Поиск сообщества: Показаны результаты для тегов 'безопасности'.

  • Поиск по тегам

    Введите теги через запятую.
  • Поиск по автору

Тип контента


Форумы

  • Cпутниковое ТВ
    • Основной раздел форума
    • Кардшаринг
    • Новости
    • Транспондерные новости, настройка антенн и приём
    • Dreambox/Tuxbox/IPBox/Sezam и др. на базе Linux
    • Ресиверы Android
    • Другие ресиверы
    • Galaxy Innovations (без OS Linux)
    • Обсуждение HD\UHD телевизоров и проекторов
    • DVB карты (SkyStar, TwinHan, Acorp, Prof и др.)
    • OpenBOX F-300, F-500, X540, X560, X590, X-800, X-810, X-820, S1
    • Openbox X-730, 750, 770CIPVR, 790CIPVR
    • OpenBOX 1700(100), 210(8100),6xx, PowerSky 8210
    • Golden Interstar
    • Globo
    • Спутниковый интернет/спутниковая рыбалка
  • Общий
    • Курилка
    • Барахолка

Категории

  • Dreambox/Tuxbox
    • Эмуляторы
    • Конфиги для эмуляторов
    • JTAG
    • Picons
    • DM500
    • DM600
    • DM7000
    • DM7020
    • Программы для работы с Dreambox
    • DM7025
    • DM500 HD
    • DM800 HD
    • DM800 HDSE
    • DM8000 HD
    • DM 7020 HD
    • DM800 HD SE v2
    • DM 7020 HD v2
    • DM 500 HD v2
    • DM 820 HD
    • DM 7080
    • DM 520/525HD
    • Dreambox DM 900 Ultra HD
  • Openbox HD / Skyway HD
    • Программы для Openbox S5/7/8 HD/Skyway HD
    • Addons (EMU)
    • Ключи
    • Skyway Light 2
    • Skyway Light 3
    • Skyway Classic 4
    • Skyway Nano 3
    • Openbox S7 HD PVR
    • Openbox S6 PRO+ HD
    • Openbox SX4C Base HD
    • Skyway Droid
    • Skyway Diamond
    • Skyway Platinum
    • Skyway Nano
    • Skyway Light
    • Skyway Classic
    • Openbox S6 HD PVR
    • Openbox S9 HD PVR
    • Skyway Classic 2
    • Openbox S4 PRO+ HDPVR
    • Openbox S8 HD PVR
    • Skyway Nano 2
    • Openbox SX6
    • Openbox S6 PRO HDPVR
    • Openbox S2 HD Mini
    • Openbox S6+ HD
    • Openbox S4 HD PVR
    • Skyway Classic 3
    • Openbox SX4 Base
    • Openbox S3 HD mini
    • Openbox SX4 Base+
    • Openbox SX9 Combo
    • Openbox AS1
    • Openbox AS2
    • Openbox SX4
    • Openbox SX9
    • Openbox S5 HD PVR
    • Formuler F3
    • Openbox Formuler F4
    • Openbox Prismcube Ruby
    • Skyway Droid 2
    • Openbox S2 HD
    • Skyway Air
    • Skyway Virgo
    • Skyway Andromeda
    • Openbox S1 PVR
    • Formuler4Turbo
    • Open SX1 HD
  • Galaxy Innovations
    • GI 1115/1116
    • GI HD Slim Combo
    • GI HD Slim
    • GI HD Slim Plus
    • GI Phoenix
    • GI S9196Lite
    • GI S9196M HD
    • GI Spark 2
    • GI Spark 2 Combo
    • Программы для работы с Galaxy Innovations
    • Эмуляторы для Galaxy Innovations
    • GI S1013
    • GI S2020
    • GI S2028/S2026/2126/2464
    • GI S2030
    • GI S2050
    • GI S3489
    • GI ST9196/ST9195
    • GI S2121/1125/1126
    • GI S6199/S6699/ST7199/ST7699
    • GI S8290
    • GI S8680
    • GI S8120
    • GI S2138 HD
    • GI S2628
    • GI S6126
    • GI S1025
    • GI S8895 Vu+ UNO
    • GI Vu+ Ultimo
    • GI S2238
    • GI Matrix 2
    • GI HD Mini
    • GI S2038
    • GI HD Micro
    • GI HD Matrix Lite
    • GI S1027
    • GI S1015/S1016
    • GI S9895 HD Vu+ Duo
    • GI S8180 HD Vu+ Solo
    • Vu+ SOLO 2
    • Vu+ Solo SE
    • Vu+ Duo 2
    • Vu+ Zero
    • GI ET7000 Mini
    • GI Sunbird
    • GI 2236 Plus
    • GI HD Micro Plus
    • GI HD Mini Plus
    • GI Fly
  • IPBox HD / Sezam HD / Cuberevo HD
    • Программы для работы с IPBox/Sezam
    • IPBox 9000HD / Sezam 9100HD / Cuberevo
    • IPBox 900HD / Cuberevo Mini
    • IPBox 910HD / Sezam 902HD / Sezam 901HD
    • IPBox 91HD / Sezam 900HD / Cuberevo 250HD
    • Addons
  • HD Box
    • HD BOX 3500 BASE
    • HD BOX 3500 CI+
    • HD BOX 4500 CI+
    • HD BOX 7500 CI+
    • HD BOX 9500 CI+
    • HD BOX SUPREMO
    • HD BOX SUPREMO 2
    • HD BOX TIVIAR ALPHA Plus
    • HD BOX TIVIAR MINI HD
    • HD BOX HB 2017
    • HD BOX HB 2018
    • HD BOX HB S100
    • HD BOX HB S200
    • HD BOX HB S400
  • Star Track
    • StarTrack SRT 100 HD Plus
    • StarTrack SRT 200 HD Plus
    • StarTrack SRT 300 HD Plus
    • StarTrack SRT 400 HD Plus
    • StarTrack SRT 2014 HD DELUXE CI+
    • StarTrack SRT 3030 HD Monster
  • VU+ 4K
    • Прошивки VU+ Solo 4K
    • Прошивки VU+ UNO 4K
    • Эмуляторы VU+ 4K
  • Samsung SmartTV SamyGo
  • DVB карты
    • DVBDream
    • ProgDVB
    • AltDVB
    • MyTheatre
    • DVBViewer
    • Плагины
    • Эмуляторы
    • Списки каналов
    • Рыбалка
    • Кодеки
    • Драйвера
  • Openbox F-300, X-8XX, F-500, X-5XX
    • Программы для работы с Openbox
    • Ключи для Openbox
    • Готовые списки каналов
    • Все для LancomBox
    • Openbox F-300
    • Openbox X-800
    • Openbox X-810
    • Openbox X-820
    • Openbox F-500
    • Openbox X-540
    • Openbox X-560
    • Openbox X-590
  • Openbox X-730PVR, X-750PVR, X-770CIPVR, X-790CIPVR
    • Программы для работы с Openbox
    • Ключи
    • Openbox X-730PVR
    • Openbox X-750PVR
    • Openbox X-770CIPVR
    • Openbox X-790CIPVR
  • OpenBOX 1700[100], 210[8100], 6xx, PowerSky 8210
    • Программы для работы с Openbox/Orion/Ferguson
    • Ключи
    • BOOT
    • OpenBOX 1700[100]
    • OpenBOX 210[8100]
    • OpenBOX X600 CN
    • OpenBOX X610/620 CNCI
    • PowerSky 8210
    • Ferguson Ariva 100 & 200 HD
  • Golden Interstar
    • Программы для работы с Interstar
    • Все для кардшаринга на Interstar
    • BOOT
    • Ключи
    • Golden Interstar DSR8001PR-S
    • Golden Interstar DSR8005CIPR-S
    • Golden Interstar DSR7700PR
    • Golden Interstar DSR7800SRCIPR
    • Golden Interstar TS8200CRCIPR
    • Golden Interstar TS8300CIPR-S
    • Golden Interstar TS8700CRCIPR
    • Golden Interstar S100/S801
    • Golden Interstar S805CI
    • Golden Interstar S770CR
    • Golden Interstar S780CRCI
    • Golden Interstar TS830CI
    • Golden Interstar TS870CI
    • Golden Interstar TS84CI_PVR
    • Golden Interstar S890CRCI_HD
    • Golden Interstar S980 CRCI HD
    • Golden Interstar GI-S900CI HD
    • Golden Interstar S905 HD
    • Box 500
  • Globo
    • Globo HD XTS703p
    • Программы для работы с Globo
    • Ключи для Globo
    • Globo 3xx, 6xxx
    • Globo 4xxx
    • Globo 7010,7100 A /plus
    • Globo 7010CI
    • Globo 7010CR
    • Opticum 8000
    • Opticum 9000 HD
    • Opticum 9500 HD
    • Globo HD S1
    • Opticum X10P/X11p
    • Opticum HD 9600
    • Globo HD X403P
    • Opticum HD X405p/406
    • Opticum X80, X80RF
  • SkyGate
    • Программы для работы с ресиверами SkyGate
    • Списки каналов и ключей
    • SkyGate@net
    • SkyGate HD
    • SkyGate HD Plus
    • SkyGate Gloss
    • Sky Gate HD Shift
  • Samsung 9500
    • Программы для работы с Samsung 9500
    • Программное обеспечение для Samsung 9500
  • Openbox 7200
    • Прошивки
    • Эмуляторы
    • Программы для работы с Openbox 7200
  • Season Interface

Найдено: 37 результатов

  1. Прошедшая неделя ознаменовалась закрытием крупнейшей нелегальной торговой площадки даркнета AlphaBay, утечкой данных 14 млн клиентов компании Verizon, публикацией на WikiLeaks очередного хакерского инструмента ЦРУ и пр. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 10 по 16 июля 2017 года. На прошлой неделе стало известно сразу о нескольких утечках данных. Во-первых, доступной в Сети оказалась персональная информация 14 млн клиентов американской телекоммуникационной компании Verizon. Инцидент произошел по вине стороннего подрядчика, не ограничившего внешний доступ к серверу Amazon S3, где хранятся данные. Доступ к серверу и его содержимому можно было получить с помощью ссылки с указанием поддомена verizon-sftp. Во-вторых, утечку данных своих клиентов подтвердили сети гостинично-развлекательных комплексов Hard Rock, Loews и Trump Hotels . Инцидент произошел в результате взлома системы бронирования SynXis Central Reservations от компании Sabre. Одним из наиболее громких событий прошлой недели стало отключение крупнейшего черного рынка «глубинной паутины» AlphaBay. Сайт торговой площадки ушел в offline еще 5 июля, однако о причинах отключения ничего не сообщалось. Как стало известно на прошлой неделе, 5 июля в ходе правоохранительной операции прошли обыски в трех странах и был арестован предполагаемый администратор AlphaBay. Спустя неделю арестованный был обнаружен повешенным в своей камере в тюрьме Таиланда. Организация WikiLeaks опубликовала в рамках проекта Vault 7 очередную порцию секретных документов ЦРУ. В этот раз был обнародован проект под названием HighRise, представляющий собой Android-приложение для перехвата и перенаправления SMS-сообщений на удаленный сервер. На прошлой неделе представитель Министерства иностранных дел РФ Мария Захарова сообщила о кибератаке на сайт ведомства, имевшей место 29 июня текущего года. Злоумышленники заблаговременно взломали электронную почту посольства России в Иране и стали рассылать с нее фишинговые письма. В четверг, 13 июля, появилось сообщение о наличии на портале госуслуг неизвестного вредоносного кода. По мнению экспертов «Лаборатории Касперского» и «Яндекса», атака не являлась таргетированной, а посторонний код представлял собой рекламное ПО. В настоящее время постороннее ПО уже удалено. В Минкомсвязи РФ считают, что угроза от вредоноса незначительна, и ни посетители сайта, ни их данные или компьютеры не пострадали. В очередной раз о себе напомнили «русские хакеры». Британское издание The Times сообщило об атаке киберпреступников, связанных с правительством РФ, на британские энергосети. Злоумышленники атаковали ирландское Управление по поставкам электроэнергии (Ireland’s Electricity Supply Board) с целью получить контроль над системами управления сетями. Издание отмечает, что сбоев в работе энергосетей зафиксировано не было, но, как полагают эксперты, хакеры могли похитить пароли к системам безопасности, отвечающим за поддержание работы британского энергосектора. Французский регистратор доменных имен Gandi допустил подмену доменных имен для 751 домена. Согласно официальному заявлению Gandi, неизвестные проникли в сеть одного из провайдеров компании и получили доступ к ее учетным данным. С их помощью злоумышленники изменили данные на серверах доменных имен для 751 домена, перенаправив трафик на вредоносный сайт.
  2. Казахстанские и российские специалисты усилили меры пожарной безопасности в связи с предстоящим 14 июля запуском с космодрома Байконур ракеты-носителя (РН) "Союз-2.1а" с космическим аппаратом "Канопус-В-ИК", сообщила пресс-служба министерства оборонной и аэрокосмической промышленности Казахстана. Из-за жары и сильного ветра в месте падения боковых блоков ракеты-носителя "Союз-2.1а", запущенной 14 июня с космодрома Байконур, в 50 километрах от города Жезказган произошел степной пожар. После порыва ветра пламенем накрыло автомобиль КамАЗ, в котором находились два гражданина Казахстана, сотрудники АО "ВПК "НПО Машиностроения", выполнявшие работы по сбору отделяемых частей ракет-носителей. В результате пожара на месте погиб водитель автомашины, позже в больнице скончался слесарь механосборочных работ. "Министерством оборонной и аэрокосмической промышленности Республики Казахстан, Госкорпорацией по космической деятельности "Роскосмос" совместно с российским Центром эксплуатации объектов наземной космической инфраструктуры и организациями ракетно-космической промышленности РФ проведена работа по усилению группировки пожарных расчетов, сил и средств комитета по чрезвычайным ситуациям (КЧС) МВД РК, привлекаемых к обеспечению безопасности запуска ракеты-носителя (РН) "Союз-2.1а" с космическим аппаратом "Канопус-В-ИК", запланированного на 14 июля с космодрома Байконур", — говорится в сообщении на сайте министерства. Согласно информации, планируется привлечь дополнительную авиатехнику для послепускового облета района падения ступени ракеты-носителя с целью контроля и устранения последствий с участием представителей акиматов (администрации) Костанайской и Актюбинской областей. Для мониторинга обстановки будут применяться данные дистанционного зондирования Земли для проведения спутниковой съемки территории до и после пуска с целью своевременного обнаружения обломков ракетно-космической техники. Одновременно с этим будут использоваться беспилотные летательные аппараты типа "Орлан" для контроля обстановки и выявления возможных угрожающих факторов. При этом в режиме реального времени планируется обеспечить фото и видеосъемку местности до 60 км с привязкой обнаруженных фрагментов ракеты-носителя с точностью до 20 см. Представителями российского АО "ВПК "НПО машиностроения" проведено усиление наземной поисковой группы пожарными автомобилями, также будет привлечена пожарная техника Актюбинской и Костанайской областей. Кроме того, для обеспечения качественной радиосвязью специалисты АО "ВПК "НПО машиностроения" провели реконструкцию антенного поля в Жезказгане, а также закуп и модернизацию приемо-передающих устройств и средств защиты персонала наземной поисковой группы.
  3. На прошлой неделе мир по-прежнему приходил в себя после атак с использованием вредоносного ПО NotPetya. Более того, украинским правоохранителям удалось остановить вторую волну атак. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 3 по 9 июля 2017 года. Начало прошлой недели ознаменовалось сообщениями сразу о двух инцидентах, затронувших участников Ethereum- и Bitcoin-сообществ. С помощью социальной инженерии неизвестные получили контроль над кошельком Classic Ether Wallet для криптовалюты Ethereum Classic и похитили $300 тыс. у его пользователей. В тот же день жертвой хакеров стала четвертая по величине биржа криптовалют Bithumb. Злоумышленникам удалось заполучить имена пользователей, их электронные адреса и номера телефонов. Вскоре после взлома пользователи стали жаловаться на похищение средств с их счетов на Bithumb. Как именно хакеры получили контроль над кошельками, не уточняется. В среду, 5 июля, Департамент Киберполиции Национальной полиции Украины совместно с сотрудниками Службы безопасности Украины (СБУ) пресек второй этап кибератаки NotPetya. Как сообщил министр внутренних дел Украины Арсен Аваков, пик атаки планировался на 16:00, а сама она началась в 13:40. До 15:00 Киберполиция заблокировала рассылку и активацию вируса с сервера обновлений ПО для бухучета «М.e.doc». Как известно, NotPetya попадал на компьютеры жертв через обновления бухгалтерской программы «М.e.doc» производства украинской компании «Интеллект-сервис». Поначалу руководство компании отрицало какую-либо причастность к атакам, однако затем было вынуждено признать наличие бэкдора в своей продукции. На прошлой неделе о себе впервые дали знать операторы NotPetya. Вопреки мнению ИБ-экспертов, уверенных в незаинтересованности хакеров в деньгах, они заявили о готовности выпустить инструмент для восстановления зашифрованных вредоносом файлов. Для этого жертвы должны собрать 100 биткойнов (порядка $300 тыс.). В качестве доказательства своей способности расшифровать данные киберпреступники восстановили зашифрованный NotPetya файл, полученный от журналистов Motherboard. Пока операторы NotPetya пытаются сорвать большой куш, авторы оригинального вымогателя Petya решили уйти из бизнеса. Из-за плохой репутации NotPetya разработчики Janus Cybercrime Solutions предоставили бесплатный мастер-ключ для расшифровки файлов, пострадавших от всех существующих версий Petya (оригинального Petya, Mischa и GoldenEye), кроме NotPetya. Еще одним громким событием на прошлой неделе стала очередная публикация WikiLeaks. На этот раз в рамках проекта Vault 7 организация обнародовала документы, описывающие два хакерских инструмента из арсенала Центрального разведывательного управления США - BothanSpy и Gyrfalcon. Первый из них нацелен на клиентскую программу Xshell для Microsoft Windows и позволяет перехватывать пользовательские учетные данные для активных SSH-сессий. Второй инструмент представляет собой закладку для клиентов OpenSSH на дистрибутивах Linux. В четверг, 6 июля, издание Bloomberg сообщило о расследовании кибератак на электростанции в США. По словам журналистов, главным подозреваемым является Россия. В частности в числе жертв хакеров значится электростанция Wolf Creek в Канзасе, принадлежащая компаниям Westar Energy, Great Plains Energy и Kansas Electric Power Cooperative. Не обошлось на прошлой неделе без сообщений об опасных троянах для Android-устройств. К примеру, исследователи Check Point предупредили о новом вредоносном ПО CopyCat, уже заразившем 14 млн гаджетов по всему миру. Всего за два месяца вредонос принес своим операторам $1,5 млн. Кроме того, специалисты Palo Alto Networks сообщили о появлении нового многофункционального трояна SpyDealer. Вредонос может получать доступ к смартфонам с правами суперпользователя, похищать данные из более 40 приложений и отслеживать местонахождение пользователя.
  4. Прошедшая неделя войдет в историю, как неделя, когда мир поразила масштабная кибератака с использованием мощного вредоносного ПО NotPetya. Кроме того, портал WikiLeaks «расщедрился» и один за другим опубликовал два хакерских инструмента из арсенала ЦРУ. Предлагаем вашему вниманию краткий обзор главных инцидентов безопасности за период с 26 июня по 2 июля 2017 года. 27 июня компании России и Украины подверглись масштабным кибератакам с использованием вредоносного ПО NotPetya, также известного как Petya.A. В РФ от атак пострадали предприятия «Роснефть» и «Башнефть», а в Украине из строя вышла компьютерная сеть кабинета министров, ПО в аэропорту «Борисполь», Укрпочта, Киевский метрополитен, некоторые банки, включая «Ощадбанк». Также прекратил работу сайт МВД Украины. NotPetya эксплуатирует ту же уязвимость в Windows, что и печально известный WannaCry. Как и WannaCry, вредонос шифрует файлы на компьютере жертвы и требует выкуп за их восстановление. Тем не менее, по словам целого ряда ИБ-экспертов, возможность расшифровки файлов в NotPetya не предусмотрена, и на самом деле программа является не вымогателем, а инструментом для уничтожения данных на атакуемых системах с целью саботажа. Согласно заявлению Службы безопасности Украины, за атаками стоит Россия, а дата была выбрана не случайно – 28 июня украинцы отмечают День Конституции Украины. 28 июня портал WikiLeaks опубликовал очередную порцию секретных документов ЦРУ в рамках проекта Vault 7. На сайте появилась 42-страничная инструкция по использованию инструмента ELSA, позволяющего отслеживать пользователей Windows-устройств с поддержкой Wi-Fi на основе данных расширенной зоны обслуживания (Extended Service Set, ESS) или ближайших сетей Wi-Fi. Спустя несколько дней после публикации инструкции к ELSA портал WikiLeaks выложил документ, описывающий инструмент OutlawCountry для удаленного шпионажа на компьютерах под управлением Linux. На прошлой неделе власти США предупредили компании электроэнергетического сектора о кибератаках. С мая текущего года злоумышленники с помощью фишинга похищают учетные данные для доступа к сетям предприятий и уже предприняли несколько попыток атак. 29 июня остановила работу атомная электростанция «Ви-Си Саммер» в Южной Каролине. По словам представителей компании, инцидент был вызван сбоем в работе клапана, незадействованного в процессе производства атомной электроэнергии. В ночь с 29 по 30 июня неизвестные захватили контроль над доменом кошелька Classic Ether Wallet для криптовалюты Ethereum Classic и похитили со счетов его пользователей $300 тыс. Из-за недостаточно защищенного репозитория на сайте GitHub произошла утечка данных 18 млн пользователей социального стримингового музыкального сайта 8Tracks. По заверению владельцев ресурса, все пароли пользователей зашифрованы с добавлением соли, однако все равно не рекомендуется использовать их для других сайтов. Утечка не затронула тех, кто авторизуется на 8Tracks через Google или Facebook.
  5. Прошедшая неделя оказалась довольно беспокойной для экспертов в области кибербезопасности. Спустя более месяца после глобальной атаки WannaCry червь по-прежнему атакует системы. Кроме того, портал WikiLeaks опубликовал очередной хакерский инструмент ЦРУ, и снова напомнили о себе «русские хакеры». Предлагаем вашему вниманию краткий обзор инцидентов безопасности за период с 19 по 25 июня 2017 года. Много шума на прошлой неделе наделал масштабный сбой в работе Skype, в результате которого большинство пользователей в Европе и частично в США не могли подключиться к сервису. Microsoft не сообщила причину проблемы, однако киберпреступная группировка CyberTeam заявила, что сбой в работе Skype – якобы ее рук дело. По словам злоумышленников, они осуществили мощную DDoS-атаку, положившую «начало новой эры». Не обошлось на прошлой неделе без утечек данных. Исследователи компании UpGuard обнаружили в открытом доступе на сервере Amazon S3 незащищенную базу данных 198 млн американских избирателей. Содержащаяся в ней информация принадлежит трем сотрудничающим с Республиканской партией США аналитическим компаниям. В БД содержатся имена, даты рождения, домашние адреса, телефонные номера, сведения о национальной и религиозной принадлежности, а также другие данные зарегистрированных избирателей, собираемые аналитическими компаниями для прогноза их поведения. На одном из русскоязычных хакерских форумов предлагаются для продажи или обмена учетные данные от почтовых ящиков тысяч британских госслужащих, включая министров, послов и руководящих сотрудников полиции. Кроме того, на выходных стало известно об атаке на членов британского парламента. По словам официального представителя парламента, злоумышленники пытались найти слабые пароли для входа в электронную почту. Большой резонанс вызвала утечка внутренних сборок и фрагментов исходного кода Windows 10. Массив размером 32 ТБ (в архивированном виде 8 ТБ), включающий официальные и приватные образы, исходный код драйверов Windows 10, стеков USB и Wi-Fi, а также код ARM-версии ядра OneCore, был загружен на сайт betaarchive.com. Предположительно, конфиденциальные данные в этом архиве были нелегально получены из внутреннего хранилища Microsoft в марте нынешнего года. Очередным подарком для хакеров стала публикация WikiLeaks инструмента Brutal Kangaroo, разработанного ЦРУ для взлома физически изолированных систем. После установки вредонос собирает хранящуюся на компьютере информацию и с помощью модуля Broken Promise анализирует ее на предмет ценных сведений. Внимание общественности на прошлой неделе привлекла публикация в The Washington Post результатов журналистского расследования, посвященного санкциям США в отношении РФ. По данным издания, в числе прочих санкций Обама также одобрил специальную секретную программу по разработке и внедрению «киберимплантов» в российскую электронную инфраструктуру, которые могли бы быть активированы в случае эскалации конфликта между США и Москвой. В свою очередь, появились новые сведения о попытках «русских хакеров» атаковать избирательную инфраструктуру США. Как оказалось, в ходе президентской кампании 2016 года в США «русские хакеры» атаковали избирательные системы в 21 штате страны. Хотя злоумышленникам удалось получить доступ к некоторым из них, свидетельств манипуляций с результатами голосования нет. В последнее время особой популярностью у киберпреступников пользуется вымогательское ПО. Спустя месяц после глобальной атаки WannaCry вредонос снова дал о себе знать. В результате заражения сети автопроизводитель Honda был вынужден на сутки приостановить работу одного из своих заводов. Кроме того, червь заблокировал работу несколько десятков дорожных камер и светофоров в Австралии. Помимо WannaCry, головную боль одной из южнокорейских компаний причинил вымогатель Erebus, переквалифицировавшийся с Windows на Linux. Вредонос зашифровал хостинговые серверы компании, вынудив ее руководство выплатить $1 млн за их восстановление. Кроме сравнительно новых образцов вымогательского ПО злоумышленники продолжают использовать старое. Эксперты Cisco Talos зафиксировали масштабную кампанию по распространению обновленного шифровальщика Locky. Вредонос распространяется с помощью известного ботнета Necurs и заражает системы, работающие исключительно на Windows XP и Vista.
  6. На прошлой неделе обошлось без масштабных утечек данных и резонансных кибератак. Тем не менее, ни ИБ-экспертам, ни пользователям, ни журналистам скучать не пришлось. Предлагаем ознакомиться с кратким обзором главных событий в мире информационной безопасности за период с 12 по 18 июня 2017 года. Среди прочего, прошедшая неделя ознаменовалась публикацией на сайте WikiLeaks очередного хакерского инструмента из арсенала ЦРУ. ПО CherryBlossom предназначено для отслеживания активности пользователей в интернете. В частности инструмент предоставляет возможности для удаленного взлома беспроводных сетевых устройств, таких как маршрутизаторы и точки доступа. Что касается вредоносного ПО, на прошлой неделе были обнаружены новые инструменты для атак на критические промышленные системы, способные вызывать сбой в работе энергосетей. По мнению ИБ-экспертов, именно Industroyer и CrashOverRide использовались в атаках на компьютерную сеть компании «Укрэнерго» в декабре 2016 года. По мере того, как компьютеры Mac набирают популярность, для «яблочной» ОС появляется все больше вредоносного ПО. На прошлой неделе исследователи безопасности рассказали о двух сервисах в даркнете, предоставляющих вымогательские и шпионские программы для Mac – MacRansom и MacSpy соответственно. Еще одним примечательным событием прошлой недели стало признание 25-летнего британца, взломавшего спутниковую коммуникационную систему Минобороны США и похитившего персональные данные военнослужащих. Шон Кэффри проник в систему 15 июня 2014 года и получил доступ к сотням учетных записей. Похищенная информация включала данные о званиях, логинах и адресах электронной почты свыше 800 пользователей коммуникационной системы, а также пользователей 30 тыс. спутниковых телефонов. Министерство внутренней безопасности США совместно с ФБР предупредило о возможных кибератаках со стороны хакерской группировки Hidden Cobra (она же Lazarus и Guardians of the Peace), предположительно связанной с правительством КНДР. Согласно предупреждению, группировка продолжает осуществлять кибероперации в военных и стратегических интересах Северной Кореи. Эксперт компании Yoroi Марко Рамилли описал многоэтапную атаку, направленную на итальянские организации. В рамках вредоносной кампании злоумышленники рассылают электронные письма на итальянском языке с загрузчиком, замаскированным под бланк заказа.
  7. Главным событием прошлой недели можно назвать публикацию секретного отчета Агентства национальной безопасности США, посвященного предполагаемым попыткам России повлиять на выборы американского президента. Да и сами «русские хакеры» в очередной раз напомнили о себе. Группировка APT 28 подозревается в осуществлении кибератак на Черногорию, а хакерам из Turla приписывается использование вредоносного ПО, хранящего адрес C&C-сервера в комментарии под фото в Instagram. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 5 по 11 июня 2017 года. Начало прошлой недели ознаменовалось утечкой секретного отчета АНБ, посвященного вопросу вмешательства «русских хакеров» в выборы президента США. Согласно документу, перед выборами злоумышленники пытались взломать системы как минимум одного из поставщиков аппаратного и программного обеспечения для проведения голосования. Насколько успешной оказалась атака и повлияла ли она на исход выборов, в отчете не уточняется. Как оказалось, секретный документ АНБ был передан журналистам сотрудницей подрядчика правительства США 25-летней Реалити Ли Уиннер. Девушка была арестована у себя дома 3 июня, после чего дала признательные показания. Во вторник, 6 июня, на брифинге для журналистов компания FireEye представила новые сведения о кибератаках на правительство Черногории. По словам исследователей, за инцидентами стоит хакерская группировка APT 28, часто связываемая со спецслужбами РФ. Вероятной причиной кибератак эксперты считают вступление Черногории в НАТО. Помимо атак на Черногорию, «русские хакеры» также обвиняются во взломе государственного информагентства Катара и публикации сфабрикованной информации, которая привела к разрыву дипломатических отношений между Катаром и рядом других государств. Какие именно «русские хакеры» стоят за атакой, киберпреступные группировки или спецслужбы, неизвестно. Исследователи безопасности сообщили о необычном трояне, используемом кибершпионской группировкой (предположительно российской) Turla. Вредонос маскируется под расширение для Firefox и хранит данные о расположении своего C&C-сервера в комментарии под фотографией певицы Бритни Спирс в Instagram. Специалисты SantinelOne рассказали о непривычной технике распространения вредоносного ПО Zusy с помощью PowerPoint-презентации. Вредонос выполняет код не с помощью макросов, а с помощью PowerShell-сценария. Эксперты компании Qihoo 360 обнаружили вымогательское ПО для Android-устройств, маскирующееся под печально известный WannaCry. Для того чтобы напугать пользователей и заставить их поскорее заплатить выкуп, вредонос использует такое же, как у WannaCry уведомление с требованием выкупа. В отличие от большинства вымогателей для мобильный устройств он не просто блокирует экран, а шифрует файлы. Команда безопасности Google удалила из Play Store приложение для Android-устройств под названием colourblock после того, как эксперты «Лаборатории Касперского» обнаружили в нем встроенный троян. DVMap является совершенно новым и никогда раньше не использовался злоумышленниками. Не обошлось на прошлой неделе и без утечек данных. Исследователи компании Kromtech Security Research Center обнаружили в открытом доступе незащищенную БД, содержащую свыше 10 млн идентификационных номеров транспортных средств (VIN). По мнению экспертов, она была создана для маркетинговых целей одним или несколькими автодилерами из США. 9 июня произошел сбой в работе платежных терминалов Сбербанка, затронувший и другие финорганизации. Согласно сообщению пресс-службы банка, в течение 40 минут некоторые клиенты испытывали сложности в проведении операций по интернет-эквайрингу при осуществлении переводов и снятии наличных в PoS-терминалах и устройствах самообслуживания по картам MasterСard и «Мир».
  8. Прошедшая неделя ознаменовалась публикацией очередного хакерского инструмента ЦРУ, раскрытием масштабной вредоносной кампании в Google Play, волной заражений вирусом Fireball и другими событиями. Предлагаем ознакомиться с кратким обзором главных инцидентов безопасности за период с 29 мая по 4 июня 2017 года. На прошлой неделе хакерская группировка The Shadow Brokers представила подробности о своем новом сервисе по предоставлению эксплоитов и утекших данных. В мае текущего года киберпреступники заявили о намерении запустить платный сервис «Wine of Month Club», подписчики которого ежемесячно будут получать новые эксплоиты, и теперь воплощают обещанное в жизнь. За 100 монет Zcash (около $21,5 тыс.) в месяц любой желающий может получать от хакеров свежие инструменты для взлома. ИБ-эксперты решили запустить кампанию по сбору средств на эксплоиты The Shadow Brokers с целью их изучения и подготовке к будущим атакам. Тем не менее, от этой идеи пришлось отказаться, поскольку многие специалисты выступили против спонсирования киберпреступников даже с благими намерениями. Исследователи Check Point раскрыли подробности об одной из наиболее масштабных кампаний по распространению вредоносного ПО в Google Play. Эксперты обнаружили рекламный инструмент Judy для «накручивания» кликов в 41 приложении одной из корейских компаний. Вредонос автоматически нажимает на огромное количество рекламных баннеров, тем самым принося прибыль своим создателям. Эксперты компании также сообщили о вирусе Fireball, на этот раз распространяемом китайским маркетинговым агентством. Вредонос атакует браузеры, запуская код или загружая на компьютер жертвы любые материалы. По данным исследователей, Fireball инфицировал 250 млн компьютеров, 20% от которых составляют корпоративные системы. Журналист Брайан Кребс рассказал об очередной утечке данных клиентов американской торговой сети Kmart. PoS-терминалы в некоторых магазинах оказались заражены неизвестным вредоносным ПО, которое не обнаруживалось антивирусами. В результате в руках злоумышленников оказались данные банковских карт некоторых покупателей. Хакерская группировка APT 28 в перерывах между шпионскими операциями решила подзаработать на шантаже. Злоумышленники взломали компьютеры клиники пластической хирургии в Литве, похитили фотографии и личную информацию ее пациентов и потребовали выкуп, пригрозив в случае неуплаты опубликовать похищенные материалы в открытом доступе. Жертвы отказались платить, и 25 тыс. снимков попали в интернет. Как показала прошлая неделя, киберпреступники атакуют не только легитимные ресурсы, но и сайты даркнета. Хакер под псевдонимом Cipher0007 взломал подпольную торговую площадку Sanctuary Dark Web, проэксплуатировав уязвимость в ее базе данных. После двухнедельного молчания портал WikiLeaks опубликовал очередной хакерский инструмент из арсенала ЦРУ. Вредоносное ПО Pandemic предназначено для взлома компьютеров с общими папками, откуда пользователи загружают файлы с помощью протокола SMB. Его задачей является прослушивание SMB-трафика и определение попыток пользователей загрузить общие файлы с зараженного компьютера. Pandemic перехватывает запросы на загрузку и отвечает от имени инфицированной системы, но вместо легитимных файлов отправляет пользователю зараженные.
  9. В отличие от двух предыдущих недель прошедшая неделя выдалась довольно спокойной с точки зрения инцидентов безопасности и ознаменовалась обнаружением серьезной уязвимости в Android, позволяющей захватить контроль над устройством, сообщением о черве, использующем сразу 7 эксплоитов Агентства национальной безопасности США, и т.д. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 22 по 28 мая 2017 года. В начале прошлой недели стало известно об атаке неизвестных хакеров на мониторинговую группу ООН, ведущую расследование нарушения режима санкций в отношении КНДР. Согласно предупреждению, отправленному председателем экспертной группы чиновникам ООН и комитету по санкциям 1718 (по КНДР) Совбеза, в результате продолжительной атаки злоумышленникам удалось взломать компьютер одного из следователей. Исследователь безопасности Мирослав Стампар обнаружил сетевого червя EternalRocks, использующего сразу семь эксплоитов АНБ – EternalBlue, Eternalchampion, Eternalromance, Eternalsynergy, Doublepulsar, Architouch и SMBtouch. Вредонос маскируется под WannaCry, однако в отличие от последнего не загружает на атакуемую систему вымогательское ПО. EternalRocks используется для подготовки на системе жертвы плацдарма для осуществления дальнейших атак. Эксперты Check Point сообщили об уязвимости в популярных видеоплеерах, позволяющую взломать атакуемый компьютер с помощью субтитров к видеороликам. Уязвимость затрагивает такие популярные стриминговые платформы, как VLC, Kodi, PopcornTime и Stremio. Исследователи Технологического института Джорджии и Калифорнийского университета в Санта-Барбаре обнаружили серьезную уязвимость, затрагивающую все версии ОС Android (в том числе последнюю версию Android 7.1.2 Nougat). С ее помощью злоумышленник может получить контроль над устройством без ведома его владельца и запускать приложения в «режиме бога». Что касается утечек, то в начале прошлой недели на хакерских форумах Рунета была выставлена на продажу «Московская база данных на 100 000 экстремистов». В БД содержится информация о пользователях соцсети «ВКонтакте», якобы распространяющих экстремистские материалы. Среди прочих, в базу «экстремистов» попали депутаты Государственной думы РФ, выпускники ВУЗов спецслужб и силовых ведомств, сотрудники компаний «Яндекс» и «Mail.Ru Group», активисты и журналисты крупных СМИ. Исследователи из Citizen Lab при Университете Торонто представили доклад, согласно которому хакеры фальсифицировали данные для дискредитации критиков российских властей в РФ и других странах. Злоумышленники взламывали электронную почту своих жертв, модифицировали документы, а затем публиковали их под видом настоящих «утечек». Основатель соцсети «ВКонтакте» и мессенджера Telegram сообщил о попытке взлома его почтового ящика Gmail. Соответствующее предупреждение Павел Дуров получил от Google.
  10. На прошлой неделе мир отходил от атак с использованием вымогательского ПО WannaCry. Тем не менее, помимо борьбы с червем, ИБ-эксперты столкнулись с целым рядом других угроз. Предлагаем вашему вниманию краткий обзор главных событий в мире ИБ за период с 15 по 21 мая 2017 года. Хакерская группировка The Shadow Brokers решила подзаработать на фоне ажиотажа вокруг WannaCry и объявила о запуске платного сервиса, подписчики которого ежемесячно будут получать свежие эксплоиты. Помимо инструментов для взлома всех версий Windows (в том числе «десятки»), киберпреступники пообещали своим клиентам информацию о ядерных программах РФ, Ирана, КНДР и Китая. Напомним, червь WannaCry распространяется с помощью эксплоита EternalBlue, предположительно принадлежащего АНБ США и опубликованного The Shadow Brokers в прошлом месяце. WannaCry – далеко не единственный вредонос, распространяющийся с использованием EternalBlue. Исследователи компании Trend Micro обнаружили отдельное семейство программ-вымогателей UIWIX, эксплуатирующее ту же уязвимость, что и WannaCry, однако существенно отличающееся от последнего. Кроме того, был обнаружен майнер криптовалюты Adylkuzz, использовавшийся в атаках с 24 апреля по 2 мая текущего года. И UIWIX, и Adylkuzz – «цветочки» по сравнению с вредоносным ПО EternalRocks, которое использует сразу семь эксплоитов из арсенала АНБ, в прошлом месяце опубликованных The Shadow Brokers. Червь маскируется под WannaCry, однако не загружает на систему жертвы вымогательское ПО. С его помощью хакеры подготавливают «плацдарм» для дальнейших атак. Помимо WannaCry, жители Украины стали жертвами вымогательского ПО XData. 19 мая XData оказался на втором месте в списке наиболее активных программ-вымогателей, с небольшим отрывом следуя за Cerber. 95% инфекций XData пришлось на Украину, остальные 5% - на Россию, Германию и Эстонию. Эксперты ожидают роста числа атак, подобных WannaCry, поскольку портал WikiLeaks опубликовал очередной эксплоит из арсенала ЦРУ. Согласно утекшей документации, инструмент позволяет взломать версии Windows, начиная от Windows XP и заканчивая Windows 10, и получить контроль над системой. Как и раньше, на прошлой неделе традиционно о себе дали знать «русские хакеры». В этот раз киберпреступники атаковали более 10 тыс. пользователей Twitter, работающих в Минобороны США. Злоумышленники отправляли сотрудникам Пентагона тщательно составленные сообщения в Twitter, содержащие ссылки на подконтрольный хакерам сервер. С сервера на системы жертв загружалось вредоносное ПО, предоставляющее киберпреступникам контроль над учетными записями в Twitter, мобильным устройством или компьютером. Не обошлось на прошлой неделе без утечек данных. Крупнейшая в Канаде телекоммуникационная компания Bell Canada сообщила об утечке информации 1,9 млн своих клиентов. Неизвестные злоумышленники получили несанкционированный доступ к 1,9 млн активных электронных адресов и 1,7 тыс. имен и активных телефонных номеров. Факт утечки данных также подтвердил поставщик технологии цифровой подписи DocuSign. В результате инцидента в руки злоумышленников попали адреса электронной почты клиентов DocuSign. Похищенную информацию киберпреступники использовали в ряде масштабных спам-кампаний. ИБ-эксперты обнаружили в открытом доступе базу данных с 560 млн утекших паролей, которую исследователи из MacKeeper уже успели окрестить «матерью всех утечек». База данных содержит 560 млн паролей, утекших в результате целого ряда прошлых взломов популярных сайтов и сервисов. Пользователи столкнулись с распространением в Сети ссылки на поддельный сайт мессенджера WhatsApp - «шhaтsapp.com», который предлагает новое разноцветное оформление интерфейса, но в действительности перенаправляет на сайт с рекламным ПО. Для придания сходства с whatsapp.com и введения пользователей в заблуждение создатели фальшивого сайта использовали кириллические символы, похожие на латинские.
  11. Прошлая неделя принесла экспертам в области безопасности бесконечную головную боль. Начало недели ознаменовалось сообщением о появлении нового IoT-ботнета и обнаружением «худшей за всю историю» уязвимости в Windows, а окончание оказалось и того хуже – полторы сотни стран накрыла волна кибератак с использованием вымогательского ПО WannaCry. Предлагаем вашему вниманию краткий обзор главных инцидентов безопасности за период с 8 по 14 мая текущего года. 9 мая исследователи сообщили о новом ботнете Persirai, состоящем из устройств «Интернета вещей» (IoT). Вредонос базируется на части кода печально известного Mirai и эксплуатирует уязвимости, описанные исследователем Пьером Кимом в марте текущего года. Разработчики видеоконвертера HandBrake для Mac предупредили о взломе сервера-зеркала официального сайта приложения. Злоумышленники взломали сервер download.handbrake.fr, с которого пользователи загружали ПО, и заменили официальную версию HandBrake вредоносной со встроенным трояном для удаленного доступа Proton. Для Microsoft прошедшая неделя также оказалась весьма напряженной. Помимо плановых ежемесячных обновлений, исправляющих ряд уязвимостей нулевого дня, компании пришлось выпустить два экстренных патча. Релиз первого состоялся до выхода майских обновлений. Патч исправляет серьезную уязвимость в Microsoft Malware Protection Engine (MMPE), позволяющую удаленно выполнить код. Второй был выпущен в конце недели и предназначен для Windows XP, Windows 8 и Windows Server 2003. Причиной выхода обновлений для более неподдерживаемых ОС послужила волна масштабных атак с применением вымогательского ПО WannaCry. Большой резонанс на прошлой неделе вызвало сообщение о встроенном кейлоггере в ноутбуках и планшетах HP. По данным швейцарской ИБ-компании Modzero, кейлоггер встроен в аудиодрайвер производства Conexant. Компонент драйвера MicTray64.exe является исполняемым файлом, позволяющим драйверу отвечать, когда пользователь нажимает определенные клавиши. Как оказалось, файл отправляет все строки на интерфейс отладки или записывает в журнал регистрации на диске C компьютера. На прошлой неделе традиционно не обошлось без обвинений в адрес «русских хакеров». На этот раз Россия подозревается в атаках на электроэнергетический сектор Прибалтики. Как уже упоминалось выше, конец недели ознаменовался беспрецедентной волной кибератак с использованием вымогательского ПО WannaCry. Атаки осуществлялись с помощью эксплоита EternalBlue, предположительно разработанного Агентством национальной безопасности США. Жертвами вымогателя стали несколько сотен тысяч компьютеров в 150 странах мира. Британскому программисту под псевдонимом MalwareTech удалось временно приостановить атаку, однако эксперты прогнозируют рост числа заражений новыми вариантами WannaCry.
  12. Прошедшая неделя ознаменовалась фишинговыми кампаниями, а также появлением нового ботнета для генерирования криптовалюты и вредоносного ПО с собственным API. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 1 по 7 мая 2017 года. Одним из самых нашумевших инцидентов на прошлой неделе стала кибератака на штаб предвыборной кампании избранного президента Франции Эмманюэля Макрона. 5 мая некто под псевдонимом Emleaks опубликовал на Pastebin архив размером 9 ГБ, содержащий документы по деятельности предвыборного штаба, датированные до 24 апреля текущего года. По данным организации WikiLeaks, в утекших документах девять раз упоминается имя сотрудника российской компании, специализирующейся на производстве вычислительной техники и ПО. Как заявил командующий киберкомандования США адмирал Майкл Роджерс, Вашингтон предупреждал французских коллег об атаках «русских хакеров» на системы французских организаций. Как сообщили эксперты Fox-IT и Palo Alto Networks, русские кибершпионы разработали новое поколение троянов с целым набором инновационных техник. Речь идет о трояне Kazuar, получившем собственный API. Благодаря ему в случае необходимости хакеры могут изменять направление трафика между вредоносной программой и C&C-сервером. Kazuar разработан с помощью программной платформы .NET Framework и представлен в трех вариантах – для Windows, Mac (Mac-версия получила название Snake) и Linux. На прошлой неделе в очередной раз о себе дала знать нашумевшая уязвимость в Microsoft Office (CVE-2017-0199). Как сообщают эксперты Proofpoint, уязвимость эксплуатировалась китайской кибершпионской группировкой TA459 APT в атаках на организации в России и соседних странах. Киберпреступники, предположительно также китайского происхождения, создали масштабный ботнет для генерирования криптовалюты, в основном Monero. В сеть Bondnet входят 15 тыс. скомпрометированных серверов под управлением Windows Server. Злоумышленники применяют различные эксплоиты и осуществляют брутфорс-атаки на компьютеры со слабыми паролями для RDP. Пользователи Gmail столкнулись с масштабной фишинговой кампанией. Атака начинается с получения электронного письма с ссылкой на файл Google Docs, ведущей на легитимную страницу Google.com, где получателю предлагается предоставить доступ к своей учетной записи Gmail приложению, которое якобы является Google Docs. В настоящее время письма не содержат вредоносное ПО. Как полагают эксперты, таким образом злоумышленники собирают данные для последующих атак. Ответственность за атаку взял на себя разработчик, известный в Twitter как EugenePupov. По словам разработчика, он не преследовал никаких преступных целей, а просто тестировал программу, созданную в качестве дипломного проекта для Университета Ковентри. Еще одна фишинговая кампания затронула пользователей Firefox. По словам исследователя безопасности Kafeine, пользователи браузера рискуют стать жертвами мошеннической схемы, ранее применявшейся только по отношению только к тем, кто работает с Chrome.
  13. Прошедшая неделя уже традиционно не обошлась без обвинений в адрес «русских хакеров», очередных проблем с устройствами «Интернета вещей» (IoT) и публикации свежей порции документов ЦРУ на портале WikiLeaks. Предлагаем ознакомиться с кратким обзором главных инцидентов безопасности за период с 24 по 30 апреля текущего года. Прошлая неделя началась с новых обвинений в адрес «русских хакеров». Как заявил министр обороны Дании Клаус Хйорт Фредериксен, в 2015-2016 годах российская группировка APT 28, также известная как Fancy Bear, взламывала электронную почту сотрудников возглавляемого им ведомства. По словам Фредериксена, атаки «связаны с разведывательными службами или центральными органами российской власти». Хакеры из APT 28 также обвиняются в попытках осуществить кибератаки на предвыборный штаб кандидата на пост президента Франции Эмманюэля Макрона. Первыми атаки зафиксировали эксперты Trend Micro, однако они не спешат связывать группировку с российским правительством. Как отметил пресс-секретарь президента России Дмитрий Песков, заявления штаба Макрона о предполагаемом вмешательстве РФ в предвыборную кампанию остаются подвешенными в воздухе и не делают чести их авторам. Много шума в начале прошлой недели наделал антивирусный продукт Webroot. Программа внезапно «сошла с ума», стала принимать системные файлы Windows за троян и перемещать их в карантин. В результате компьютеры стали показывать ошибку, что в некоторых случаях привело к выходу их из строя. Помимо Windows, антивирус также «обозлился» на Facebook. По непонятным причинам программа посчитала соцсеть фишинговым сайтом и заблокировала доступ к ней. Прошедшая неделя также ознаменовалась утечкой данных. Жертвами инцидента стали корпоративные пользователи мессенджера HipChat. Похоже, для получения доступа к базам данных злоумышленники проэксплуатировали уязвимость в популярной сторонней библиотеке, используемой сайтом HipChat.com. Помимо новых утечек, по-прежнему о себе дают знать старые инциденты. Неизвестная киберпреступная группировка, использующая украинский домен верхнего уровня, пытается подзаработать на нашумевшем в 2015 году взломе сайта знакомств Ashley Madison. Злоумышленники рассылают пользователям ресурса, чьи данные утекли в результате взлома, письма с требованием заплатить выкуп за молчание. Жертва должна перечислить на биткойн-кошелек преступников $500, иначе информация о ее супружеской неверности будет передана друзьям и родственникам через соцсети. По данным экспертов, новый ботнет из незащищенных web- и IP-камер наращивает объем, сканируя интернет на наличие подключенных уязвимых IoT-устройств с открытыми портами 81. Исследователям удалось проанализировать образец вредоносного ПО. В коде были обнаружены отсылки к Mirai, однако, по мнению экспертов, вредонос не является его вариантом. Специалисты считают, что вредоносное ПО представляет собой замаскированную под Mirai новую угрозу. Стремительно набирает обороты ботнет из IoT-устройств Hajime. По оценкам специалистов, число инфицированных червем систем уже достигло 300 тысяч. Как и Mirai, Hajime сканирует IoT-устройства на предмет незащищенных Telnet-портов, взламывает их при помощи практически идентичного набора логинов\паролей и выполняет почти те же команды. Однако по сравнению с Mirai червь Hajime более совершенный и скрытный. В среду, 26 апреля Национальная служба безопасности Израиля сообщила о пресечении масштабной кибератаки, направленной на порядка 120 организаций и госучреждений, а также на частных лиц. По данным специалистов Morphisec, организатором кибератаки является группировка OilRig, также известная как Helix Kitten и NewsBeef, которая предположительно связана с разведслужбами Ирана. В конце прошлой недели организация WikiLeaks обнародовала в рамках проекта Vault 7 шестой пакет документов ЦРУ. Публикация носит название Scribbles и содержит документы, а также исходный код инструмента, используемого управлением для слежки.
  14. «Лаборатория Касперского» объявила о зафиксированном уменьшении доли российских пользователей, подвергающихся киберугрозам и пренебрегающих компьютерной защитой. Об этом свидетельствует обновленный индекс информационной безопасности Kaspersky Cybersecurity Index, который компания подсчитала по итогам второй половины 2016 года. Первый Kaspersky Cybersecurity Index был опубликован в сентябре прошлого года – в нем содержались данные за первую половину 2016 г. Вторая волна опроса пользователей, на основе ответов которых и рассчитывается индекс, позволила «Лаборатории Касперского» не просто обновить показатели, но также проследить изменения в поведении пользователей. В основу индекса легли три индикатора, отражающие отношение респондентов к киберугрозам: необеспокоенные (Unconcerned) – доля пользователей, которые не верят, что они могут стать жертвами киберпреступников, незащищенные (Unprotected) – число пользователей, которые не установили защиту на свои компьютеры, планшеты и смартфоны, и пострадавшие (Affected) – процент пользователей, которые стали жертвами киберпреступников. Таким образом, индекс кибербезопасности в России за вторую половину 2016 года выглядит так: 83%–37%–33% (Unconcerned–Unprotected–Affected). Другими словами, подавляющее большинство российских пользователей (83%) не верят, что киберугрозы могут как-либо затронуть их жизнь. К слову, этот показатель не изменился с первой половины 2016 года. Более трети пользователей (37%) до сих пор пренебрегают защитными программами; при составлении первого индекса таких было чуть больше – 39%. Наконец, 33% опрошенных россиян признались, что сталкивались с киберугрозами. Этот показатель изменился наиболее заметно по сравнению с первой половиной 2016 года – тогда жертвами киберпреступников были 42% российских пользователей. Для сравнения, глобальный индекс кибербезопасности выглядит так: 74%–39%–29%. То есть необеспокоенных киберугрозами и пострадавших от них в среднем по миру меньше, чем в России. Помимо собственно индекса информационной безопасности, на сайте http://index.kaspersky.com можно также найти другие данные, отражающие особенности поведения пользователей в разных странах мира. К примеру, статистика говорит о том, что российские пользователи стали заметно больше общаться с помощью мессенджеров (86% против 69% в первой волне), управлять своими финансами через системы онлайн-банкинга (80% против 56%) и хранить свои личные данные в облаке (51% против 24%). «Индекс кибербезопасности Kaspersky Cybersecurity Index за второе полугодие 2016 года свидетельствует о положительной динамике, и мы надеемся, что она только будет набирать обороты. Мы делаем все возможное для того, чтобы донести до людей информацию о реальной опасности киберугроз и дать им возможности и инструменты для защиты себя и своих близких. Мы хотим, чтобы каждый пользователь был в безопасности и жил в мире, где люди не теряют свои личные данные, свою цифровую личность и свои деньги из-за действий киберзлоумышленников», – отметил Андрей Мохоля, руководитель потребительского бизнеса «Лаборатории Касперского». В основе Kaspersky Cybersecurity Index лежат данные, полученные от тысяч пользователей по всему миру в рамках масштабных исследований, проводимых «Лабораторией Касперского» совместно с компанией B2B International. Последняя волна опроса охватила 17377 пользователей в 28 странах мира, включая Россию.
  15. С точки зрения масштабных инцидентов безопасности прошедшая неделя оказалась довольно спокойной. На этот раз обошлось без громких краж данных (за исключением неподтвержденной утечки, предположительно затронувшей 1,7 млн пользователей Snapchat, и утечки данных клиентов InterContinental Hotels Group) и «русских хакеров». Тем не менее, ни хакеры, ни ИБ-эксперты не сидели сложа руки. Предлагаем ознакомиться с кратким обзором инцидентов безопасности за период с 17 по 23 апреля 2017 года. С момента публикации группировкой The Shadow Brokers эксплоитов из арсенала Equation Group стремительно возросло количество атак, осуществляемых малоопытными хакерами. Речь идет о заражении компьютеров под управлением Windows бэкдором DOUBLEPULSAR. Эксплуатируемая вредоносом уязвимость была исправлена в прошлом месяце, однако больше неподдерживаемые производителем ОС по-прежнему остаются уязвимыми. Как сообщают эксперты «Лаборатории Касперского», киберпреступники до сих пор эксплуатируют уязвимость, используемую еще в атаках с применением червя Stuxnet. CVE-2010-2568 присутствует в старых версиях ОС Windows и позволяет без ведома пользователя удаленно выполнить код на атакуемой системе. Microsoft выпустила исправление еще в 2010 году, что не помешало эксплоиту для этой уязвимости стать наиболее популярным у хакеров – в 2015 и 2016 годах проблема использовалась в атаках, с которыми столкнулись четверть клиентов ЛК. Представители британской компании InterContinental Hotels Group, управляющей известными отелями Holiday Inn и Crowne Plaza, предупредили об утечке данных платежных карт клиентов, пользовавшихся услугами гостиниц в период с сентября по декабрь 2016 года. В руках злоумышленников оказались номера и даты окончания срока действия банковских карт постояльцев, их имена и верификационные коды. Информация считывалась с магнитной полосы, когда данные о транзакции проводились через инфицированный вредоносным ПО гостиничный сервер. На прошлой неделе исследователи безопасности отметили стремительный рост заражений устройств «Интернета вещей» червем Hajime. Вредоносное ПО обладает схожим с Mirai функционалом, но при этом гораздо сложнее. По оценкам специалистов Symantec, Hajime уже инфицировал по меньшей мере «десятки тысяч» IoT-устройств в основном в Бразилии, Иране, Таиланде, России и Турции. В свою очередь, эксперты BackConnect говорят о цифре в 100 тыс. инфицированных устройств. На портале GitHub был опубликован исходный код нового трояна для удаленного доступа (RAT) RATAttack, использующего Telegram для хищения информации с инфицированных устройств. Вредонос оснащен функцией кейлоггера, может собирать данные об установленной версии ОС Windows, процессоре, IP-адресе и приблизительном местоположении хоста, отображать сообщения, загружать и выгружать различные файлы, делать скриншоты, выполнять любые файлы на атакуемой системе, делать снимки с web-камеры, копировать, перемещать и удалять файлы, а также запускать процесс самоуничтожения. На одном из подпольных форумов русскоязычный хакер DevBitox предлагает новое вымогательское ПО Karmen. Любой желающий может арендовать вредонос по цене всего $175.
  16. Большой резонанс на прошлой неделе вызвала уязвимость нулевого дня в Microsoft Office, в течение нескольких месяцев эксплуатируемая хакерами и исправленная 11 апреля. Внимание ИБ-экспертов также привлекла публикация группировкой The Shadow Brokers эксплоитов Агентства национальной безопасности США. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 10 по 16 апреля 2017 года. В начале прошлой недели стало известно об аресте подозреваемого в призывах к массовым беспорядкам в Москве 2 апреля. Согласно сообщению на сайте Следственного комитета РФ, провокатора удалось найти и задержать, «несмотря на особую сложность расследования», связанную с тем, что задержанный использовал «высокотехнологические средства в сфере компьютерных технологий». Речь о таких технологиях, как Tor, VPN и прокси-серверы, размещенные за пределами России. На прошлой неделе исследователи Symantec сообщили о связи между опубликованными в прошлом месяце хакерскими инструментами ЦРУ и кибершпионской группой Longhorn, ответственной как минимум за 40 кибератак в 16 странах. По словам экспертов, время разработки и технические спецификации используемых группировкой инструментов совпадают с данными из документов ЦРУ. Еще одна кибершпионская группировка, Callisto Group, использовала утекшие в результате взлома Hacking Team инструменты для шпионажа в странах Восточной Европы и Южного Кавказа. С их помощью с 2015 года хакеры следили за военнослужащими, правительственными чиновниками, журналистами и учеными. Инфраструктура Callisto Group связана с организациями в России, Украине и Китае. Неизвестная киберпреступная группировка в течение нескольких месяцев эксплуатировала уязвимость нулевого дня в Microsoft Office для атак с использованием шпионского ПО FinFisher. Жертвами вредоноса становились русскоговорящие пользователи. ПО FinFisher попадало на системы жертв через фишинговые письма, замаскированные под приказ Министерства обороны РФ. Кроме того, уязвимость эксплуатировалась другими группировками для распространения банковских троянов LATENTBOT и Dridex. Специалисты WordFence обнаружили вредоносную кампанию по взлому слабо защищенных домашних маршрутизаторов. Злоумышленники используют скомпрометированные устройства для осуществления брутфорс-атак на панели администрирования сайтов под управлением WordPress. Таким образом киберпреступники пытаются вычислить учтенные данные администраторов и получить контроль над атакуемыми ресурсами. Власти западных стран регулярно обвиняют «русских хакеров» в атаках на свои системы, и прошедшая неделя не стала исключением. Как полагают в Комитете по вопросам госуправления и конституционным вопросам Великобритании (PACAC), причиной сбоя на сайте для регистрации участников референдума о выходе Великобритании из ЕС, произошедшего в 2016 году, могла стать хакерская атака. Депутаты не уточняют, кто именно причастен к инциденту, но в докладе комитета упоминается, что Россия и Китай располагают техническими возможностями для проведения подобной атаки. В пятницу, 14 апреля, группировка The Shadow Brokers сделала очередную резонансную публикацию. Хакеры обнародовали инструмент Агентства национальной безопасности США для доступа к межбанковской системе обмена сообщениями SWIFT, а также целый ряд эксплоитов для уязвимостей в Windows.
  17. На прошлой неделе в ночь с пятницы на субботу хакеры взломали систему оповещения о чрезвычайных ситуациях в Далласе (Техас, США) и заставили все 156 сирен тревоги издавать звук в течение полутора часов. Пожарным командам города пришлось отключать радиосистемы и ретрансляторы вручную. Поначалу руководство города списало внезапное включение сирен на сбой в работе и попросило граждан не звонить в службу спасения, поскольку никакой опасности нет. Как правило, ожидание ответа от службы спасения составляет 10 секунд, однако в ночь с 7 на 8 апреля звонившим приходилось ждать по 6 минут. Поскольку штормовой погоды не наблюдалось, горожане начали опасаться бомбардировки.При каждой попытке инженеров отключить сирены они активировались снова, поскольку атакующие раз за разом взламывали систему. Эксперты Управления по чрезвычайным ситуациям Далласа всю ночь выясняли причины ложного срабатывания сирен и в итоге пришли к выводу, что всему виной хакеры. Каким образом злоумышленникам удалось осуществить атаку, власти города не сообщают из соображений безопасности. Как отметили специалисты, во время инцидента хакеры находились в Далласе.
  18. Прошедшую неделю сложно назвать спокойной с точки зрения информационной безопасности. Фишинговые кампании, кибершпионаж, публикации хакерских инструментов АНБ и ЦРУ – только часть всех событий, произошедших за период с 3 по 9 апреля 2017 года. Прошлая неделя началась с очередного сообщения о проделках «русских хакеров». Согласно заявлению Международной ассоциации легкоатлетических федераций, в феврале текущего года к ее внутренним сетям пыталась получить доступ хакерская группировка Fancy Bear. Злоумышленников интересовали данные о запрещенных препаратах, прописанных спортсменам в терапевтических целях. Эксперты Google и Lookout раскрыли подробности о шпионском ПО Chrysaor, представляющем собой Android-версию сложной вредоносной программы Pegasus для iOS-устройств. Chrysaor способен похищать данные из сервисов электронной почты (например, Gmail) и мессенджеров (в том числе WhatsApp и Facebook), записывать аудио и видео с микрофона и камеры зараженного устройства, выполнять функции кейлоггера, а также самоуничтожаться. Как показывает практика, кибершпионам не ведом покой. Специализирующаяся на кибершпионаже китайская хакерская группировка APT 10 взяла на вооружение инновационный способ осуществления кибератак. Сначала злоумышленники взламывают сети провайдеров облачных сервисов, которыми пользуется атакуемая организация, и только потом с помощью одобренных провайдером каналов связи проникают в корпоративную сеть самой организации. Исследователи Palo Alto Networks рассказали о целевых атаках на организации в странах Среднего Востока с использованием семейств вредоносного ПО KASPERAGENT и MICROPSIA для Windows, а также SECUREUPDATE и VAMP для Android. Атаки не отличаются большой сложностью, однако используемые темы, атакуемые организации и настойчивость хакеров свидетельствуют о решительном и достойном внимания противнике. Эксперты Cisco Talos сообщили о вредоносной кампании против пользователей из Южной Кореи. В рамках операции злоумышленники распространяют новый троян для удаленного доступа Rokrat. Что интересно, в качестве C&C-серверов и платформы для извлечения данных вредонос использует Twitter и облачные сервисы «Яндекс» и Mediafire. На прошлой неделе стало известно о спам-кампании по распространению кейлоггера Ursnif. Вредоносное ПО распространяется с помощью замаскированных под счет-фактуру электронных писем со вложенным документом Microsoft Word. Документ содержит встроенный VBScript-скрипт, загружающий и устанавливающий на компьютер жертвы кейлоггер. Специалисты компании Malwarebytes обнаружили мошенническую кампанию, направленную на владельцев iOS-устройств. В рамках операции киберпреступники продвигают сомнительное бесплатное VPN-приложение My Mobile Secure через рекламу на популярных торрент-трекерах. Приложение собирает самые разнообразные данные, в том числе техническую информацию об устройстве (аппаратном обеспечении, установленных приложениях, объеме памяти и т.д.), сведения об операторе связи, контактные данные, информацию об активности в интернете, продолжительности звонков, содержании текстовых сообщений и заголовков электронных писем, загружаемых приложениях и файлах, использовании камеры и других утилит на устройстве и пр. Поддерживающая террористическую организацию ДАИШ (ИГИЛ, запрещена в РФ) киберпреступная группировка «Объединенный Киберхалифат» (United Cyber Caliphate) опубликовала персональные данные 8 786 граждан США и Великобритании. Хакеры выпустили шокирующее видео с призывом уничтожить указанных в списке лиц. На прошлой неделе не обошлось без сообщений о новом образце вредоносного ПО для IoT-устройств. Исследователи компании Radware обнаружили программу BrickerBot, превращающую уязвимые гаджеты в бесполезный «кирпич». В отличие от Mirai, вредонос не объединяет взломанные устройства в ботнет, а только блокирует их работу. В последнее время программы-шифровальщики пользуются огромной популярностью у киберпреступников. Как правило, они применяютя для вымогательства денег у жертв, однако предназначение RensenWare совсем другое. Похоже, его автор преследовал цель хорошенько поразвлечься, поскольку вредонос восстанавливает зашифрованные данные только в случае, если пользователь наберет 0,2 млрд очков в игре TH12 - Undefined Fantastic Object. В рамках проекта Vault 7 организация WikiLeaks опубликовала очередную порцию конфиденциальных документов Центрального разведывательного управления США. Новая публикация называется Grasshopper («Кузнечик») и содержит 27 документов, в которых идет речь об одноименной платформе, предназначенной для создания вредоносного ПО для Microsoft Windows. В конце недели о себе снова заявила группировка The Shadow Brokers. Ушедшие было на покой хакеры вернулись и бесплатно опубликовали оставшуюся порцию инструментов для взлома, разработанных элитным хакерским подразделением АНБ США Equation Group.
  19. Прошедшая неделя ознаменовалась публикацией очередной порции секретных материалов ЦРУ, разработкой методов взлома «умных» телевизоров, смартфонов и физически изолированных компьютеров, появлением нового, более мощного варианта Mirai и пр. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 27 марта по 2 апреля 2017 года. В начале прошлой недели стало известно об эксплуатации злоумышленниками уязвимостей нулевого дня в Windows. Уязвимость в XML Core Services (CVE-2017-0022) связана с неправильной обработкой объектов в памяти и позволяет раскрыть информацию. С ее помощью хакеры могут узнать, какие файлы хранятся на уязвимой системе и, в частности, какие используются антивирусные решения. Проблема эксплуатировалась в рамках вредоносной рекламной кампании AdGholas с июля 2016 года. Уязвимость в компоненте Windows Win32k в Windows GDI (CVE-2017-0005) позволяла вызвать повреждение памяти, тем самым повысить свои привилегии и выполнить код с привилегиями системы. Проблема эксплуатировалась группировкой Zirconium, специализирующейся на кибершпионаже. Обе уязвимости были исправлены 14 марта текущего года с выходом плановых обновлений безопасности. Не обошлось на прошлой неделе без очередных сообщений о «русских хакерах». Согласно отчету Государственного департамента инфосистем Эстонии по кибербезопасности за 2016 год, хакерская группировка APT 28, также известная как Fancy Bear, атаковала крупнейшее предприятие страны по переработке сланца Viru Keemia Grupp. В обвинениях APT 28 к Эстонии также присоединилась Финляндия. Как сообщается в отчете Полиции государственной безопасности Финляндии (Supo) о проделанной работе за прошлый год, возросло число кибератак на финскую зарубежную инфраструктуру и инфраструктуру безопасности, в том числе с целью шпионажа. От Эстонии и Финляндии не отстают США. На киберпреступников из РФ пожаловался бывший кандидат в американские президенты, сенатор от штата Флорида Марко Рубио. По словам политика, на прошлой неделе злоумышленники пытались с российских IP-адресов атаковать системы сотрудников его предвыборного штаба. Атака оказалась неудачной. Эксперты компании Imperva сообщили о новом варианте вредоносного ПО Mirai, использовавшемся для осуществления 54-часовой DDoS-атаки на один из колледжей США. Вредонос был модифицирован для более эффективных атак на уровне приложений. Помимо DDoS-атак, большой популярностью у киберпреступников пользуется фишинг. Жертвами новой фишинговой кампании стали пользователи GitHub. С помощью поддельных писем с предложением работы злоумышленники заражали системы жертв модульным трояном Dimnie. Одним из самых распространенных видов фишинга является рассылка электронных писем якобы от авиакомпаний. За последние несколько недель эксперты Barracuda Networks зафиксировали волну подобных атак. Киберпреступники рассылают жертвам электронные письма с вредоносным вложением или ссылкой на вредоносный сайт. Большой резонанс на прошлой неделе вызвала публикация на сайте WikiLeaks очередной порции похищенных у ЦРУ документов. В частности, были обнародованы 676 файлов исходного кода секретного инструмента для обхода криминалистической экспертизы Marble Framework. Инструмент представляет собой обфускатор или упаковщик для сокрытия истинного происхождения используемого ЦРУ вредоносного ПО. В субботу, 1 апреля, неизвестные взломали приложение американского издания The New York Post и разослали серию push-уведомлений, в которых выразили поддержку президенту США Дональду Трампу. Среди значимых событий прошедшей недели также стоит отметить обнаружение новых методов атак на «умные» телевизоры с использованием сигналов DVB-T, похищения данных с физически изолированного компьютера при помощи сканера и взлома смартфонов с использованием зарядного устройства.
  20. Компания ESET объявила о выпуске новой версии веб-консоли Remote Administrator, предназначенной для централизованного управления безопасностью в корпоративной сети. Консоль позволяет управлять защитными средствами в сетях различной сложности. Благодаря ESET Remote Administrator можно разворачивать системы безопасности и осуществлять мониторинг событий с любого компьютера. В обновлённой консоли реализована многопользовательская модель безопасности. С ней можно создавать разные аккаунты пользователей, открывать им доступ к необходимым группам и объектам, задавая три уровня доступа — чтение, использование, запись. Многопользовательская модель подходит для крупных компаний с одним централизованным сервером и несколькими администраторами, каждый из которых имеет доступ только к рабочим станциям своего региона или филиала. Модель удобна также для провайдеров услуг, которые управляют с одного сервера компьютерами своих клиентов. Другим важным изменением стала поддержка программы регистрации устройств Apple (DEP). Компании смогут полноценно управлять корпоративными мобильными устройствами на iOS, в частности, определять первоначальную конфигурацию, задавать настройки безопасности, создавать белые и чёрные списки приложений, настраивать взаимодействие пользователя с приложениями и фильтровать веб-контент. Наконец, предусмотрена интеграция с системой управления событиями информационной безопасности (SIEM) IBM QRadar. Все основные события в ESET Remote Administrator можно экспортировать в формате LEEF для дальнейшей загрузки в систему IBM.
  21. С точки зрения информационной безопасности прошедшая неделя оказалась весьма беспокойной. Предлагаем ознакомиться с главными событиями в мире ИБ за период с 20 по 26 марта 2017 года. После нескольких недель отсутствия активности крупнейший ботнет для рассылки спама Necurs снова напомнил о себе. По данным Cisco Talos, злоумышленники используют его для манипуляций на фондовом рынке. Хакеры запустили масштабную спам-кампанию, в ходе которой распространяют уведомления о торгах на фондовом рынке. Письма не содержат каких-либо вредоносных ссылок или документов, а якобы раскрывают инсайдерскую информацию. Как сообщили эксперты, письма уже повлияли на стоимость некоторых акций. На прошлой неделе снова дал о себе знать известный банковский троян Ramnit. Исследователи Malwarebytes обнаружили новую вредоносную рекламную кампанию, ориентированную на британских и канадских посетителей сайтов «для взрослых». С помощью принадлежащих рекламной сети ExoClick PopUnder-баннеров жертвы перенаправляются на ресурс с набором эксплоитов Rig, загружающим на их компьютеры троян Ramnit. Исследователи компании Check Point обнаружили продолжающуюся вредоносную кампанию с использованием банковского трояна Swearing для Android-устройств. Главной особенностью вредоноса является способ его распространения. Троян попадает на устройства жертв через SMS-сообщения с ссылкой на троян, отправленные с поддельных базовых станций. Помимо манипуляций стоимостью акций и похищения банковских данных, киберпреступников интересуют военные и промышленные секреты различных стран. К примеру, эксперты Cylance Threat сообщили о кибершпионской группировке Machete, атакующей испаноязычные страны. Для распространения шпионского ПО злоумышленники используют фишинговые письма с вредоносными документами. Исследователи Cybellum обнаружили новую технику, позволяющую получить контроль над чужим компьютером. Атака под названием DoubleAgent использует механизм Microsoft Application Verifier для внедрения вредоносного кода в другие приложения. С ее помощью злоумышленник может отключить антивирус, заставить его не реагировать на определенные типы вредоносного ПО\атак, использовать антивирусное решение в качестве прокси для атак на локальную сеть, повысить права на системе, нанести повреждения компьютеру или вызвать отказ в обслуживании. На прошлой неделе также не обошлось без сообщений об утечках данных. На этот раз жертвами хакеров стали пользователи форума Android Forums. Злоумышленники похитили электронные адреса и пароли, хешированные с использованием соли, каждого сорокового подписчика. Хакер или группа хакеров заявила о получении доступа к большому объему данных из iCloud и других учетных записей клиентов Apple. Некто под псевдонимом Turkish Crime Family требует от компании выкуп, угрожая в противном случае стереть данные с iPhone 300 млн пользователей. В компании уверяют, что никакой утечки данных из ее сетей не было, а злоумышленники могли получить информацию в результате предыдущих утечек из других сервисов. Большой резонанс на прошлой неделе вызвала публикация WikiLeaks второй части секретных материалов ЦРУ, проливающих свет на хакерские возможности спецслужбы. Вторая порция документов, озаглавленная Dark Matter, содержит сведения об инструментах для взлома компьютеров на базе MacOS и iOS-устройств.
  22. Прошедшая неделя ознаменовалась рядом утечек данных, появлением новой модификации вредоносного ПО Mirai и скандалом вокруг обвинений во взломе Yahoo!, выдвинутым против троих граждан РФ. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 13 по 19 марта 2017 года. Несмотря на усилия, прилагаемые телекоммуникационными компаниями для борьбы с Mirai, ботнет по-прежнему «жив» и адаптируется к новым условиям. Как сообщают исследователи Malware Must Die, китайские хакеры модифицировали код вредоноса, приспособив его для заражения новых моделей устройств. В частности речь идет о видеорегистраторах и IP-камерах Avtech. Помимо Mirai, на прошлой неделе снова дал о себе знать троян-шифровальщик Petya. Неизвестные хакеры похитили оригинальную версию программы и создали на ее основе вредоносное ПО PetrWrap. Petya распространяется по бизнес-модели «вымогательское ПО как услуга». Для предотвращения его неавторизованного использования в код встроен ряд защитных механизмов, однако разработчикам PetrWrap удалось их обойти. В среду, 15 марта, хакерская группировка взломала тысячи учетных записей в Twitter. В числе пострадавших оказались Европарламент, Министерство экономики Франции, правозащитная организация Amnesty International, UNICEF, исследовательский Университет Дьюка и многие другие. Как уже сообщалось выше, прошлая неделя ознаменовалась сразу несколькими утечками данных. Исследователь из MacKeeper Боб Дяченко обнаружил в открытом доступе тысячи резервных файлов, содержащих большой объем конфиденциальной информации служащих ВВС США. На подключенном к интернету незащищенном внешнем накопителе хранились сканированные копии паспортов, имена, адреса, номера социального страхования и звания порядка 4 тыс. военнослужащих. Жертвами утечки данных также стали пользователи популярного у подростков и молодежи приложения Wishbone. Злоумышленники похитили 2,2 млн электронных адресов и 287 тыс. телефонных номеров. Как сообщил исследователь безопасности Трой Хант, в открытом доступе оказалась персональная и контактная информация более 33 млн сотрудников различных американских компаний и федеральных агентств, в том числе Министерства обороны. Интерпол уведомил Центробанк РФ о похищении большого объема данных банковских карт россиян, отдыхавших заграницей. По словам заместителя начальника главного управления безопасности и защиты информации Центробанка Артема Сычева, данные были похищены с помощью скимминга. Карты использовались россиянами в Европе, скорее всего, в Болгарии и Румынии. Сычев также рассказал об используемом злоумышленниками новом дистанционном способе похищения средств из банкоматов. Как пояснил эксперт, для защиты банкоматов применяются различные датчики (движения, вскрытия), но они бесполезны, так как устройство преступников работает дистанционно. На прошлой неделе прошли хакерские соревнования Pwn2Own. В первый же день участники успешно взломали Microsoft Edge, Apple Safari, Adobe Reader и десктопную версию Ubuntu. Большой резонанс в СМИ вызвали обвинения во взломе 500 млн учетных записей Yahoo!, выдвинутые против троих граждан РФ. Двое из них являются сотрудниками ФСБ, а еще один – хакером из списка самых разыскиваемых ФБР. Четвертый обвиняемый имеет гражданство Канады. Несмотря на отсутствие между Вашингтоном и Москвой договора об экстрадиции, власти США просят РФ выдать им преступников.
  23. Netwell и FireEye объявили о заключении дистрибьюторского соглашения по продвижению в России специализированной платформы для обеспечения безопасности FireEye. Как рассказали в компании, благодаря сотрудничеству, партнеры дистрибьютора получат возможность использовать передовые технологии FireEye. Современные кибер-атаки научились обходить традиционные методы защиты на основе сигнатур, такие как межсетевые экраны, системы предотвращения вторжений, антивирусные программы и другие сигнатурные средства защиты. Платформа для предотвращения угроз FireEye способна защищать компании от новейших кибер-атак на всех стадиях жизненного цикла атаки без использования сигнатур и вне зависимости от местонахождения источников угроз. Ядро платформы FireEye представляет собой замкнутую среду виртуализации, дополненную средствами динамического анализа угроз и предназначенную для идентификации и блокировки кибер-атак в режиме реального времени. «Информационная безопасность — это гарантия стабильной работы и приоритет каждой компании. Однако кибер-атаки нового поколения с каждым днем становятся все более сложными и устойчивы к традиционным средствам защиты. Поэтому сегодня и частные компании, и государственные организации заинтересованы в эффективных решениях по ИБ, — отметил Андрей Гольдштейн, руководитель направления по информационной безопасности компании Netwell. Рынок ИБ в России продолжает расти, и для нас стало важным шагом расширение своего продуктового портфеля решениями FireEye, способными защищать наших заказчиков от угроз нового поколения. Мы уверены, что наше сотрудничество будет эффективным и взаимовыгодным, что позволит нам лучше соответствовать запросам партнеров». Основные заказчики решений FireEye в РФ — это средние и крупные компании и корпорации из государственного, финансового и промышленного сектора, работа которых непосредственно связана с конфиденциальной информацией.
  24. На прошлой неделе большой резонанс вызвали сразу две масштабные утечки данных. Во-первых, исследователь безопасности Крис Викери опубликовал подробности о затронувшей порядка 1,4 млрд пользователей утечке из сетей маркетинговой компании River City Media. Во-вторых, портал WikiLeaks начал публикацию секретных материалов ЦРУ, предположительно похищенных одним из подрядчиков управления. Предлагаем вашему вниманию краткий обзор главных инцидентов безопасности за период с 6 по 12 марта. Специалисты «Лаборатории Касперского» зафиксировали новую волну атак с использованием модифицированной версии червя Shamoon (он же Disttrack) против организаций, работающих в критически важных и экономических секторах Саудовской Аравии. Как и у оригинальной версии вредоноса, главной задачей Shamoon 2.0 является массовое выведение из строя целевых систем. Эксперты Cisco Talos предупредили об атаках с эксплуатацией уязвимости нулевого дня в Apache Struts, исправленной 6 марта 2017 года. Исследователи обнаружили PoC-эксплоит для уязвимости на одном из китайских сайтов, а также зафиксировали несколько попыток осуществить кибератаки. Крупнейший в США производитель систем для обработки электронных платежей корпорация Verifone подтвердила факт атаки на свои внутренние компьютерные сети. В ходе расследования инцидента были обнаружены свидетельства причастности к нему русских хакеров. Как уже упоминалось выше, исследователь безопасности Крис Викери сообщил об утечке корпоративной информации, принадлежащей River City Media. Компания занимается маркетингом, ежедневно рассылая порядка 1 млрд спам-писем. В результате инцидента в открытом доступе оказались имена, а также электронные и реальные адреса порядка 1,4 млрд пользователей. На прошлой неделе WikiLeaks опубликовал первую порцию утечек из Центра киберразведки ЦРУ США. Обнародованные в рамках проекта Vault 7 документы содержат информацию о хакерском арсенале и тайной базе спецслужбы в Германии. Проект является крупнейшей на сегодняшний день утечкой конфиденциальных документов ЦРУ. В конце прошлой недели исследователи из компании Check Point обнаружили предустановленное вредоносное ПО на 38 моделях Android-смартфонов Samsung, LG, Xiaomi, Asus, Nexus, Oppo, и Lenovo. На зараженных устройствах были выявлены две разновидности вымогательского ПО Loki и SLocker.
  25. Прошедшая неделя выдалась весьма беспокойной с точки зрения кибербезопасности. Очередные масштабные утечки данных, крупнейший за последнее время коллапс интернета и всевозможные хакерские атаки не сходили с заголовков СМИ. Наибольший резонанс на прошлой неделе вызвала утечка данных владельцев мягких игрушек CloudPets производства компании Spiral Toys с функцией подключения к интернету. Как оказалось, в течение по крайней мере двух недель в декабре-январе информация 800 тыс. пользователей хранилась в незащищенной базе данных, и любой желающий мог получить к ней доступ. Об утечке данных также сообщила Yahoo!. По словам представителей компании, за последние два года с помощью поддельных файлов cookie злоумышленники получили несанкционированный доступ к 32 млн учетных записей ее клиентов. Хакер под псевдонимом CrimeAgency заявил в Twitter об успешном взломе 126 форумов и похищении паролей администраторов и зарегистрированных пользователей. В январе-феврале текущего года злоумышленник получил доступ к 820 тыс. учетных записей путем эксплуатации известной уязвимости в старых версиях движка vBulletin. На прошлых выходных о масштабной утечке информации сообщил ИБ-эксперт Крис Викери. Согласно заявлению исследователя, в ближайшее время он обнародует информацию об утечке данных порядка 1,4 млрд пользователей. Источник утечки, как и другие подробности об инциденте, пока неизвестны. В ночь с 28 февраля на 1 марта произошел сбой в работе крупнейшей облачной системы хранения данных Amazon Web Services S3 AWS. Инцидент стал причиной прекращения работы огромного количества сайтов и web-приложений по всему миру. Сбой был вызван опечаткой, допущенной одним из инженеров при введении команды. Не обошлось на прошлой неделе без сообщений о вредоносном ПО. Специалисты компании Palo Alto Networks обнаружили в online-каталоге Google Play Store более 130 Android-приложений от семи разных разработчиков, содержащих вредоносный код для Windows. Скорее всего, разработчики не собирались заражать устройства бесполезным вредоносом, а просто использовали при создании приложений доступные инструменты, уже содержащие вредоносный код. Эксперты Cisco Talos обнаружили атаку, в ходе которой многофункциональное вредоносное ПО DNSMessenger для установки двустороннего канала связи со своими операторами использует DNS. Вредонос распространяется с помощью фишинговых писем под видом защищенного документа Microsoft Word. Исследователи SophosLabs сообщили о новой вредоносной кампании с использованием сразу трех образцов вредоносного ПО – AKBuilder, Dyzap и Betabot. AKBuilder представляет собой набор эксплоитов для создания вредоносных документов Word, Dyzap является банковским трояном, а Betabot – семейством вредоносных программ для взлома компьютеров и создания из них ботнетов. По данным исследователя безопасности Тьяго Перейры, известный ботнет Necurs, используемый злоумышленниками для рассылки фишинговых писем с вредоносным ПО Locky, получил новые функции. Теперь Necurs оснащен ответственным за DDoS-атаки модулем и функцией подключения к C&C-серверу через прокси. После серии атак на серверы MongoDB, ElasticSearch и CouchDB под прицел вымогателей попали базы данных MySQL. По информации компании GuardiCore, злоумышленники взламывают незащищенные серверы MySQL, похищают базы данных и удаляют содержимое сервера. За восстановление потерянных данных хакеры требуют выкуп в размере 0,2 биткойна ($235).