рассылать с нее фишинговые письма. В четверг, 13 июля, появилось сообщение о наличии на портале госуслуг неизвестного вредоносного кода. По мнению экспертов «Лаборатории Касперского» и «Яндекса», атака не являлась таргетированной, а посторонний код представлял собой рекламное ПО. В настоящее время постороннее ПО уже удалено. В Минкомсвязи РФ считают, что угроза от вредоноса незначительна, и ни посетители сайта, ни их данные или компьютеры не пострадали. В очередной раз о себе напомнили «русские хакеры». Британское издание The Times сообщило об атаке киберпреступников, связанных с правительством РФ, на британские энергосети. Злоумышленники атаковали ирландское Управление по поставкам электроэнергии (Ireland’s Electricity Supply Board) с целью получить контроль над системами управления сетями. Издание отмечает, что сбоев в работе энергосетей зафиксировано не было, но, как полагают эксперты, хакеры могли похитить пароли к системам безопасности, отвечающим за поддержание работы британского энергосектора. Французский регистратор доменных имен Gandi допустил подмену доменных имен для 751 домена. Согласно официальному заявлению Gandi, неизвестные проникли в сеть одного из провайдеров компании и получили доступ к ее учетным данным. С их помощью злоумышленники изменили данные на серверах доменных имен для 751 домена, перенаправив трафик на вредоносный сайт.

Казахстанские и российские специалисты усилили меры пожарной безопасности в связи с предстоящим 14 июля запуском с космодрома Байконур ракеты-носителя (РН) "Союз-2.1а" с космическим аппаратом "Канопус-В-ИК", сообщила пресс-служба министерства оборонной и аэрокосмической промышленности Казахстана. Из-за жары и сильного ветра в месте падения боковых блоков ракеты-носителя "Союз-2.1а", запущенной 14 июня с космодрома Байконур, в 50 километрах от города Жезказган произошел степной пожар. После порыва ветра пламенем накрыло автомобиль КамАЗ, в котором находились два гражданина Казахстана, сотрудники АО "ВПК "НПО Машиностроения", выполнявшие работы по сбору отделяемых частей ракет-носителей. В результате пожара на месте погиб водитель автомашины, позже в больнице скончался слесарь механосборочных работ. "Министерством оборонной и аэрокосмической промышленности Республики Казахстан, Госкорпорацией по космической деятельности "Роскосмос" совместно с российским Центром эксплуатации объектов наземной космической инфраструктуры и организациями ракетно-космической промышленности РФ проведена работа по усилению группировки пожарных расчетов, сил и средств комитета по чрезвычайным ситуациям (КЧС) МВД РК, привлекаемых к обеспечению безопасности запуска ракеты-носителя (РН) "Союз-2.1а" с космическим аппаратом "Канопус-В-ИК", запланированного на 14 июля с космодрома Байконур", — говорится в сообщении на сайте министерства. Согласно информации, планируется привлечь дополнительную авиатехнику для послепускового облета района падения ступени ракеты-носителя с целью контроля и устранения последствий с участием представителей акиматов (администрации) Костанайской и Актюбинской областей. Для мониторинга обстановки будут применяться данные дистанционного зондирования Земли для проведения спутниковой съемки территории до и после пуска с целью своевременного обнаружения обломков ракетно-космической техники. Одновременно с этим будут использоваться беспилотные летательные аппараты типа "Орлан" для контроля обстановки и выявления возможных угрожающих факторов. При этом в режиме реального времени планируется обеспечить фото и видеосъемку местности до 60 км с привязкой обнаруженных фрагментов ракеты-носителя с точностью до 20 см. Представителями российского АО "ВПК "НПО машиностроения" проведено усиление наземной поисковой группы пожарными автомобилями, также будет привлечена пожарная техника Актюбинской и Костанайской областей. Кроме того, для обеспечения качественной радиосвязью специалисты АО "ВПК "НПО машиностроения" провели реконструкцию антенного поля в Жезказгане, а также закуп и модернизацию приемо-передающих устройств и средств защиты персонала наземной поисковой группы.

На прошлой неделе мир по-прежнему приходил в себя после атак с использованием вредоносного ПО NotPetya. Более того, украинским правоохранителям удалось остановить вторую волну атак. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 3 по 9 июля 2017 года. Начало прошлой недели ознаменовалось сообщениями сразу о двух инцидентах, затронувших участников Ethereum- и Bitcoin-сообществ. С помощью социальной инженерии неизвестные получили контроль над кошельком Classic Ether Wallet для криптовалюты Ethereum Classic и похитили $300 тыс. у его пользователей. В тот же день жертвой хакеров стала четвертая по величине биржа криптовалют Bithumb. Злоумышленникам удалось заполучить имена пользователей, их электронные адреса и номера телефонов. Вскоре после взлома пользователи стали жаловаться на похищение средств с их счетов на Bithumb. Как именно хакеры получили контроль над кошельками, не уточняется. В среду, 5 июля, Департамент Киберполиции Национальной полиции Украины совместно с сотрудниками Службы безопасности Украины (СБУ) пресек второй этап кибератаки NotPetya. Как сообщил министр внутренних дел Украины Арсен Аваков, пик атаки планировался на 16:00, а сама она началась в 13:40. До 15:00 Киберполиция заблокировала рассылку и активацию вируса с сервера обновлений ПО для бухучета «М.e.doc». Как известно, NotPetya попадал на компьютеры жертв через обновления бухгалтерской программы «М.e.doc» производства украинской компании «Интеллект-сервис». Поначалу руководство компании отрицало какую-либо причастность к атакам, однако затем было вынуждено признать наличие бэкдора в своей продукции. На прошлой неделе о себе впервые дали знать операторы NotPetya. Вопреки мнению ИБ-экспертов, уверенных в незаинтересованности хакеров в деньгах, они заявили о готовности выпустить инструмент для восстановления зашифрованных вредоносом файлов. Для этого жертвы должны собрать 100 биткойнов (порядка $300 тыс.). В качестве доказательства своей способности расшифровать данные киберпреступники восстановили зашифрованный NotPetya файл, полученный от журналистов Motherboard. Пока операторы NotPetya пытаются сорвать большой куш, авторы оригинального вымогателя Petya решили уйти из бизнеса. Из-за плохой репутации NotPetya разработчики Janus Cybercrime Solutions предоставили бесплатный мастер-ключ для расшифровки файлов, пострадавших от всех существующих версий Petya (оригинального Petya, Mischa и GoldenEye), кроме NotPetya. Еще одним громким событием на прошлой неделе стала очередная публикация WikiLeaks. На этот раз в рамках проекта Vault 7 организация обнародовала документы, описывающие два хакерских инструмента из арсенала Центрального разведывательного управления США - BothanSpy и Gyrfalcon. Первый из них нацелен на клиентскую программу Xshell для Microsoft Windows и позволяет перехватывать пользовательские учетные данные для активных SSH-сессий. Второй инструмент представляет собой закладку для клиентов OpenSSH на дистрибутивах Linux. В четверг, 6 июля, издание Bloomberg сообщило о расследовании кибератак на электростанции в США. По словам журналистов, главным подозреваемым является Россия. В частности в числе жертв хакеров значится электростанция Wolf Creek в Канзасе, принадлежащая компаниям Westar Energy, Great Plains Energy и Kansas Electric Power Cooperative. Не обошлось на прошлой неделе без сообщений об опасных троянах для Android-устройств. К примеру, исследователи Check Point предупредили о новом вредоносном ПО CopyCat, уже заразившем 14 млн гаджетов по всему миру. Всего за два месяца вредонос принес своим операторам $1,5 млн. Кроме того, специалисты Palo Alto Networks сообщили о появлении нового многофункционального трояна SpyDealer. Вредонос может получать доступ к смартфонам с правами суперпользователя, похищать данные из более 40 приложений и отслеживать местонахождение пользователя.

Прошедшая неделя войдет в историю, как неделя, когда мир поразила масштабная кибератака с использованием мощного вредоносного ПО NotPetya. Кроме того, портал WikiLeaks «расщедрился» и один за другим опубликовал два хакерских инструмента из арсенала ЦРУ. Предлагаем вашему вниманию краткий обзор главных инцидентов безопасности за период с 26 июня по 2 июля 2017 года. 27 июня компании России и Украины подверглись масштабным кибератакам с использованием вредоносного ПО NotPetya, также известного как Petya.A. В РФ от атак пострадали предприятия «Роснефть» и «Башнефть», а в Украине из строя вышла компьютерная сеть кабинета министров, ПО в аэропорту «Борисполь», Укрпочта, Киевский метрополитен, некоторые банки, включая «Ощадбанк». Также прекратил работу сайт МВД Украины. NotPetya эксплуатирует ту же уязвимость в Windows, что и печально известный WannaCry. Как и WannaCry, вредонос шифрует файлы на компьютере жертвы и требует выкуп за их восстановление. Тем не менее, по словам целого ряда ИБ-экспертов, возможность расшифровки файлов в NotPetya не предусмотрена, и на самом деле программа является не вымогателем, а инструментом для уничтожения данных на атакуемых системах с целью саботажа. Согласно заявлению Службы безопасности Украины, за атаками стоит Россия, а дата была выбрана не случайно – 28 июня украинцы отмечают День Конституции Украины. 28 июня портал WikiLeaks опубликовал очередную порцию секретных документов ЦРУ в рамках проекта Vault 7. На сайте появилась 42-страничная инструкция по использованию инструмента ELSA, позволяющего отслеживать пользователей Windows-устройств с поддержкой Wi-Fi на основе данных расширенной зоны обслуживания (Extended Service Set, ESS) или ближайших сетей Wi-Fi. Спустя несколько дней после публикации инструкции к ELSA портал WikiLeaks выложил документ, описывающий инструмент OutlawCountry для удаленного шпионажа на компьютерах под управлением Linux. На прошлой неделе власти США предупредили компании электроэнергетического сектора о кибератаках. С мая текущего года злоумышленники с помощью фишинга похищают учетные данные для доступа к сетям предприятий и уже предприняли несколько попыток атак. 29 июня остановила работу атомная электростанция «Ви-Си Саммер» в Южной Каролине. По словам представителей компании, инцидент был вызван сбоем в работе клапана, незадействованного в процессе производства атомной электроэнергии. В ночь с 29 по 30 июня неизвестные захватили контроль над доменом кошелька Classic Ether Wallet для криптовалюты Ethereum Classic и похитили со счетов его пользователей $300 тыс. Из-за недостаточно защищенного репозитория на сайте GitHub произошла утечка данных 18 млн пользователей социального стримингового музыкального сайта 8Tracks. По заверению владельцев ресурса, все пароли пользователей зашифрованы с добавлением соли, однако все равно не рекомендуется использовать их для других сайтов. Утечка не затронула тех, кто авторизуется на 8Tracks через Google или Facebook.

Прошедшая неделя оказалась довольно беспокойной для экспертов в области кибербезопасности. Спустя более месяца после глобальной атаки WannaCry червь по-прежнему атакует системы. Кроме того, портал WikiLeaks опубликовал очередной хакерский инструмент ЦРУ, и снова напомнили о себе «русские хакеры». Предлагаем вашему вниманию краткий обзор инцидентов безопасности за период с 19 по 25 июня 2017 года. Много шума на прошлой неделе наделал масштабный сбой в работе Skype, в результате которого большинство пользователей в Европе и частично в США не могли подключиться к сервису. Microsoft не сообщила причину проблемы, однако киберпреступная группировка CyberTeam заявила, что сбой в работе Skype – якобы ее рук дело. По словам злоумышленников, они осуществили мощную DDoS-атаку, положившую «начало новой эры». Не обошлось на прошлой неделе без утечек данных. Исследователи компании UpGuard обнаружили в открытом доступе на сервере Amazon S3 незащищенную базу данных 198 млн американских избирателей. Содержащаяся в ней информация принадлежит трем сотрудничающим с Республиканской партией США аналитическим компаниям. В БД содержатся имена, даты рождения, домашние адреса, телефонные номера, сведения о национальной и религиозной принадлежности, а также другие данные зарегистрированных избирателей, собираемые аналитическими компаниями для прогноза их поведения. На одном из русскоязычных хакерских форумов предлагаются для продажи или обмена учетные данные от почтовых ящиков тысяч британских госслужащих, включая министров, послов и руководящих сотрудников полиции. Кроме того, на выходных стало известно об атаке на членов британского парламента. По словам официального представителя парламента, злоумышленники пытались найти слабые пароли для входа в электронную почту. Большой резонанс вызвала утечка внутренних сборок и фрагментов исходного кода Windows 10. Массив размером 32 ТБ (в архивированном виде 8 ТБ), включающий официальные и приватные образы, исходный код драйверов Windows 10, стеков USB и Wi-Fi, а также код ARM-версии ядра OneCore, был загружен на сайт betaarchive.com. Предположительно, конфиденциальные данные в этом архиве были нелегально получены из внутреннего хранилища Microsoft в марте нынешнего года. Очередным подарком для хакеров стала публикация WikiLeaks инструмента Brutal Kangaroo, разработанного ЦРУ для взлома физически изолированных систем. После установки вредонос собирает хранящуюся на компьютере информацию и с помощью модуля Broken Promise анализирует ее на предмет ценных сведений. Внимание общественности на прошлой неделе привлекла публикация в The Washington Post результатов журналистского расследования, посвященного санкциям США в отношении РФ. По данным издания, в числе прочих санкций Обама также одобрил специальную секретную программу по разработке и внедрению «киберимплантов» в российскую электронную инфраструктуру, которые могли бы быть активированы в случае эскалации конфликта между США и Москвой. В свою очередь, появились новые сведения о попытках «русских хакеров» атаковать избирательную инфраструктуру США. Как оказалось, в ходе президентской кампании 2016 года в США «русские хакеры» атаковали избирательные системы в 21 штате страны. Хотя злоумышленникам удалось получить доступ к некоторым из них, свидетельств манипуляций с результатами голосования нет. В последнее время особой популярностью у киберпреступников пользуется вымогательское ПО. Спустя месяц после глобальной атаки WannaCry вредонос снова дал о себе знать. В результате заражения сети автопроизводитель Honda был вынужден на сутки приостановить работу одного из своих заводов. Кроме того, червь заблокировал работу несколько десятков дорожных камер и светофоров в Австралии. Помимо WannaCry, головную боль одной из южнокорейских компаний причинил вымогатель Erebus, переквалифицировавшийся с Windows на Linux. Вредонос зашифровал хостинговые серверы компании, вынудив ее руководство выплатить $1 млн за их восстановление. Кроме сравнительно новых образцов вымогательского ПО злоумышленники продолжают использовать старое. Эксперты Cisco Talos зафиксировали масштабную кампанию по распространению обновленного шифровальщика Locky. Вредонос распространяется с помощью известного ботнета Necurs и заражает системы, работающие исключительно на Windows XP и Vista.

На прошлой неделе обошлось без масштабных утечек данных и резонансных кибератак. Тем не менее, ни ИБ-экспертам, ни пользователям, ни журналистам скучать не пришлось. Предлагаем ознакомиться с кратким обзором главных событий в мире информационной безопасности за период с 12 по 18 июня 2017 года. Среди прочего, прошедшая неделя ознаменовалась публикацией на сайте WikiLeaks очередного хакерского инструмента из арсенала ЦРУ. ПО CherryBlossom предназначено для отслеживания активности пользователей в интернете. В частности инструмент предоставляет возможности для удаленного взлома беспроводных сетевых устройств, таких как маршрутизаторы и точки доступа. Что касается вредоносного ПО, на прошлой неделе были обнаружены новые инструменты для атак на критические промышленные системы, способные вызывать сбой в работе энергосетей. По мнению ИБ-экспертов, именно Industroyer и CrashOverRide использовались в атаках на компьютерную сеть компании «Укрэнерго» в декабре 2016 года. По мере того, как компьютеры Mac набирают популярность, для «яблочной» ОС появляется все больше вредоносного ПО. На прошлой неделе исследователи безопасности рассказали о двух сервисах в даркнете, предоставляющих вымогательские и шпионские программы для Mac – MacRansom и MacSpy соответственно. Еще одним примечательным событием прошлой недели стало признание 25-летнего британца, взломавшего спутниковую коммуникационную систему Минобороны США и похитившего персональные данные военнослужащих. Шон Кэффри проник в систему 15 июня 2014 года и получил доступ к сотням учетных записей. Похищенная информация включала данные о званиях, логинах и адресах электронной почты свыше 800 пользователей коммуникационной системы, а также пользователей 30 тыс. спутниковых телефонов. Министерство внутренней безопасности США совместно с ФБР предупредило о возможных кибератаках со стороны хакерской группировки Hidden Cobra (она же Lazarus и Guardians of the Peace), предположительно связанной с правительством КНДР. Согласно предупреждению, группировка продолжает осуществлять кибероперации в военных и стратегических интересах Северной Кореи. Эксперт компании Yoroi Марко Рамилли описал многоэтапную атаку, направленную на итальянские организации. В рамках вредоносной кампании злоумышленники рассылают электронные письма на итальянском языке с загрузчиком, замаскированным под бланк заказа.

Главным событием прошлой недели можно назвать публикацию секретного отчета Агентства национальной безопасности США, посвященного предполагаемым попыткам России повлиять на выборы американского президента. Да и сами «русские хакеры» в очередной раз напомнили о себе. Группировка APT 28 подозревается в осуществлении кибератак на Черногорию, а хакерам из Turla приписывается использование вредоносного ПО, хранящего адрес C&C-сервера в комментарии под фото в Instagram. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 5 по 11 июня 2017 года. Начало прошлой недели ознаменовалось утечкой секретного отчета АНБ, посвященного вопросу вмешательства «русских хакеров» в выборы президента США. Согласно документу, перед выборами злоумышленники пытались взломать системы как минимум одного из поставщиков аппаратного и программного обеспечения для проведения голосования. Насколько успешной оказалась атака и повлияла ли она на исход выборов, в отчете не уточняется. Как оказалось, секретный документ АНБ был передан журналистам сотрудницей подрядчика правительства США 25-летней Реалити Ли Уиннер. Девушка была арестована у себя дома 3 июня, после чего дала признательные показания. Во вторник, 6 июня, на брифинге для журналистов компания FireEye представила новые сведения о кибератаках на правительство Черногории. По словам исследователей, за инцидентами стоит хакерская группировка APT 28, часто связываемая со спецслужбами РФ. Вероятной причиной кибератак эксперты считают вступление Черногории в НАТО. Помимо атак на Черногорию, «русские хакеры» также обвиняются во взломе государственного информагентства Катара и публикации сфабрикованной информации, которая привела к разрыву дипломатических отношений между Катаром и рядом других государств. Какие именно «русские хакеры» стоят за атакой, киберпреступные группировки или спецслужбы, неизвестно. Исследователи безопасности сообщили о необычном трояне, используемом кибершпионской группировкой (предположительно российской) Turla. Вредонос маскируется под расширение для Firefox и хранит данные о расположении своего C&C-сервера в комментарии под фотографией певицы Бритни Спирс в Instagram. Специалисты SantinelOne рассказали о непривычной технике распространения вредоносного ПО Zusy с помощью PowerPoint-презентации. Вредонос выполняет код не с помощью макросов, а с помощью PowerShell-сценария. Эксперты компании Qihoo 360 обнаружили вымогательское ПО для Android-устройств, маскирующееся под печально известный WannaCry. Для того чтобы напугать пользователей и заставить их поскорее заплатить выкуп, вредонос использует такое же, как у WannaCry уведомление с требованием выкупа. В отличие от большинства вымогателей для мобильный устройств он не просто блокирует экран, а шифрует файлы. Команда безопасности Google удалила из Play Store приложение для Android-устройств под названием colourblock после того, как эксперты «Лаборатории Касперского» обнаружили в нем встроенный троян. DVMap является совершенно новым и никогда раньше не использовался злоумышленниками. Не обошлось на прошлой неделе и без утечек данных. Исследователи компании Kromtech Security Research Center обнаружили в открытом доступе незащищенную БД, содержащую свыше 10 млн идентификационных номеров транспортных средств (VIN). По мнению экспертов, она была создана для маркетинговых целей одним или несколькими автодилерами из США. 9 июня произошел сбой в работе платежных терминалов Сбербанка, затронувший и другие финорганизации. Согласно сообщению пресс-службы банка, в течение 40 минут некоторые клиенты испытывали сложности в проведении операций по интернет-эквайрингу при осуществлении переводов и снятии наличных в PoS-терминалах и устройствах самообслуживания по картам MasterСard и «Мир».

Прошедшая неделя ознаменовалась публикацией очередного хакерского инструмента ЦРУ, раскрытием масштабной вредоносной кампании в Google Play, волной заражений вирусом Fireball и другими событиями. Предлагаем ознакомиться с кратким обзором главных инцидентов безопасности за период с 29 мая по 4 июня 2017 года. На прошлой неделе хакерская группировка The Shadow Brokers представила подробности о своем новом сервисе по предоставлению эксплоитов и утекших данных. В мае текущего года киберпреступники заявили о намерении запустить платный сервис «Wine of Month Club», подписчики которого ежемесячно будут получать новые эксплоиты, и теперь воплощают обещанное в жизнь. За 100 монет Zcash (около $21,5 тыс.) в месяц любой желающий может получать от хакеров свежие инструменты для взлома. ИБ-эксперты решили запустить кампанию по сбору средств на эксплоиты The Shadow Brokers с целью их изучения и подготовке к будущим атакам. Тем не менее, от этой идеи пришлось отказаться, поскольку многие специалисты выступили против спонсирования киберпреступников даже с благими намерениями. Исследователи Check Point раскрыли подробности об одной из наиболее масштабных кампаний по распространению вредоносного ПО в Google Play. Эксперты обнаружили рекламный инструмент Judy для «накручивания» кликов в 41 приложении одной из корейских компаний. Вредонос автоматически нажимает на огромное количество рекламных баннеров, тем самым принося прибыль своим создателям. Эксперты компании также сообщили о вирусе Fireball, на этот раз распространяемом китайским маркетинговым агентством. Вредонос атакует браузеры, запуская код или загружая на компьютер жертвы любые материалы. По данным исследователей, Fireball инфицировал 250 млн компьютеров, 20% от которых составляют корпоративные системы. Журналист Брайан Кребс рассказал об очередной утечке данных клиентов американской торговой сети Kmart. PoS-терминалы в некоторых магазинах оказались заражены неизвестным вредоносным ПО, которое не обнаруживалось антивирусами. В результате в руках злоумышленников оказались данные банковских карт некоторых покупателей. Хакерская группировка APT 28 в перерывах между шпионскими операциями решила подзаработать на шантаже. Злоумышленники взломали компьютеры клиники пластической хирургии в Литве, похитили фотографии и личную информацию ее пациентов и потребовали выкуп, пригрозив в случае неуплаты опубликовать похищенные материалы в открытом доступе. Жертвы отказались платить, и 25 тыс. снимков попали в интернет. Как показала прошлая неделя, киберпреступники атакуют не только легитимные ресурсы, но и сайты даркнета. Хакер под псевдонимом Cipher0007 взломал подпольную торговую площадку Sanctuary Dark Web, проэксплуатировав уязвимость в ее базе данных. После двухнедельного молчания портал WikiLeaks опубликовал очередной хакерский инструмент из арсенала ЦРУ. Вредоносное ПО Pandemic предназначено для взлома компьютеров с общими папками, откуда пользователи загружают файлы с помощью протокола SMB. Его задачей является прослушивание SMB-трафика и определение попыток пользователей загрузить общие файлы с зараженного компьютера. Pandemic перехватывает запросы на загрузку и отвечает от имени инфицированной системы, но вместо легитимных файлов отправляет пользователю зараженные.

В отличие от двух предыдущих недель прошедшая неделя выдалась довольно спокойной с точки зрения инцидентов безопасности и ознаменовалась обнаружением серьезной уязвимости в Android, позволяющей захватить контроль над устройством, сообщением о черве, использующем сразу 7 эксплоитов Агентства национальной безопасности США, и т.д. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 22 по 28 мая 2017 года. В начале прошлой недели стало известно об атаке неизвестных хакеров на мониторинговую группу ООН, ведущую расследование нарушения режима санкций в отношении КНДР. Согласно предупреждению, отправленному председателем экспертной группы чиновникам ООН и комитету по санкциям 1718 (по КНДР) Совбеза, в результате продолжительной атаки злоумышленникам удалось взломать компьютер одного из следователей. Исследователь безопасности Мирослав Стампар обнаружил сетевого червя EternalRocks, использующего сразу семь эксплоитов АНБ – EternalBlue, Eternalchampion, Eternalromance, Eternalsynergy, Doublepulsar, Architouch и SMBtouch. Вредонос маскируется под WannaCry, однако в отличие от последнего не загружает на атакуемую систему вымогательское ПО. EternalRocks используется для подготовки на системе жертвы плацдарма для осуществления дальнейших атак. Эксперты Check Point сообщили об уязвимости в популярных видеоплеерах, позволяющую взломать атакуемый компьютер с помощью субтитров к видеороликам. Уязвимость затрагивает такие популярные стриминговые платформы, как VLC, Kodi, PopcornTime и Stremio. Исследователи Технологического института Джорджии и Калифорнийского университета в Санта-Барбаре обнаружили серьезную уязвимость, затрагивающую все версии ОС Android (в том числе последнюю версию Android 7.1.2 Nougat). С ее помощью злоумышленник может получить контроль над устройством без ведома его владельца и запускать приложения в «режиме бога». Что касается утечек, то в начале прошлой недели на хакерских форумах Рунета была выставлена на продажу «Московская база данных на 100 000 экстремистов». В БД содержится информация о пользователях соцсети «ВКонтакте», якобы распространяющих экстремистские материалы. Среди прочих, в базу «экстремистов» попали депутаты Государственной думы РФ, выпускники ВУЗов спецслужб и силовых ведомств, сотрудники компаний «Яндекс» и «Mail.Ru Group», активисты и журналисты крупных СМИ. Исследователи из Citizen Lab при Университете Торонто представили доклад, согласно которому хакеры фальсифицировали данные для дискредитации критиков российских властей в РФ и других странах. Злоумышленники взламывали электронную почту своих жертв, модифицировали документы, а затем публиковали их под видом настоящих «утечек». Основатель соцсети «ВКонтакте» и мессенджера Telegram сообщил о попытке взлома его почтового ящика Gmail. Соответствующее предупреждение Павел Дуров получил от Google.

На прошлой неделе мир отходил от атак с использованием вымогательского ПО WannaCry. Тем не менее, помимо борьбы с червем, ИБ-эксперты столкнулись с целым рядом других угроз. Предлагаем вашему вниманию краткий обзор главных событий в мире ИБ за период с 15 по 21 мая 2017 года. Хакерская группировка The Shadow Brokers решила подзаработать на фоне ажиотажа вокруг WannaCry и объявила о запуске платного сервиса, подписчики которого ежемесячно будут получать свежие эксплоиты. Помимо инструментов для взлома всех версий Windows (в том числе «десятки»), киберпреступники пообещали своим клиентам информацию о ядерных программах РФ, Ирана, КНДР и Китая. Напомним, червь WannaCry распространяется с помощью эксплоита EternalBlue, предположительно принадлежащего АНБ США и опубликованного The Shadow Brokers в прошлом месяце. WannaCry – далеко не единственный вредонос, распространяющийся с использованием EternalBlue. Исследователи компании Trend Micro обнаружили отдельное семейство программ-вымогателей UIWIX, эксплуатирующее ту же уязвимость, что и WannaCry, однако существенно отличающееся от последнего. Кроме того, был обнаружен майнер криптовалюты Adylkuzz, использовавшийся в атаках с 24 апреля по 2 мая текущего года. И UIWIX, и Adylkuzz – «цветочки» по сравнению с вредоносным ПО EternalRocks, которое использует сразу семь эксплоитов из арсенала АНБ, в прошлом месяце опубликованных The Shadow Brokers. Червь маскируется под WannaCry, однако не загружает на систему жертвы вымогательское ПО. С его помощью хакеры подготавливают «плацдарм» для дальнейших атак. Помимо WannaCry, жители Украины стали жертвами вымогательского ПО XData. 19 мая XData оказался на втором месте в списке наиболее активных программ-вымогателей, с небольшим отрывом следуя за Cerber. 95% инфекций XData пришлось на Украину, остальные 5% - на Россию, Германию и Эстонию. Эксперты ожидают роста числа атак, подобных WannaCry, поскольку портал WikiLeaks опубликовал очередной эксплоит из арсенала ЦРУ. Согласно утекшей документации, инструмент позволяет взломать версии Windows, начиная от Windows XP и заканчивая Windows 10, и получить контроль над системой. Как и раньше, на прошлой неделе традиционно о себе дали знать «русские хакеры». В этот раз киберпреступники атаковали более 10 тыс. пользователей Twitter, работающих в Минобороны США. Злоумышленники отправляли сотрудникам Пентагона тщательно составленные сообщения в Twitter, содержащие ссылки на подконтрольный хакерам сервер. С сервера на системы жертв загружалось вредоносное ПО, предоставляющее киберпреступникам контроль над учетными записями в Twitter, мобильным устройством или компьютером. Не обошлось на прошлой неделе без утечек данных. Крупнейшая в Канаде телекоммуникационная компания Bell Canada сообщила об утечке информации 1,9 млн своих клиентов. Неизвестные злоумышленники получили несанкционированный доступ к 1,9 млн активных электронных адресов и 1,7 тыс. имен и активных телефонных номеров. Факт утечки данных также подтвердил поставщик технологии цифровой подписи DocuSign. В результате инцидента в руки злоумышленников попали адреса электронной почты клиентов DocuSign. Похищенную информацию киберпреступники использовали в ряде масштабных спам-кампаний. ИБ-эксперты обнаружили в открытом доступе базу данных с 560 млн утекших паролей, которую исследователи из MacKeeper уже успели окрестить «матерью всех утечек». База данных содержит 560 млн паролей, утекших в результате целого ряда прошлых взломов популярных сайтов и сервисов. Пользователи столкнулись с распространением в Сети ссылки на поддельный сайт мессенджера WhatsApp - «шhaтsapp.com», который предлагает новое разноцветное оформление интерфейса, но в действительности перенаправляет на сайт с рекламным ПО. Для придания сходства с whatsapp.com и введения пользователей в заблуждение создатели фальшивого сайта использовали кириллические символы, похожие на латинские.

Прошлая неделя принесла экспертам в области безопасности бесконечную головную боль. Начало недели ознаменовалось сообщением о появлении нового IoT-ботнета и обнаружением «худшей за всю историю» уязвимости в Windows, а окончание оказалось и того хуже – полторы сотни стран накрыла волна кибератак с использованием вымогательского ПО WannaCry. Предлагаем вашему вниманию краткий обзор главных инцидентов безопасности за период с 8 по 14 мая текущего года. 9 мая исследователи сообщили о новом ботнете Persirai, состоящем из устройств «Интернета вещей» (IoT). Вредонос базируется на части кода печально известного Mirai и эксплуатирует уязвимости, описанные исследователем Пьером Кимом в марте текущего года. Разработчики видеоконвертера HandBrake для Mac предупредили о взломе сервера-зеркала официального сайта приложения. Злоумышленники взломали сервер download.handbrake.fr, с которого пользователи загружали ПО, и заменили официальную версию HandBrake вредоносной со встроенным трояном для удаленного доступа Proton. Для Microsoft прошедшая неделя также оказалась весьма напряженной. Помимо плановых ежемесячных обновлений, исправляющих ряд уязвимостей нулевого дня, компании пришлось выпустить два экстренных патча. Релиз первого состоялся до выхода майских обновлений. Патч исправляет серьезную уязвимость в Microsoft Malware Protection Engine (MMPE), позволяющую удаленно выполнить код. Второй был выпущен в конце недели и предназначен для Windows XP, Windows 8 и Windows Server 2003. Причиной выхода обновлений для более неподдерживаемых ОС послужила волна масштабных атак с применением вымогательского ПО WannaCry. Большой резонанс на прошлой неделе вызвало сообщение о встроенном кейлоггере в ноутбуках и планшетах HP. По данным швейцарской ИБ-компании Modzero, кейлоггер встроен в аудиодрайвер производства Conexant. Компонент драйвера MicTray64.exe является исполняемым файлом, позволяющим драйверу отвечать, когда пользователь нажимает определенные клавиши. Как оказалось, файл отправляет все строки на интерфейс отладки или записывает в журнал регистрации на диске C компьютера. На прошлой неделе традиционно не обошлось без обвинений в адрес «русских хакеров». На этот раз Россия подозревается в атаках на электроэнергетический сектор Прибалтики. Как уже упоминалось выше, конец недели ознаменовался беспрецедентной волной кибератак с использованием вымогательского ПО WannaCry. Атаки осуществлялись с помощью эксплоита EternalBlue, предположительно разработанного Агентством национальной безопасности США. Жертвами вымогателя стали несколько сотен тысяч компьютеров в 150 странах мира. Британскому программисту под псевдонимом MalwareTech удалось временно приостановить атаку, однако эксперты прогнозируют рост числа заражений новыми вариантами WannaCry.