Jump to content

Search the Community

Showing results for tags 'неделю'.

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Новости
    • Новости сервера
    • Новости спутниковых провайдеров
    • Новости цифровой техники
    • Новости спутников и космических технологий
    • Новости телеканалов
    • Новости операторов связи, кабельного и IPTV
    • Новости сети интернет и софта (software)
    • Архив новостей
  • IPTV
    • Обсуждение IPTV каналов
    • IPTV на iptv-приставках
    • IPTV на компьютере
    • IPTV на телевизорах Smart TV
    • IPTV на спутниковых ресиверах
    • IPTV на мобильных устройствах
    • Kodi (XBMC Media Center)
    • FAQ по IPTV
  • IPTV in English
    • FAQ (Manuals)
    • Price
    • Discussions
  • Cпутниковое ТВ
    • Основной раздел форума
    • Кардшаринг
    • Транспондерные новости, настройка антенн и приём
    • Dreambox/Tuxbox/IPBox/Sezam и др. на базе Linux
    • Ресиверы Android
    • Другие ресиверы
    • Galaxy Innovations (без OS Linux)
    • Обсуждение HD\UHD телевизоров и проекторов
    • DVB карты (SkyStar, TwinHan, Acorp, Prof и др.)
    • OpenBOX F-300, F-500, X540, X560, X590, X-800, X-810, X-820, S1
    • Openbox X-730, 750, 770CIPVR, 790CIPVR
    • OpenBOX 1700(100), 210(8100),6xx, PowerSky 8210
    • Golden Interstar
    • Globo
    • Спутниковый интернет/спутниковая рыбалка
  • Общий
    • Курилка
    • Барахолка

Categories

  • Dreambox/Tuxbox
    • Эмуляторы
    • Конфиги для эмуляторов
    • JTAG
    • Picons
    • DM500
    • DM600
    • DM7000
    • DM7020
    • Программы для работы с Dreambox
    • DM7025
    • DM500 HD
    • DM800 HD
    • DM800 HDSE
    • DM8000 HD
    • DM 7020 HD
    • DM800 HD SE v2
    • DM 7020 HD v2
    • DM 500 HD v2
    • DM 820 HD
    • DM 7080
    • DM 520/525HD
    • Dreambox DM 900 Ultra HD
    • Dreambox DM920 Ultra HD
  • Openbox HD / Skyway HD
    • Программы для Openbox S5/7/8 HD/Skyway HD
    • Addons (EMU)
    • Ключи
    • Skyway Light 2
    • Skyway Light 3
    • Skyway Classic 4
    • Skyway Nano 3
    • Openbox S7 HD PVR
    • Openbox S6 PRO+ HD
    • Openbox SX4C Base HD
    • Skyway Droid
    • Skyway Diamond
    • Skyway Platinum
    • Skyway Nano
    • Skyway Light
    • Skyway Classic
    • Openbox S6 HD PVR
    • Openbox S9 HD PVR
    • Skyway Classic 2
    • Openbox S4 PRO+ HDPVR
    • Openbox S8 HD PVR
    • Skyway Nano 2
    • Openbox SX6
    • Openbox S6 PRO HDPVR
    • Openbox S2 HD Mini
    • Openbox S6+ HD
    • Openbox S4 HD PVR
    • Skyway Classic 3
    • Openbox SX4 Base
    • Openbox S3 HD mini
    • Openbox SX4 Base+
    • Openbox SX9 Combo
    • Openbox AS1
    • Openbox AS2
    • Openbox SX4
    • Openbox SX9
    • Openbox S5 HD PVR
    • Formuler F3
    • Openbox Formuler F4
    • Openbox Prismcube Ruby
    • Skyway Droid 2
    • Openbox S2 HD
    • Openbox S3 HD Micro
    • Skyway Air
    • Skyway Virgo
    • Skyway Andromeda
    • Openbox S1 PVR
    • Formuler4Turbo
    • Open SX1 HD
    • Open SX2 HD
    • Openbox S3 HD mini II
    • Openbox SX2 Combo
    • Openbox S3HD CI II
  • Openbox AS4K/ AS4K CI
  • Opticum/Mut@nt 4K HD51
  • Mut@nt 4K HD60
  • Octagon SF4008 4K
  • OCTAGON SF8008 MINI 4K
  • Octagon SF8008 4K
  • GI ET11000 4K
  • Formuler 4K S Mini/Turbo
  • VU+ 4K
    • Прошивки VU+ Solo 4K
    • Прошивки VU+ Duo 4K
    • Прошивки VU+ UNO 4K
    • Прошивки VU+ Uno 4K SE
    • Прошивки VU+ Ultimo 4K
    • Прошивки VU+ Zero 4K
    • Эмуляторы VU+ 4K
    • Vu+ Duo 4K SE
  • Galaxy Innovations
    • GI 1115/1116
    • GI HD Slim Combo
    • GI HD Slim
    • GI HD Slim Plus
    • GI Phoenix
    • GI S9196Lite
    • GI S9196M HD
    • GI Spark 2
    • GI Spark 2 Combo
    • GI Spark 3 Combo
    • Программы для работы с Galaxy Innovations
    • Эмуляторы для Galaxy Innovations
    • GI S1013
    • GI S2020
    • GI S2028/S2026/2126/2464
    • GI S2030
    • GI S2050
    • GI S3489
    • GI ST9196/ST9195
    • GI S2121/1125/1126
    • GI S6199/S6699/ST7199/ST7699
    • GI S8290
    • GI S8680
    • GI S8120
    • GI S2138 HD
    • GI S2628
    • GI S6126
    • GI S1025
    • GI S8895 Vu+ UNO
    • GI Vu+ Ultimo
    • GI S2238
    • GI Matrix 2
    • GI HD Mini
    • GI S2038
    • GI HD Micro
    • GI HD Matrix Lite
    • GI S1027
    • GI S1015/S1016
    • GI S9895 HD Vu+ Duo
    • GI S8180 HD Vu+ Solo
    • Vu+ SOLO 2
    • Vu+ Solo SE
    • Vu+ Duo 2
    • Vu+ Zero
    • GI ET7000 Mini
    • GI Sunbird
    • GI 2236 Plus
    • GI HD Micro Plus
    • GI HD Mini Plus
    • GI Fly
    • GI HD Slim 2
    • GI HD Slim 2+
    • GI HD Slim 3
    • GI HD Slim 3+
  • IPBox HD / Sezam HD / Cuberevo HD
    • Программы для работы с IPBox/Sezam
    • IPBox 9000HD / Sezam 9100HD / Cuberevo
    • IPBox 900HD / Cuberevo Mini
    • IPBox 910HD / Sezam 902HD / Sezam 901HD
    • IPBox 91HD / Sezam 900HD / Cuberevo 250HD
    • Addons
  • HD Box
    • HD BOX 3500 BASE
    • HD BOX 3500 CI+
    • HD BOX 4500 CI+
    • HD BOX 7500 CI+
    • HD BOX 9500 CI+
    • HD BOX SUPREMO
    • HD BOX SUPREMO 2
    • HD BOX TIVIAR ALPHA Plus
    • HD BOX TIVIAR MINI HD
    • HD BOX HB 2017
    • HD BOX HB 2018
    • HD BOX HB S100
    • HD BOX HB S200
    • HD BOX HB S400
  • Star Track
    • StarTrack SRT 100 HD Plus
    • StarTrack SRT 300 HD Plus
    • StarTrack SRT 2014 HD DELUXE CI+
    • StarTrack SRT 3030 HD Monster
    • StarTrack SRT 400 HD Plus
    • StarTrack SRT 200 HD Plus
  • Samsung SmartTV SamyGo
  • DVB карты
    • DVBDream
    • ProgDVB
    • AltDVB
    • MyTheatre
    • Плагины
    • DVBViewer
    • Кодеки
    • Драйвера
  • Openbox F-300, X-8XX, F-500, X-5XX
    • Программы для работы с Openbox
    • Ключи для Openbox
    • Готовые списки каналов
    • Все для LancomBox
    • Openbox F-300
    • Openbox X-800
    • Openbox X-810
    • Openbox X-820
    • Openbox F-500
    • Openbox X-540
    • Openbox X-560
    • Openbox X-590
  • Openbox X-730PVR, X-750PVR, X-770CIPVR, X-790CIPVR
    • Программы для работы с Openbox
    • Ключи
    • Openbox X-730PVR
    • Openbox X-750PVR
    • Openbox X-770CIPVR
    • Openbox X-790CIPVR
  • OpenBOX 1700[100], 210[8100], 6xx, PowerSky 8210
    • Программы для работы с Openbox/Orion/Ferguson
    • BOOT
    • Ключи
    • OpenBOX 1700[100]
    • OpenBOX 210[8100]
    • OpenBOX X600 CN
    • OpenBOX X610/620 CNCI
    • PowerSky 8210
  • Globo
    • Globo HD XTS703p
    • Программы для работы с Globo
    • Ключи для Globo
    • Globo 3xx, 6xxx
    • Globo 4xxx
    • Globo 7010,7100 A /plus
    • Globo 7010CI
    • Globo 7010CR
    • Ferguson Ariva 100 & 200 HD
    • Opticum 8000
    • Opticum 9000 HD
    • Opticum 9500 HD
    • Globo HD S1
    • Opticum X10P/X11p
    • Opticum HD 9600
    • Globo HD X403P
    • Opticum HD X405p/406
    • Opticum X80, X80RF
  • Golden Interstar
    • Программы для работы с Interstar
    • Все для кардшаринга на Interstar
    • BOOT
    • Ключи
    • Golden Interstar DSR8001PR-S
    • Golden Interstar DSR8005CIPR-S
    • Golden Interstar DSR7700PR
    • Golden Interstar DSR7800SRCIPR
    • Golden Interstar TS8200CRCIPR
    • Golden Interstar TS8300CIPR-S
    • Golden Interstar TS8700CRCIPR
    • Golden Interstar S100/S801
    • Golden Interstar S805CI
    • Golden Interstar S770CR
    • Golden Interstar S780CRCI
    • Golden Interstar TS830CI
    • Golden Interstar TS870CI
    • Golden Interstar TS84CI_PVR
    • Golden Interstar S890CRCI_HD
    • Golden Interstar S980 CRCI HD
    • Golden Interstar GI-S900CI HD
    • Golden Interstar S905 HD
    • Box 500
  • SkyGate
    • Программы для работы с ресиверами SkyGate
    • Списки каналов и ключей
    • SkyGate@net
    • SkyGate HD
    • SkyGate HD Plus
    • SkyGate Gloss
    • Sky Gate HD Shift
  • Samsung 9500
    • Программы для работы с Samsung 9500
    • Программное обеспечение для Samsung 9500
  • Openbox 7200
    • Прошивки
    • Эмуляторы
    • Программы для работы с Openbox 7200
    • Списки каналов
  • Season Interface
  • Прошивки для приставок MAG

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


  1. Прошедшая неделя ознаменовалась рядом инцидентов и утечек данных, привлекших внимание общественности. В их числе утечки конфиденциальных данных Агентства национальной безопасности (АНБ) США и компании National Credit Federation, таинственное исчезновение $655 тыс. в валюте Verge из универсального криптовалютного кошелька CoinPouch, публикация в Сети 1,3 тыс. паролей армянских пользователей Facebook и пр. Ниже представлен краткий обзор главных событий в мире ИБ за период с 27 ноября по 3 декабря текущего года. Наиболее резонансным событием минувшей недели стало сообщение об обнаружении в открытом доступе на сервере Amazon Web Services конфиденциальных данных АНБ США, относящихся к засекреченному проекту Командования разведки и безопасности Армии США под названием Red Disk. Проект задумывался как легко кастомизируемая облачная система, способная удовлетворить требования масштабных и сложных военных операций. Предполагалось, что система Red Disk должна предоставлять американским солдатам в горячих точках данные прямиком из Пентагона, включая спутниковые снимки и видеотрансляцию с беспилотных летательных аппаратов. Однако в связи с медлительностью системы и сложностями в использовании проект так и не был реализован. Некорректно настроенные серверы Amazon Web Services также стали причиной утечк и 111 ГБ конфиденциальной информации компании National Credit Federation (NCF), в том числе включающей кредитные истории ее клиентов. Утечка затронула сравнительно небольшое число клиентов NCF (40 тыс.), однако на сервере содержались конфиденциальные сведения, в том числе отчеты трех крупных бюро кредитных историй - Equifax, Experian и TransUnion. В начале прошедшей недели эксперт по информационной безопасности Самвел Мартиросян сообщил о публикации в Сети адресов электронной почты и номеров телефонов армянских пользователей соцресурса Facebook. По словам специалиста, скорее всего, хакеры смогли украсть пароли. Хотя злоумышленники заявили о взломе 4 тыс. паролей, в обнародованном списке представлены данные только 1,3 тыс. пользователей. На минувшей неделе также стало известно о краже бывшими сотрудниками Министерства внутренней безопасности США персональной информации (включая имена, номера социального страхования и даты рождения) порядка 246 тыс. служащих ведомства. Данную информацию злоумышленники намеревались использовать для разработки и тестирования поддельной системы для управления делами, которую планировали продавать другим госорганам. Операторы универсального криптокошелька CoinPouch обнародовали некоторые подробности недавнего взлома и хищения электронной валюты Verge (XVG) на общую сумму в размере $655 тыс. История началась в начале ноября нынешнего года, когда один из пользователей сообщил о краже средств из его кошелька. После проведенного расследования команда поддержки Verge пришла к выводу, что речь не идет о взломе. Однако после того, как разработчики CoinPouch приняли меры по обеспечению безопасности узла CoinPouch для криптовалюты Verge (Verge Specific Node), пользователи вновь начали сообщать о некорректной работе кошельков. Как выяснилось в ходе повторного расследования, узел все же был скомпрометирован. Ни разработчикам CoinPouch, ни создателям Verge пока не удалось понять, как именно произошел взлом. На прошлой неделе жертвой хакеров стал крупнейший в мире судовой брокер, британская компания Clarksons. Злоумышленник или группа злоумышленников взломали компьютерные системы, похитили конфиденциальные данные и потребовали выкуп, угрожая в противном случае обнародовать похищенную информацию. Компания отказалась платить шантажистам. В конце недели Европол сообщил о пресечении деятельности международной сети скиммеров и конфискации более 1 тыс. поддельных кредитных карт, принадлежавших злоумышленникам. В ходе совместной операции были арестованы четыре гражданина Болгарии, предположительно являвшихся лидерами группировки. По имеющимся данным, они руководили установкой скиммеров в банкоматы и использовали похищенную информацию для создания фальшивых карт и вывода средств из банкоматов, находящихся за пределами Европы, включая Белиз, Индонезию и Ямайку.
  2. Минувшая неделя запомнится рядом событий в мире ИБ, в числе которых сообщения об опасных уязвимостях в Intel ME, утечке данных 57 млн клиентов и водителей Uber, очередной кибератаке на Украину и пр. Предлагаем вашему вниманию краткий обзор инцидентов безопасности за период с 20 по 26 ноября 2017 года. Пожалуй, наиболее резонансным событием на прошедшей неделе стало известие об утечке данных Uber, затронувшей клиентов и водителей компании. В руках у злоумышленников оказались имена и электронные адреса 50 млн пассажиров и личные данные 7 млн водителей, в том числе 600 тыс. номеров выданных в США водительских прав. По уверению Uber, до номеров соцстрахования, дат рождения, истории поездок и данных банковских карт хакерам добраться не удалось. Хотя инцидент произошел еще в октябре 2016 года, компания скрыла этот факт от общественности и предпочла выплатить $100 тыс. хакерам, угрожавшим опубликовать похищенную информацию. Довольно громким событием стало и сообщение о серии уязвимостей в подсистеме Management Engine (ME) и связанных с ней компонентах Intel Trusted Execution Engine (SPS) и Server Platform Service (TXE). Уязвимости позволяют злоумышленникам загрузить и выполнить произвольный код, вызвать отказ в обслуживании устройства, а также извлекать информацию, обрабатываемую процессором. Проблемы затрагивают более 900 моделей персональных компьютеров и ноутбуков различных производителей. На данный момент патчи доступны только ряда моделей устройств Lenovo и HPE. На минувшей неделе специалисты компании Trend Micro раскрыли некоторые подробности деятельности хакерской группировки Cobalt, известной своими атаками на банки. Если раньше злоумышленники атаковали клиентов банков, то сейчас их целью стали сами финорганизации. Более того, в отличие от других российских или русскоязычных хакерских группировок, как правило, избегающих страны постсоветского пространства, Cobalt, по всей видимости, использует данный регион в качестве тестовой площадки для испытания новых техник и вредоносного ПО. Журналисты BBC опубликовали результаты расследования, связанного с деятельностью хакерской группировки Fancy Bear. Как выяснилось, хакеры в течение трех лет арендовали серверы у британской компании Crookservers, которые использовались для кибератаки на компьютерную сеть немецкого парламента, перехвата трафика сайта нигерийского правительства и взлома устройств Apple. В конце прошлой недели стало известно об утечке данных 8,5 тысяч бывших и нынешних сотрудников Министерства социальных служб Австралии. Скомпрометированными оказались данные кредитных карт, имена служащих, логины, рабочие номера телефонов, рабочие электронные адреса, системные пароли и пр. Как отметили в ведомстве, утечка произошла исключительно по вине подрядчика и не связана с какими-либо нарушениями в работе систем министерства. 24 ноября Киберполиция Украины предупредила об атаках с использованием нового вымогательского ПО Scarab, распространявшегося с помощью одного из самых масштабных ботнетов Necurs. Электронные письма были замаскированы под архивы с отсканированными изображениями. После шифрования файлов на системе жертвы Scarab размещает соответствующее уведомление без указания суммы выкупа за восстановление информации. Однако злоумышленники обращают внимание пострадавшего на то, что сумма выкупа будет увеличиваться до тех пор, пока жертва не свяжется с вымогателями по указанному адресу электронной почты или через BitMessage.
  3. Прошедшая неделя не ознаменовалась громкими инцидентами в области кибербезопасности, однако не обошлась без очередных обвинений в адрес «российских» хакеров и ряда утечек информации. Предлагаем вашему вниманию краткий обзор главных событий в мире ИБ в период с 13 по 19 ноября текущего года. В начале прошлой недели Национальный центр по борьбе с киберпреступностью Великобритании заявил об атаках «русских хакеров» на электроэнергетические, телекоммуникационные и медиакомпании страны. По словам главы британского Национального центра по борьбе с киберпреступностью (National Cyber Security Centre, NCSC) Киарана Мартина, атаки на британские предприятия осуществлялись в течение года. Минувшая неделя ознаменовалась утечками данных клиентов двух крупных компаний – ритейлера Forever 21 и Австралийской вещательной компании (Australian Broadcasting Corporation, ABC). В первом случае злоумышленникам удалось получить доступ к данным платежных карт клиентов Forever 21, оплачивавших покупки в ряде торговых точек компании. Представители ритейлера не раскрыли информацию о числе пострадавших в результате инцидента, а также о том, какие магазины затронула утечка. Во втором случае компания ABC случайно допустила утечку данных, хранившихся на по меньшей мере двух незащищенных серверах AWS S3. По данным исследователей компании Kromtech Security Center, в открытом доступе находились тысячи электронных писем, логинов и хешей паролей пользователей, запросы на лицензионный контент от продюсеров, закрытые ключи и учетные данные для доступа к другим репозиториям, видеоконтент, а также 1,8 тыс. ежедневных резервных копий базы данных MySQL (с 2015 года по текущее время). В последнее время практически ни одна неделя не обходится без сообщений об обнаружении некорректно сконфигурированных серверов Amazon S3, на которых в открытом доступе хранятся данные тех или иных компаний или ведомств. К примеру, исследователь безопасности Крис Викери обнаружил три некорректно сконфигурированных сервера Amazon S3, принадлежащие Министерству обороны США. Серверы содержали 1,8 млрд публикаций, сделанных в интернете пользователями по всему миру. Несмотря на многочисленные сообщения об утечках данных, компании по-прежнему не уделяют должное внимание собственной безопасности. Так, американская IT-компания DXC Technologies потеряла $64 тыс. после того, как один из сотрудников по ошибке загрузил ее закрытый ключ AWS в открытый репозиторий на GitHub, а ключи цифрового сертификата для сайта китайского производителя дронов DJI в течение четырех лет были доступны на GitHub. На прошедшей неделе мусульманские активисты Di5s3nSi0N в рамках кампании #silencetheswords атаковали связанное с ДАИШ (террористическая организация, запрещена в РФ) информационное агентство Amaq и опубликовали список, включающий адреса электронной почты почти 2 тыс. подписчиков ресурса, в ответ на заявление информагентства о том, что почтовый сервис Amaq стал практически неуязвим ко взлому. Минувшая неделя не обошлась без «курьезов» - американская ИБ-компания McAfee заблокировала доступ к вредоносному ПО, распространявшемуся, как оказалось, из сети самой организации. Вредонос содержался на стороннем сайте, но распространялся через домен, связанный с сервисом McAfee ClickProtect. Интересно, что данный сервис предназначен для защиты пользователей электронной почты от фишинговых писем и ссылок, распространяющих вредоносное ПО.
  4. На прошлой неделе обошлось без масштабных утечек данных, однако снова появились обвинения в адрес «русских хакеров», а криптовалютное сообщество всколыхнули сразу два серьезных инцидента. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 6 по 12 ноября 2017 года. В начале прошлой недели появились сообщения о кибератаке на сайт британского криптовалютного стартапа Electroneum, сумевшего собрать в ходе краудфандинговой кампании и процедуры ICO порядка $40 млн. Electroneum - криптовалюта, добываемая с помощью смартфонов. Запуск официального сайта и мобильного приложения для майнинга был намечен на 2 ноября, однако его пришлось отложить из-за DDoS-атаки. В ходе работ по восстановлению сервиса более 140 тыс. пользователей не могли войти в свои учетные записи. 6 ноября неизвестный проэксплуатировал уязвимость в исходном коде Ethereum-кошелька Parity, в результате чего хранящаяся на многопользовательских счетах криптовалюта оказалась заблокированной. Уязвимость возникла из-за патча, выпущенного разработчиками Parity 20 июля для другой проблемы безопасности. Эксперты компании ThreatConnect сообщили об атаках хакерской группировки Fancy Bear, часто связываемой с российскими спецслужбами, на экспертно-журналисткую группу Bellingcat. В ходе атак для рассылки фишинговых сообщений киберпреступники использовали принадлежащий Google сервис Blogger (blogspot[.]com). Первые атаки были зафиксированы еще в 2015 году. Кроме того, «русские хакеры» могут быть причастны к скандальным утечкам данных пользователей Yahoo!. Об этом заявила бывший директор компании Марисса Майер. О вмешательстве «русских хакеров» в дела Европейского союза и в частности Испании сообщил испанский министр иностранных дел Альфонсо Дастис. По его словам, задачей киберпреступников была дестабилизация ситуации в Европе. Каких-либо доказательств своим словам министр не привел. С 2015 года в киберпространстве действует хакерская группировка SowBug, атакующая дипломатов в Южной Америке и Юго-Восточной Азии. На прошлой неделе эксперты Symantec опубликовали отчет о деятельности преступников. «Группировка располагает большим количеством ресурсов, способна одновременно атаковать несколько целей и часто работает вне рабочего времени целевых организаций», - говорится в отчете. На прошлой неделе глава «Лаборатории Касперского» Евгений Касперский заявил , что компания не имеет никакого отношения к разработанному ЦРУ вредоносному ПО. «Мы провели расследование после выпуска доклада Vault 8 и подтверждаем, что сертификаты, выпущенные под нашим именем, являются фальшивыми. Наши клиенты, закрытые ключи и сервисы находятся в безопасности и не были затронуты», - сообщил Касперский. Речь идет об опубликованном 9 ноября проекте Vault 8 организации WikiLeaks. В нем описывается разработанная ЦРУ вредоносная платформа Hive, позволяющая незаметно похищать данные с зараженных компьютеров. Малоопытные хакеры, желавшие создать собственный ботнет Reaper, попались на удочку более умелого кибермошенника. По данным компании NewSky Security, в Сети распространяется IP-сканер, для поиска уязвимых устройств, которые потенциально могут стать частью ботнета. Однако, помимо обещанного функционала, инструмент оснащен дополнительными функциями. Как оказалось, с помощью IP-сканера мошенник загружал на системы скачавшего его пользователей вредоносное ПО Kaiten.
  5. С точки зрения кибербезопасности прошедшая неделя оказалась весьма беспокойной. В частности, увеличилось число инцидентов, связанных с майнингом криптовалюты. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 30 октября по 5 ноября 2017 года. Начало прошлой недели ознаменовалось очередными обвинениями в адрес «русских хакеров». Шведский телеканал SVT сообщил об атаках на пользователей по всему миру с применением неназванного вымогательского ПО. Подробности об атаке журналисты не привели, однако сообщили, что в одной лишь Швеции фишинговые вредоносные письма получили 1,6 млн человек. Как показывают недавние исследования, вымогательское ПО может использоваться не только по своему прямому назначению (для получения выкупа от жертв), но также для сокрытия кибершпионских операций. К примеру, программы-вымогатели ONI и MBR-ONI использовались в ходе кампании против ряда японских организаций с единственной целью – уничтожить следы хакеров. На прошлой неделе появились новые сведения о деятельности киберпреступной группировки Fancy Bear (APT 28), часто связываемой с российскими спецслужбами. По данным Associated Press, хакеры пытались взломать электронные ящики украинских политиков, российских оппозиционеров и американских военных подрядчиков. В распоряжении информагентства оказался список объектов для атак, основная часть которых находилась в США, Украине, России, Грузии и Сирии. Список датируется периодом с марта 2015 года по май 2016 года. Помимо прочего, стали известны новые подробности о причастности «русских хакеров» ко взлому Национального комитета Демократической партии США в 2016 году. Напомним, виновной в атаке считается все та же Fancy Bear. Как сообщило издание Wall Street Journal, ФБР собрало доказательства о причастности ко взлому шести представителей российских властей. Как стало известно на прошлой неделе, мошенники зарегистрировали 250 доменных имен от лица компании Trump Organization. В 2013 году хакерам удалось получить доступ к учетной записи Trump Organization в сервисе GoDaddy, используемой организацией для регистрации доменных имен. Мошенники зарегистрировали множество теневых поддоменов, используемых ими для распространения вредоносного ПО. Помимо русских, на прошлой неделе о себе дали знать северокорейские хакеры. Как сообщило информагентство Reuters, в апреле прошлого года киберпреступники взломали базу данных южнокорейской судостроительной компании Daewoo Shipbuilding & Marine Engineering и похитили чертежи военных кораблей. Утечка была обнаружена подразделением Минобороны Южной Кореи, специализирующимся на расследовании киберпреступлений. Вывод о причастности КНДР основывается на использовании в данной атаке методов взлома, применявшихся и в других атаках, с которыми связывают северокорейских хакеров. Говоря об утечках, стоит упомянуть утечку данных абонентов всех крупнейших операторов связи Малайзии. Инцидент, в результате которого неизвестные похитили информацию более 46 млн малазийцев, имел место в 2014-2015 годах. Хакерская группировка The Dark Overlord, ранее взявшая на себя ответственность за компрометацию компьютерной сети Netflix и утечку данных клиентов престижной лондонской клиники пластической хирургии, пригрозила опубликовать клиентскую базу данных голливудской студии звукозаписи Line 204. Список клиентов студии включает Apple, Netflix, Funny or Die, ABC, HBO, Hulu и пр. Хакеры пригрозили опубликовать похищенные данные, если Line 204 не выполнит их требования. Эксперты «Лаборатории Касперского» сообщили о новых целевых атаках на финансовые организации. В основном это российские банки, однако жертвами хакеров также стали некоторые банки в Армении и Малайзии. В атаках используется троян Silence, распространяемый посредством вредоносных электронных писем. Как уже упоминалось выше, прошедшая неделя ознаменовалась рядом инцидентов, связанных с майнингом криптовалюты. В начале недели стало известно о трех приложениях в Google Play, содержащих скрытые майнеры Monero. Как только пользователь открывал приложение, майнер начинал использовать ресурсы его устройства для добычи криптовалюты. Скрытый майнер Monero также был обнаружен на сайте D-Link. При каждом открытии страницы загружался отдельный домен со скрытым элементом iframe, содержащий скрипт для генерирования криптовалюты непосредственно в браузере пользователя. Помимо скрытого майнинга за счет чужих ресурсов исследователи безопасности рассказали еще об одной проблеме. По данным «Лаборатории Касперского», троян CryptoShuffler ворует криптовалюту прямиком из кошельков. Целью вредоноса являются Bitcoin, Ethereum, Zcash, Dash, Dogecoin и другие криптовалюты. Киберпреступники научились воровать криптовалюту не только из кошельков. Как сообщают специалисты из Bitdefender, злоумышленники умеют похищать монеты еще до их попадания в кошелек. Киберпреступники сканируют интернет в поисках оборудования для майнинга Ethereum, работающего под управлением ethos с заводскими учетными данными SSH. С помощью этих данных они получают доступ к оборудованию и заменяют адрес Ethereum-кошелька его владельца на свой собственный. В результате вся полученная криптовалюта отправляется не владельцу оборудования, а киберпреступникам.
  6. На прошедшей неделе сразу два российских владельца спутниковых группировок – ФГУП "Космическая связь" (ГПКС) и АО "Газпром космические системы" (ГКС) отметили круглые даты. ГПКС приурочило к юбилею конференцию для клиентов и партнеров, а ГКС провел научно-технический совет с участниками былой кооперации по созданию спутников в 1995-2003 гг. 1 ноября 2017 г. ГПКС провело конференцию SatComRus, которая (с учетом менявшихся названий) прошла в 22-й раз. Информационной привязкой конференции стало 50-летие начала регулярного спутникового телевизионного вещания в нашей стране, от которого ведет свою историю ГПКС. В начале конференции выяснилось, что президент РФ Владимир Путин объявил благодарность коллективу ГПКС (распоряжением № 369-рп от 24.10.2017). С тех пор, как Россия отказалась от советской практики вручения организациям и предприятиям орденов и медалей, такая благодарность для юридического лица является высшей государственной наградой. А 3 ноября 2017 г. в Мемориальном музее космонавтики в Москве состоялось открытие выставки "Космическая связь: 50 лет на орбите". На открытии выставки с приветственными словами выступили генеральный директор ГПКС Юрий Прохоров, директор Музея космонавтики Наталья Артюхина и Герой Советского Союза, летчик-космонавт СССР Александр Лавейкин. Выставка рассказывает об истории ФГУП "Космическая связь", орбитальной группировке и перспективных проектах. Посетители выставки, которая будет открыта целый год, смогут попробовать себя в роли оператора станции спутниковой связи, увидеть макеты первого российского спутника связи "Молния" и наземной станции "Орбита" из фондов Музея космонавтики, редкие документы и фотографии из архива ГПКС, а также макеты геостационарных спутников связи и вещания "Экспресс-АМ5" и "Экспресс-АТ1", которые действуют в составе орбитальной группировки ГПКС с 2014 г. АО "Газпром космические системы" (до 2008 г. – ОАО "Газком"), которое 2 ноября 2017 г. достигло 25-летия, отметило круглую дату научно-техническим советом (НТС), который состоялся в Телекоммуникационном центре компании в подмосковном Щелково. Целью НТС стало обсуждение перспектив создания будущих космических аппаратов для орбитальной группировки ГКС. К участию в НТС были приглашены представители производителей космической техники, которые участвовали в создании спутников связи и вещания "Ямал-101" и "Ямал-102" (выведены на орбиту в сентябре 1999 г., первый аппарат потерян при запуске), а также "Ямал-201" и "Ямал-202" (запущены в ноябре 2003 г.). Впоследствии ГКС перестал участвовать в разработке спутников, однако компания намерена заняться этим вновь, причем наряду с разработкой планирует самостоятельно вести сборку космических аппаратов. Такое сборочное производство уже проектирует для ГКС консорциум компаний Codest International и Thales Alenia Space, а в 2018 г. начнутся строительные работы (разместится сборочное производство космических аппаратов в Щелково). На НТС в Щелково прибыли представители нескольких десятков российских предприятий космической отрасли, включая Институт космических исследований Российской академии наук (ИКИ РАН), АО "НПП "Геофизика-Космос", АО "НИИ командных приборов", ЗАО "НПП "ОПТЭКС", АО "НПП "Квант", ПАО "Сатурн", АО "НПЦ "Полюс", АО "Ижевский радиозавод", ФГУП ОКБ "Факел", АО "АВЭКС", АО "НИИ "Аргон"и др. К удивлению всех участников НТС выяснилось, что все предприятия – участники кооперации по созданию спутников "Ямал-100" и "Ямал-200" не просто действуют: за прошедшие годы каждое из них достигло значимых успехов и продолжает новые разработки. "Многие из этих предприятий начинали вместе с нами работу на космос буквально с нуля, а достигли выдающихся результатов. За эти годы все отечественные предприятия продвинулись даже больше, чем западные производители", - буквально воскликнул, подводя итоги НТС, генеральный конструктор, руководитель головного конструкторского бюро ГКС Николай Севастьянов. Представитель одного из предприятий, выступавший на НТС, поделился своим мнением о возможности нового вхождения в кооперацию ГКС: "Проект рискованный: ГКС хочет создать новую платформу, а это потребует длительной разработки, в том числе и приборов – собрать из разных мест готовые вряд ли удастся. Но рискуют под человека, а Николай Николаевич Севастьянов уже не раз доказал, что может. Так что если он нас позовет – мы рискнем: вложимся в разработку того, что понадобится для ГКС". Другие выступающие разделяли этот оптимизм, подчеркивая, что работа для проектов "Ямал-100" и "Ямал-200" вывела их предприятия на новый уровень. Так, заведующий отделом оптико-физических исследований ИКИ РАН Роман Бессонов сообщил: "Для "Ямал-100" мы сделали первые в своей истории приборы звездной ориентации, а теперь они установлены и на МКС, и на 14 спутниках, находящихся в космосе, а также нашли применение в авиации". Первый заместитель генерального директора, первый заместитель главного конструктора "НИИ командных приборов" Николай Башкеев отметил: "Для нас программа "Ямал-100" стала знаковой – мы впервые с момента основания в 1967 г. выпустили штатное изделие (приводы для солнечных батарей), а до этого создавали только документацию". По свидетельству представителя "НПП "ОПТЭКС", работа по проекту "Ямал-100" "буквально перевернула" коллектив этого предприятия: "Это был первый в стране спутник со сроком службы более 10 лет, что потребовало новую элементную базу и принципиально новые подходы в разработке" (тогда "ОПТЭКС" создал для программ "Ямал" датчики определения координат Солнца и центра Земли). Николай Севастьянов сделал акцент на том, что задачей ГКС является коммерциализация космической деятельности, а для этого компания должна контролировать разработку большинства приборов и элементов спутника. "Я думал, что буду на НТС всех агитировать выйти на новый уровень, а оказывается – все готовы", - резюмировал генеральный конструктор ГКС.
  7. Последние две недели оказались довольно неспокойными как для общественности, так и для ИБ-экспертов. Если неделей ранее широкий резонанс вызвали серьезные уязвимости в протоколе WPA2, ставящие под угрозу практически все существующие на данный момент сети Wi-Fi, то самым громким событием минувшей недели стала новая волна атак с использованием вымогательского ПО Bad Rabbit, затронувшая средства массовой информации, государственные ведомства и компании в ряде стран мира, в основном в России и Украине. Предлагаем вашему вниманию краткий обзор главных событий в мире ИБ в период с 23 по 29 октября 2017 года. 24 октября нынешнего года российские и украинские организации подверглись атаке шифровальщика Bad Rabbit. Вредонос атаковал три российских СМИ (в том числе «Интерфакс» и «Фонтанку») и российские банки из топ-20, а также ряд украинских компаний и государственных ведомств. По данным исследователей компании Group-IB, Bad Rabbit распространялся посредством метода drive-by download (некоторые эксперты сообщали, что применялся метод watering hole), для доставки вредоносного ПО использовалось несколько популярных информационных сайтов в России и Украине. Как полагают специалисты, за атаками NotPetya и Bad Rabbit может стоять одна и та же хакерская группировка, не исключено, что речь идет о группе Black Energy. Как выяснили исследователи безопасности из Cisco Talos и F-Secure, для распространения Bad Rabbit использовалась модифицированная версия эксплоита EternalRomance, похищенного группировкой The Shadow Brokers у группы Equation Group, предположительно связанной с Агентством национальной безопасности США. Спустя два дня после начала атак несколько ИБ-экспертов сообщили о прекращении операции Bad Rabbit. Активисты Anonymous продолжают атаки на испанские правительственные ресурсы в знак протеста против действий испанских властей, направленных на урегулирование каталонского кризиса. В этот раз атаке подвергся сайт официального издания испанского правительства Boletin Oficial del Estado (BOE). На прошедшей неделе хакеры под псевдонимами str0ng и n3tr1x взломали официальный блог одной из самых популярных JavaScript-библиотек - jQuery. Злоумышленники взломали учетную запись одного из разработчиков и осуществили дефейс блога. По всей видимости, для компрометации аккаунта использовался пароль, похищенный в результате утечки данных. К слову, это не единичный случай на минувшей неделе, когда злоумышленники использовали утекшие пароли для доступа к учетной записи.К примеру, неизвестный хакер взломал учетную запись Coinhive в CloudFlare, что позволило ему модифицировать DNS-серверы компании и заменить легитимный код JavaScript, встроенный в тысячи web-сайтов, вредоносной версией. По всей видимости, для доступа к учетной записи атакующий использовал старый пароль, утекший в результате взлома платформы Kickstarter в 2014 году. Минувшая неделя не обошлась без сообщений об утечках данных. В частности, бермудская консалтингово-юридическая компания Appleby предупредила своих клиентов о возможной масштабной утечке конфиденциальной информации. По имеющимся данным, утечка затронула ряд богатейших людей Великобритании. На прошедшей неделе Азиатско-Тихоокеанский сетевой информационный центр (Asia-Pacific Network Information Center, APNIC) принес извинения владельцам сетей за утечку своей базы данных, помимо прочего, содержащей ненадежно хешированные пароли. Любой желающий мог загрузить БД, внести в нее изменения или взломать блоки IP-адресов. На прошлой неделе также стало известно о хакерской атаке на престижную клинику пластической хирургии London Bridge Plastic Surgery (LBPS), в результате которой злоумышленникам удалось похитить персональные медицинские данные знаменитостей, в том числе снимки интимной пластики. Ответственность за атаку взяла на себя группировка The Dark Overlord, ранее уже заявлявшая о причастности ко взломам ряда медицинских центров и школ в США, а также компрометации компьютерной сети Netflix. Как утверждают хакеры, в их распоряжении имеются «терабайты» данных, в том числе сведения о королевской семье. В минувшее воскресенье в СМИ появилась информация о том, что служба безопасности лондонского аэропорта Хитроу проводит расследование возможной утечки данных после того, как безработный мужчина нашел на улице Лондона флеш-накопитель, содержавший незащищенные сведения о системе безопасности воздушной гавани. «Флешка» содержала 76 папок с картами, видеороликами и документами, связанными с обеспечением безопасности крупнейшего лондонского аэропорта и проведения антитеррористических мероприятий. Некоторые данные были помечены как конфиденциальные, но доступ к ним никак не был защищен.
  8. В последнее время все нашумевшие инциденты безопасности можно разделить на две основные категории – утечки данных банковских карт клиентов гостиниц и ресторанов и атаки «русских хакеров». Однако наибольший резонанс на прошлой неделе получили серьезные уязвимости в протоколе WPA2, ставящие под угрозу практически все существующие на данный момент сети Wi-Fi. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 16 по 22 октября 2017 года. Начало прошлой недели ознаменовалось сообщением об уязвимостях в протоколе WPA2, позволяющих осуществить атаку реинсталляции ключей (Key Reinstallation Attack, KRACK). С ее помощью злоумышленник может перехватить трафик и получить доступ к информации, считающейся надежно зашифрованной (номерам кредитных карт, паролям, переписке, фотографиям и пр.). На прошлой неделе появилось сразу два сообщения об атаках с использованием Adobe Flash Player. Компания Adobe выпустила исправление для уязвимости нулевого дня, эксплуатировавшейся несколькими хакерскими группировками. По данным «Лаборатории Касперского», уязвимость использовалась ближневосточной группировкой Black Oasis для доставки на компьютеры жертв шпионского ПО FinSpy. В ходе вредоносной кампании группировка рассылала документы MS Office со встроенным объектом ActiveX, содержащим эксплоит для уязвимости. Как сообщают эксперты из Proofpoint, вышеупомянутая уязвимость также эксплуатировалась хакерами из Fancy Bear – группировки, часто связываемой с российским правительством. Целями злоумышленников были государственные ведомства и частные компании США и Европы, связанные с аэрокосмической промышленностью. С помощью уязвимости в Adobe Flash Player хакеры распространяли вредоносное ПО DealersChoice. На прошлой неделе Fancy Bear «отличилась» еще одной вредоносной кампанией. По данным Cisco Talos, недавно группировка начала рассылать фишинговые письма, связанные с конференцией по вопросам кибервойны CyCon U.S. Мероприятие пройдет в следующем месяце в Вашингтоне при участии представителей НАТО и оборонных сил США. В отличие от других кампаний, на этот раз хакеры из Fancy Bear не эксплуатировали уязвимость нулевого дня, а использовали вредоносный документ Microsoft Word. Вложение содержало макросы, загружающие и устанавливающие на атакуемую систему вредоносное ПО Seduploader. Эксперты из Proofpoint также сообщили о вредоносной кампании, проводимой хакерской группировкой Leviathan. Злоумышленников интересуют предприятия и организации, связанные с кораблестроением и военно-морским флотом. Как и «коллеги» из Fancy Bear, для атак Leviathan использует фишинговые письма с вредоносными документами Microsoft Excel и Word. Министерство внутренней безопасности США совместно с ФБР опубликовало отчет о кибератаках на ряд ядерных, энергетических, авиационных и промышленных предприятий, а также на системы водоснабжения. Атаки осуществлялись по меньшей мере с мая текущего года предположительно хакерской группировкой Dragonfy. На прошлой неделе бывшие сотрудники Microsoft рассказали о взломе корпоративной базы данных компании, содержащей информацию об уязвимостях в продуктах Microsoft. Инцидент произошел в 2013 году. В то время руководство компании приняло решение не раскрывать полный масштаб атаки. Традиционно не обошлось и без утечек данных банковских карт. На этот раз жертвами хакеров стали посетители ресторанов Domino Pizza в Австралии и Pizza Hut в США. Кроме того, крупнейшая за всю историю страны утечка данных произошла в ЮАР. Как сообщает исследователь безопасности Трой Хант, в Сети оказались миллионы персональных записей о гражданах, имеющих выданный в ЮАР идентификационный номер.
  9. Прошедшая неделя прошла под девизом «Даешь утечку данных!». Жертвами утечки стали сразу две консалтинговые компании и сеть отелей класса «люкс», КНДР предположительно похитила военные секреты Южной Кореи и США, группировка APT ALF украла у австралийского правительственного подрядчика документацию о военных самолетах, а данные миллионов пользователей Bitly и Kickstarter оказались в открытом доступе. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 9 по 15 октября 2017 года. В начале прошлой недели стало известно об утечке данных консалтинговой компании Forrester. Злоумышленникам удалось получить доступ к учетным данным для авторизации на сайте компании и похитить заказанные клиентами маркетинговые исследования. Доступ к этим данным позволяет определить используемые клиентами Forrester технологии и готовящиеся к выпуску продукты. Хакеры могут продать информацию подобного рода на черном рынке или конкурентам, либо использовать ее для выбора объектов для будущих атак. Второй консалтинговой компанией, ставшей жертвой утечки, является Accenture. Однако в данном случае инцидент произошел не по вине киберпреступников, а из-за халатности системных администраторов компании. Данные клиентов Accenture находились в открытом доступе на незащищенных облачных серверах Amazon Web Services S3 (AWS). Напомним, ранее кибератаке подверглась одна из крупнейших в мире консалтинговых компаний Deloitte. На прошлой неделе появилась информация о том, что масштабы инцидента гораздо шире, чем предполагалось ранее. В частности, в результате атаки могли пострадать данные Госдепартамента США и трех министерств. Второй раз за два года утечку данных платежных карт своих клиентов допустила сеть отелей класса «люкс» Hyatt. В руках злоумышленников могли оказаться такие сведения, как имена держателей карт, номера карт, даты истечения срока действия и внутренние проверочные коды. Исследователь безопасности Трой Хант обнаружил в открытом доступе данные пользователей Bitly и Kickstarter, скомпрометированные в результате кибератак в 2014 году. В общей сложности была обнаружена информация более 14,2 млн пользователей. Промышленным шпионажем, халатностью сисадминов и жадными до денег киберпреступниками утечки не ограничились. Северокорейские хакеры предположительно похитили большой объем секретных документов, включая оперативный план совместных военных действий США и Южной Кореи. Также стало известно о том, что хакерская группировка APT ALF взломала сеть австралийского военного подрядчика и похитила порядка 30 ГБ секретной военной документации о боевых самолетах, бомбах и военно-морских судах. Восточноевропейская хакерская группировка FIN7 (также известная как Carbanak) взломала американские правительственные серверы для распространения вредоносных фишинговых писем, якобы отправленных Комиссией по ценным бумагам и биржам США. По словам исследователя безопасности Крейга Уильямса, данная вредоносная кампания ориентирована на избранную группу предприятий в США, принадлежащих к различным отраслям, включая финансовую и страховую сферы, а также сектор информационных технологий. Как бы то ни было, не всех взломщиков интересуют данные. К примеру, хакеры взломали облачные сервисы многомиллионных компаний Aviva и Gemalto с целью использовать их компьютерные мощности для майнинга криптовалюты. При этом данные компаний не пострадали. На прошлой неделе традиционно не обошлось без обвинений в адрес «русских хакеров». На этот раз журналисты CNN заподозрили Россию в попытках использовать игру Pokemon Go для вмешательства в политику США. Исследователи безопасности Palo Alto Networks обнаружили новую фишинговую кампанию, получившую название FreeMilk. В ходе кампании хакеры перехватывают электронную переписку для последующего распространения вредоносного ПО в корпоративных сетях. Подделанные письма выглядят настолько правдоподобно, что жертва не догадывается о подвохе. Жертвами фишеров также стали клиенты ВТБ 24 в России. Преступники действуют очень просто – массово рассылают в Viber уведомления якобы от ВТБ 24 об операции, которую пользователь не совершал. Для того чтобы получить дополнительные сведения, жертва должна позвонить по указанному в сообщении номеру. Когда пользователь звонит, преступники на другом конце называются сотрудниками банка и под предлогом идентификации выманивают у него данные банковской карты. Исследователи Trustwave SpiderLabs сообщили о мошеннической схеме, в результате которой у ряда восточноевропейских банков было похищено в общей сложности более $40 млн. Злоумышленники использовали сложную схему, сочетавшую кибератаки на компьютерные сети банков, манипулирование лимитами овердрафта дебетовых карт и массовый вывод средств из банкоматов. 11-12 октября транспортные управления Швеции стали жертвами DDoS-атак, приведших к задержке поездов. По мнению экспертов, атаки носили тестовый характер, а целью атакующих было выяснить реакцию Швеции на подобные инциденты.
  10. Прошедшая неделя ознаменовалась сразу несколькими сообщениями об утечках данных и взломах криптовалютных платформ. Не обошлось также без очередных атак Anonymous и обвинений в сторону «русских хакеров». Предлагаем ознакомиться с кратким обзором главных инцидентов безопасности за период со 2 по 8 октября 2017 года. Как стало известно в начале прошлой недели, злоумышленники активно эксплуатируют уязвимости нулевого дня в плагинах для WordPress с целью установки бэкдоров на сайтах. Речь идет о плагинах Appointments, RegistrationMagic-Custom Registration Forms и Flickr Gallery. Все три дополнения подвержены уязвимостям, позволяющим внедрить PHP-объект. Проблемы с безопасностью были обнаружены в ходе расследования взломов ряда сайтов, проводимого экспертами компании Wordfence. Хорошая новость заключается в том, что вышеперечисленные плагины не пользуются большой популярностью. Неизвестные злоумышленники взломали web-сайт платформы Etherparty и сорвали процесс ее первичного размещения монет (ICO). Хакеры разместили на скомпрометированном ресурсе собственный адрес Ethereum, тем самым заставив инвесторов пересылать средства не на тот кошелек. Возможному взлому также подверглась китайская криптовалютная биржа OKEx. У ее пользователей пропало с кошельков свыше 600 биткойнов (порядка $3 млн по текущему курсу), однако сама компания факт атаки на свои ресурсы отрицает. Согласно официальному заявлению руководства OKEx, хакеры могли взломать лишь ряд отдельных учетных записей, чьи владельцы стали жертвами фишинга или использовали ненадежные пароли. На прошлой неделе о себе в очередной раз напомнило движение Anonymous. На этот раз активисты атаковали сайт автономного сообщества Мадрид и ряд форумов, связанных с испанской полицией. Таким образом Anonymous выразили протест против полицейского насилия в ходе референдума, прошедшего в Каталонии 1 октября. Как упоминалось выше, на прошлой неделе не обошлось без очередных обвинений в адрес «русских хакеров». Во-первых, НАТО обвинило правительство РФ в массовом взломе смартфонов солдат альянса. Во-вторых, страны НАТО и Прибалтики предположили , что Россия испытывала кибероружие на мобильных сетях Латвии. Кибератаками «русских хакеров» череда связанных с кибервойной новостей не ограничивается. Как сообщают источники в правительстве США, по меньшей мере с декабря 2016 года хакеры или иностранные правительственные структуры могли иметь доступ к переговорам главы аппарата Белого дома Джона Келли по личному мобильному телефону. Как показала экспертиза, проведенная сотрудниками отдела техобслуживания Белого дома, устройство было взломано хакерами. Что касается крупных утечек данных, стоит упомянуть взломы американской сети ресторанов быстрого питания Sonic и компании Disqus ,а также незащищенную базу данных игроков Национальной футбольной лиги и их агентов.
  11. Минувшая неделя ознаменовалась рядом событий, вызвавших громкий резонанс. В их числе утечка данных крупной консалтинговой компании Deloitte, сообщения о блокировке мессенджера Whatsapp в Китае, блокировка сервера обновлений Joomla! в России и пр. Предлагаем вашему вниманию краткий обзор главных событий в мире ИБ за период с 25 сентября по 1 октября нынешнего года. Пожалуй, самым громким событием прошедшей недели стала утечка конфиденциальных данных клиентов одной из четырех крупнейших мировых аудиторских компаний Deloitte. Хакеры скомпрометировали почтовый сервер компании, взломав учетную запись администратора, что предоставило им доступ ко всем ресурсам. Вход в учетную запись осуществлялся с помощью одного пароля и не требовал двухфакторной аутентификации. Deloitte обнаружила утечку в марте текущего года, однако атакующие, предположительно, имели доступ к системам компании с октября или ноября 2016 года. На минувшей неделе в Китае в течение нескольких дней наблюдались сбои в работе популярного мессенджера Whatsapp, что вызвало предположения о возможной блокировке сервиса властями КНР. Нарушения в работе WhatsApp наблюдались с 20 сентября, 25 сентября сервис полностью прекратил свою работу, однако во вторник, 26 сентября, функции отправки сообщений, аудио и изображений снова стали доступны. Российские пользователи столкнулись с проблемами с доступом к серверу обновлений популярной системы управления содержимым Joomla!. Причиной послужила блокировка Роскомнадзором используемой данной CMS поддоменов Amazon Web Services. В последнее время необычайную активность проявляют северокорейские хакеры. Как стало известно, хакеры, связанные с разведуправлением КНДР, взломали системы одного из оборонных предприятий Южной Кореи и похитили технологии запуска баллистических ракет с подводных лодок. Представители Минобороны страны не исключают, что в руки злоумышленников также могли попасть чертежи подводной лодки водоизмещением 3 тыс. тонн, которую ВМС намерены принять на вооружение в 2020 году. 28 сентября в результате сбоя в работе системы бронирования и регистрации Amadeus Altea была нарушена работа аэропортов по всему миру. Из-за неполадок пассажиры в международных аэропортах в Великобритании, США, Австралии, Франции, Сингапуре, Южной Корее, Южной Африке и ряде других стран не могли пройти регистрацию на рейсы ряда авиакомпаний, в том числе British Airways, Air France, Qantas и Lufthansa. Практически ни одна неделя не обходится без сообщений о той или иной кампании по кибершпионажу и минувшие семь дней не стали исключением. Специалисты компании Malwarebytes Labs обнаружили кампанию по кибершпионажу, направленную на одну из правительственных организаций в Саудовской Аравии. Основная особенность атак заключается в использовании скриптов вместо бинарной полезной нагрузки для сохранения присутствия на скомпрометированных компьютерах и связи с управляющим сервером. Эксперты из компании TrendMicro сообщили о появлении первого вредоносного ПО для Android, эксплуатирующего уязвимость Dirty COW, обнаруженную в октябре минувшего года. Вредонос, получивший название ZNIU, был выявлен в свыше 1,2 тыс. приложений (в основном на игровую и порнотематику). Жертвами вредоносной программы стали пользователи в 40 странах мира, в основном в Китае, Индии, США, Японии, Канаде и Индонезии.
  12. Киберпреступникам не ведом покой – днем и ночью они трудятся, зарабатывая «грязные» деньги с помощью вредоносных программ, фишинга и пр. На прошлой неделе хакеры проявили необычайную активность. Предлагаем ознакомиться с кратким обзором главных инцидентов безопасности, имевших место в период с 18 по 24 сентября 2017 года. На прошлой неделе исследователи безопасности зафиксировали целый ряд вредоносных кампаний. К примеру, эксперты компании FireEye раскрыли подробности о деятельности иранской кибершпионской группировки APT 33. Жертвами хакеров стали авиакомпании в США и Саудовской Аравии, а также один из южнокорейских конгломератов. Основными целями хакеров являлись предприятия аэрокосмической промышленности, энергетического сектора и военные объекты. С помощью фишинга и инструментов DropShot злоумышленники распространяли усовершенствованную версию червя Shamoon – ShapeShift. Специалисты ESET обнаружили кампанию по распространению новой версии вредоносного ПО FinFisher, также известного как FinSpy. Жертвами вредоноса стали пользователи в семи странах. По мнению экспертов, в двух случаях к атакам были причастны крупные интернет-провайдеры. Исследователи Trend Micro зафиксировали новую массовую спам-рассылку с вымогательским ПО Locky. Количество вредоносных писем уже преодолело отметку в несколько миллионов. По данным экспертов, основными целями атак злоумышленников стали пользователи в Чили, Японии, Индии и США. На долю России в среднем пришлось 6% от общего количества атак. Среди вредоносных кампаний, раскрытых на прошлой неделе, также стоит упомянуть атаки на пользователей Mac. С помощью заранее полученных учетных данных жертвы злоумышленники авторизуются в ее учетной записи iCloud, удаленно блокируют компьютер, используя функцию Find My iPhone, и требуют выкуп за восстановление доступа. После выхода 14 сентября инновационного инструмента Coinhive, позволяющего монетизировать сайты за счет майнинга криптовалюты, киберпреступники стали активно использовать его в своей деятельности. Исследователи безопасности обнаружили целый ряд взломанных сайтов, тайпсквоттинговых доменов и ресурсов, маскирующихся под техподдержку, со встроенным Coinhive. Когда жертва попадает на такой сайт, Coinhive использует мощности процессора ее компьютера для майнинга криптовалюты Monero. Большой резонанс на прошлой неделе вызвало сообщение о бэкдоре в популярной утилите CCleaner от компании Avast. Не позднее 11 сентября на серверы производителя были загружены инфицированные версии CCleaner 5.33 и CCleaner Cloud 1.07.3191. Встроенный в утилиту бэкдор собирал, шифровал и отправлял на сервер злоумышленников информацию об имени компьютера, установленном программном обеспечении и запущенных процессах. Взломавшие CCleaner злоумышленники также пытались атаковать крупнейшие технологические компании, включая Cisco, Singtel, HTC, Samsung, Sony, Gauselmann, Intel, VMWare, O2, Vodafone, Linksys, Epson, MSI, Akamai, DLink, Oracle (Dyn), Microsoft и Google (Gmail). Как полагают эксперты, к атакам причастна китайская киберпреступная группировка Axiom, также известная как APT 17, DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72 или AuroraPanda. Еще одним громким событием на прошлой неделе стал взлом Комиссии по ценным бумагам и биржам США. Сам инцидент имел место еще в прошлом году, однако сейчас стали появляться свидетельства использования похищенной у регулятора информации для осуществления незаконных сделок. Причиной утечки является уязвимость в электронной системе подачи заявок EDGAR. На прошлой неделе о себе снова напомнили активисты Anonymous. На этот раз участники Anonymous Greece атаковали греческий правительственный сайт по продаже недвижимости должников банков. Согласно заявлению активистов, это только начало, и греческому правительству следует готовиться к дальнейшим атакам. Еще одной группировкой, снова давшей о себе знать после продолжительного затишья, стала Phantom Squad. Организация известна своими угрозами осуществить масштабную DDoS-атаку, если ей не будет уплачен выкуп. На этот раз злоумышленники угрожают 30 сентября атаковать сайты компаний, если те не заплатят им по 0,2 биткойна (приблизительно $720). Говоря о вымогательстве, нельзя не упомянуть новое вымогательское ПО nRansomware. В отличие от других программ-вымогателей nRansomware требует от жертв не деньги, а фотографии интимного характера. Исследователи безопасности из Kromtech обнаружили утечку более полумиллиона записей компании SVR Tracking, специализирующейся на отслеживании местоположения автомобилей. База данных хранилась на незащищенном облачном сервере Amazon S3. В ней содержалась информация о 540 642 учетных записях клиентов, включая адреса электронной почты, хэши паролей, IMEI GPS-трекеров, номерные знаки, идентификационные номера транспортных средств (VIN) и пр. 22 сентября сотрудники компании Adobe опубликовали в открытом доступе закрытый PGP-ключ. Утечку обнаружил исследователь по безопасности Юхо Нурминен. Ключ был опубликован в блоге PSIRT. Сообщение содержало закрытый и открытый PGP-ключи.
  13. Скучать экспертам по ИБ на прошлой неделе не пришлось – уязвимость нулевого дня в Microsoft .NET Framework, новый троян для удаленного доступа Kedi, фишинговая кампания с использованием взломанных учетных записей LinkedIn и т.д. Предлагаем ознакомиться с кратким обзором главных инцидентов безопасности за период с 11 по 17 сентября. Начало прошлой недели ознаменовалось сообщением о восьми уязвимостях в реализациях Bluetooth для Android, iOS, Windows и Linux. Проблема, получившая название BlueBorne, затрагивает практически все Bluetooth-устройства (более 8 млрд) и позволяет злоумышленнику получить полный контроль над атакуемым гаджетом. Для эксплуатации BlueBorne не требуется ни участие пользователя, ни сопряжение с устройством. Единственное условие – включенный Bluetooth. Во вторник, 12 сентября, компания Microsoft выпустила ежемесячные обновления безопасности для своих продуктов, исправляющие 82 уязвимости, в том числе одну уязвимость нулевого дня. CVE-2017-8759 затрагивает программную платформу .NET Framework и уже используется хакерами в атаках. По данным экспертов FireEye, с ее помощью злоумышленники распространяют шпионское ПО FINSPY, также известное как FinFisher. В ходе плановой проверки специалисты Kromtech Security Center обнаружили на серверах ElasticSearch вредоносное ПО для PoS-терминалов. Как сообщают исследователи, более 4 тыс. серверов оказались заражены вредоносами AlinaPOS и JackPOS. Заинтересовавшись находкой, с помощью поисковой системы Shodan эксперты обнаружили еще 15 тыс. уязвимых к атакам серверов ElasticSearch, доступных в интернете без какой-либо защиты. Эксплуатируя известную уязвимость в маршрутизаторах Netgear WNR2000, русскоговорящий хакер создал ботнет для осуществления атак Credential Stuffing (вброс регистрационных данных). Речь идет об обнаруженной в декабре прошлого года уязвимости CVE-2016-10176 в web-сервере маршрутизаторов Netgear, которая позволяет злоумышленникам выполнять различные действия с правами администратора. Хакер использовал ее для загрузки и выполнения вредоносного ПО RouteX. Исследователи безопасности из Sophos сообщили о новом Windows-трояне для удаленного доступа Kedi. Вредонос может скрывать свое присутствие от антивирусов, связываться с C&C-сервером через Gmail и похищать данные пользователей. Троян распространяется через фишинговые письма, содержащие вредоносную полезную нагрузку, маскирующуюся под утилиту Citrix. В свою очередь, исследователи из Check Point сообщили о новом вредоносном ПО для Android, получившем название ExpensiveWall. Вредонос способен без ведома пользователя отправлять SMS-сообщения и снимать деньги со счета для оплаты доступа к премиум-сервисам на мошеннических сайтах. ExpensiveWall распространялся через Android-приложения, загруженные порядка 4,2 млн раз. В общей сложности Google удалила из Google Play Store около 50 таких приложений. Специалисты компании Malwarebytes рассказали о недавних атаках, в ходе которых злоумышленники использовали действительные учетные записи LinkedIn для рассылки фишинговых ссылок через личные сообщения и электронную почту. Отличительной чертой данной кампании является использование хакерами взломанных доверенных учетных записей с хорошей репутацией. Среди прочих, злоумышленники также использовали скомпрометированные премиум-аккаунты, позволяющие общаться с другими пользователями LinkedIn (даже если они не были добавлены в список контактов) по электронной почте при помощи функции InMail. Несмотря на то, что с момента похищения Эдвардом Сноуденом секретных документов Агентства национальной безопасности США прошло уже четыре года, журналисты продолжают публиковать новые подробности. На прошлой неделе издание The Intercept представило очередной выпуск внутренней новостной рассылки АНБ – SIDtoday. В документе за 2005 год сообщается о разработке метода мониторинга P2P-трафика с целью получения важных сведений. В частности, эксперты спецслужбы смогли расшифровать трафик таких некогда популярных P2P-приложений, как eDonkey и Kazaa. Не обошлось на прошлой неделе без сообщений об утечках данных. Известная хакерская группировка OurMine, ранее специализировавшаяся только на взломах учетных записей в соцсетях, теперь решила сыграть «по-крупному». Киберпреступники взломали музыкальный видеохостинг Vevo и опубликовали 3,12 ТБ внутренних документов компании. Из-за некорректной конфигурации сервера CouchDB в открытом доступе оказались данные более полумиллиона американцев. База данных является частью более крупной БД, содержащей информацию свыше 191 млн зарегистрированных избирателей. БД принадлежит консалтинговой фирме TargetSmart, которая использует ее в политических кампаниях для сбора средств, исследований и пр.
  14. Похоже, киберпреступность набирает обороты и не собирается их сбрасывать. Об этом свидетельствуют множественные инциденты безопасности, сообщения о которых появляются еженедельно. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 4 по 10 сентября 2017 года. Самым громким инцидентом безопасности на прошлой неделе, пожалуй, стал взлом американской компании Equifax. Неизвестным удалось похитить персональные данные 143 млн клиентов компании. В руках злоумышленников оказались номера социального страхования, даты рождения и домашние адреса. Компания не раскрывает подробностей об атаке, однако связывает ее со своим web-приложением. Согласно некоторым сообщениям, хакеры проэксплуатировали уязвимость в популярном фреймворке Apache Struts, позволяющую удаленно запускать на сервере вредоносный код. Уязвимость (CVE-2017-9805) была исправлена на прошлой неделе. Жертвами утечки данных также стали 28 млн пользователей латиноамериканской версии Reddit под названием Taringa!. Неизвестные хакеры похитили такую информацию, как имена пользователей, электронные адреса и пароли. Несмотря на то, что пароли были зашифрованы, сотрудникам сайта LeakBase удалось расшифровать более 93% из них. Инцидент не затронул номера телефонов и биткойн-адреса. Как стало известно на прошлой неделе, личные данные военнослужащих и сотрудников разведслужб США в течение нескольких месяцев находились в открытом доступе. Порядка 9,4 тыс. файлов с персональной информацией были доступны для загрузки с некорректно сконфигурированного облачного сервера Amazon. Хакерской группировке CynoSure Prime удалось расшифровать 320 млн хешей паролей. База данных была собрана из различных источников исследователем безопасности Троем Хантом и опубликована в открытом доступе в прошлом месяце. Пароли были хешированы с использованием 15 алгоритмов. Самым популярным из них оказался SHA-1. Еще одним громким событием на прошлой неделе стала публикация на сайте WikiLeaks очередной порции секретных документов ЦРУ. Данный релиз отличается от предыдущих, поскольку проливает свет не на хакерские инструменты спецслужбы, а на систему управления ракетами Protego. Система устанавливается на самолетах с двигателями производства Pratt & Whitney, оснащенных системами запуска ракет класса «воздух-воздух» и «земля-воздух». Группировка The Shadow Brokers предоставила подписчикам своего платного сервиса сентябрьский дамп похищенной информации. Среди прочего, клиенты хакеров получили инструкцию к эксплоиту UNITEDRAKE из арсенала Агентства национальной безопасности США. Инструмент упоминается в документах Эдварда Сноудена, а также был описан специалистами «Лаборатории Касперского» еще в 2015 году. Еще один хакерский инструмент, разработанный спецслужбами, обнаружили исследователи из Palo Alto Networks. По случайному стечению обстоятельств, эксперты наткнулись на новый вариант вредоносного ПО Babar. Вредонос предположительно был создан французской разведкой и использовался хакерской группировкой Animal Farm, о которой также стало известно из документов Сноудена. Большой резонанс у общественности вызвало сообщение экспертов из Symantec о новой волне кибератак на энергетический сектор Европы и Северной Америки, получившей название Dragonfly 2.0. Злоумышленники распространяли вредоносное ПО с помощью спама.
  15. С точки зрения информационной безопасности прошедшая неделя выдалась весьма беспокойной. Несколько масштабных утечек данных, взлом Instagram, отзыв 500 тыс. уязвимых к кибератакам кардиостимуляторов, одни из крупнейших атак шифровальщиков – лишь малая часть инцидентов, произошедших за период с 28 августа по 3 сентября 2017 года. Большой резонанс на прошлой неделе вызвал взлом Instagram. Поначалу считалось, что инцидент затронул только знаменитостей, однако, как оказалось позже, неизвестные хакеры могли похитить учетные данные 6 млн пользователей соцсети. По данным «Лаборатории Касперского», причиной утечки стала уязвимость в мобильном приложении Instagram. Проблема затрагивает выпущенную в 2016 году версию клиента 5.8.1. Инцидент с Instagram является далеко не единственной масштабной утечкой данных, зафиксированной на прошлой неделе. Французский исследователь безопасности Benkow обнаружил на одном из web-серверов в Нидерландах крупнейшую незащищенную базу данных для рассылки спама. В БД содержатся электронные адреса и пароли для доступа к почтовым ящикам 711 млн пользователей, а также перечень почтовых серверов для рассылки спама. Производитель новых смартфонов Essential по ошибке допустил утечку данных своих клиентов. 29 августа на форуме Reddit появилось обсуждение подозрительного письма, отправленного с серверов компании некоторым покупателям. В письме сотрудники Essential просили подтвердить заказ на телефоны и предоставить удостоверение личности – паспорт или водительские права. 30 августа основатель Essential Энди Рубин подтвердил наличие проблем с системой поддержки клиентов и принес свои извинения. На сайте Pastebin был обнаружен список из более 33 тыс. полностью рабочих учетных записей для доступа по протоколу Telnet к устройствам «Интернета вещей» (IoT). Данные могут использоваться для создания ботнетов и осуществления масштабных DDoS-атак. В основном список состоит из учетных данных, установленных на устройствах по умолчанию. Особенно остро проблема безопасности IoT-устройств встала после обнаружения опасных уязвимостей в кардиостимуляторах производства компании Abbott. С их помощью находящиеся неподалеку от пациента злоумышленники могут «посадить» аккумулятор устройства или ускорить сердцебиение и нанести непоправимый вред здоровью жертвы. Управление по контролю за качеством пищевых продуктов и лекарств США объявило об отзыве 500 тыс. проблемных кардиостимуляторов. Пациенты с уже установленными устройствами должны обратиться к лечащему врачу для установки патча. На прошлой неделе после временного затишья снова напомнила о себе APT-группировка Turla, связываемая с российским правительством. О возобновлении активности Turla сообщили сразу две ИБ-компании. Эксперты ESET обнаружили новый бэкдор Gazer, применяемый в шпионских кампаниях против посольств и консульств по всему миру. В свою очередь, специалисты «Лаборатории Касперского» рассказали о связанной с Turla шпионской кампании WhiteBear. Помимо «русских правительственных хакеров», в очередной раз дали о себе знать «американские правительственные хакеры». Благодаря публикации на сайте WikiLeaks новой порции документов ЦРУ, стало известно об инструменте Wolfcreek, применяемом спецслужбой для взлома Windows XP и Windows 7. Примечательно, на прошлой неделе жертвой хакеров стал сам сайт WikiLeaks. Киберпреступная группировка OurMine заявила об успешной кибератаке на ресурс, хотя на деле «взлом» оказался не более чем дефейсом. Специалисты двух ИБ-компаний независимо друг от друга обнаружили масштабные вредоносные кампании по распространению двух разных, совершенно новых образцов некогда популярного у киберпреступников вымогательского ПО Locky. 28 августа за 24 часа пользователи в США получили 23 млн вредоносных писем. Данная кампания является одной из наиболее масштабных во второй половине 2017 года. В ходе второй операции злоумышленники за три дня разослали 62 тыс. фишинговых писем.
  16. С точки зрения инцидентов безопасности прошедшая неделя выдалась весьма напряженной для ИБ-экспертов. Украина готовилась к новой волне атак наподобие NotPetya, пользователей Facebook атаковало вредоносное ПО, WikiLeaks опубликовал новую порцию секретных документов ЦРУ, а журналисты The Intercept обнародовали очередной документ АНБ, похищенный Эдвардом Сноуденом в 2013 году. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 21 по 27 августа 2017 года. Одним из наиболее громких инцидентов на прошлой неделе стал взлом сайта Enigma Project. Неизвестные хакеры скомпрометировали ресурс и обманным путем заставили его пользователей отправить средства на подконтрольный им кошелек Ethereum. Впервые за долгое время о себе напомнили участники движения Anonymous. На этот раз их жертвой стала Национальная служба здравоохранения Великобритании. По словам злоумышленников, им удалось взломать систему записи на прием SwiftQueue, обслуживающую восемь медучреждений, и похитить данные 1,2 млн пациентов. В SwiftQueue подтверждают факт взлома, но заявляют, что объем похищенной информации гораздо меньше. В предверии Дня независимости Украины 24 августа на серверах производителя ПО для бухучета был обнаружен вредоносный код. Данный факт явно свидетельствует о подготовке новой волны атак наподобие NotPetya, имевших место 27 июня текущего года. Злоумышленники получили доступ к web-сайту разработчика Crystal Finance Millennium и использовали его для распространения вредоносных программ. Тем не менее, внедрить в обновления сторонний код хакерам не удалось. Примечательно, что на прошлой неделе о массовом заражении компьютеров при посещении популярных online-изданий для бухгалтеров и юристов сообщили эксперты Group-IB. Злоумышленники скомпрометировали ряд специализированных ресурсов и распространяли вредоносное ПО Buhtrap. Исследователи «Лаборатории Касперского» обнаружили актуальную кроссплатформенную угрозу, распространяемую через приложение Facebook Messenger. Пользователи получают ссылку на поддельный сайт, откуда на их системы загружается вредоносное ПО. Специалисты считают, что для распространения вредоносной ссылки спамеры, скорее всего, используют взломанные учетные записи, уязвимости в браузерах или кликджекинг. Исследователи из Trend Micro предупредили об очередном майнере криптовалют, использующем эксплоит EternalBlue из арсенала АНБ. Для загрузки скриптов и других компонентов бесфайловое вредоносное ПО CoinMiner использует Windows Management Instrumentation (WMI). Согласно новой порции документов Агентства национальной безопасности США, предоставленных Эдвардом Сноуденом, американское правительство построило на Северной территории Австралии секретную базу для мониторинга беспроводной связи и поддержки своей программы по использованию дронов. Как сообщает The Intercept, на базе расположена стратегическая наземная станция спутниковой связи для секретного мониторинга телекоммуникаций в нескольких странах и получения геолокационных данных целей, предназначенных для атак с использованием дронов. Новую порцию документов правительства США также опубликовал портал WikiLeaks. На этот раз были обнародованы документы, описывающие вредоносное ПО ExpressLane. Данный инструмент используется ЦРУ для тайной слежки за другими американскими спецслужбами, такими как ФБР и АНБ.
  17. Прошедшая неделя ознаменовалась утечкой данных 1,8 млн жителей Чикаго, взломами учетных записей в соцсетях телеканала HBO и Sony PlayStation Network, предупреждением о готовящихся кибератаках наподобие NotPetya и пр. Предлагаем ознакомиться с кратким обзором инцидентов безопасности за период с 14 по 20 августа 2017 года. В начале прошлой недели стало известно о первом задокументированном случае использования GPS-спуфинга в реальных атаках. Инцидент имел место 22 июля текущего года. Как минимум 20 судов в Черном море столкнулись с тем, что их навигационные системы показывали неверное местоположение. По мнению эксперта из Техасского университета в Остине Тодда Хамфриса, проблемы с навигаторами могут быть связаны с испытаниями Россией новых средств для ведения электронной войны. Компания ES&S, поставляющая машины для голосования десяткам штатов, допустила утечку данных американских избирателей. Из-за неправильной конфигурации любой желающий мог без труда загрузить персональную информацию 1,8 млн человек. БД содержит имена, адреса, даты рождения и частично номера социального страхования избирателей. В некоторых записях также указаны номера водительских прав и идентификационные номера. Как оказалось, доступ к используемому ES&S сервису AWS S3 был открытым для всех, однако каким-то непонятным образом утекли только данные жителей Чикаго. Исследователи компании Proofpoint обнаружили трояны в восьми популярных расширениях для Google Chrome. Вредоносный код был внедрен в результате кибератак на разработчиков плагинов для браузера. Злоумышленники сумели заполучить доступ к Chrome Web Store разработчиков и внедрить вредоносный функционал. На прошлой неделе о себе снова напомнила хакерская группировка из Саудовской Аравии OurMine. Хакеры атаковали двух жертв – телеканал HBO (17 августа) и Sony PlayStation Network (20 августа), взломав их учетные записи в Twitter и Facebook. Как и в других подобных случаях, OurMine предложила компаниям свои услуги по обеспечению кибербезопасности. Эксперты Trend Micro обнаружили новую вредоносную кампанию, эксплуатирующую уязвимость Microsoft Office для установки RAT на компьютеры жертв. Уязвимость (CVE-2017-0199) использовалась ботнетом Dridex в 2016-2017 годах и была исправлена Microsoft в апреле текущего года. В ходе текущей вредоносной кампании для доставки RAT на систему злоумышленники используют функции слайд-шоу в PowerPoint. Специалисты из Palo Alto Networks сообщили о целенаправленных атаках на американских военных подрядчиков. За атаками предположительно стоит хакерская группировка Lazarus, связываемая ИБ-экспертами с правительством КНДР. Национальный банк Украины предупредил о возможности новых, подобных NotPetya кибератак на государственный и частный секторы. Эксперты обнаружили новый образец вредоносного ПО и пришли к выводу, что кто-то готовит очередную волну атак. Новых атак следует ожидать 24 августа, в День независимости Украины.
  18. Для ИБ-экспертов прошлая неделя выдалась весьма беспокойной. Мошенники «обчистили» крупнейший австралийский банк, хакеры потребовали от руководства HBO выкуп за похищенные материалы и опубликовали сценарий новой серии «Игры престолов», портал WikiLeaks обнародовал очередную порцию документов ЦРУ и т.д. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 7 по 13 августа 2017 года. В понедельник, 7 августа, хакеры опубликовали очередную порцию документов, похищенных в результате взлома американского телеканала HBO. Помимо прочего, обнародованный дамп файлов содержал сценарий еще не выпущенной пятой серии нового сезона «Игры престолов». Кроме того, злоумышленники потребовали от руководства HBO выкуп, грозясь в противном случае выложить в открытый доступ все похищенные материалы. «Австралийский банк Содружества» (Commonwealth Bank of Australia, CBA) стал жертвой мошеннической схемы по отмыванию денег, в ходе которой злоумышленники пополняли счета через принадлежащие финорганизации банкоматы, а затем переводили средства на оффшорные счета. Таким образом преступникам удалось перевести $55 млн. В ходе расследования выяснилось, что счета в CBA, использовавшиеся злоумышленниками, оформлялись по поддельным водительским правам. Как пояснили представители банка, данные транзакции остались незамеченными из-за ошибки в программном обеспечении банкоматов. На прошлой неделе стало известно о хакерских атаках на национального оператора энергосетей Великобритании, ирландскую компанию EirGrid. Инциденты имели место в апреле текущего года, однако были обнаружены только в прошлом месяце. В четверг, 10 августа, в рамках проекта Vault 7 портал WikiLeaks опубликовал очередную порцию материалов, похищенных у ЦРУ США. Документ под названием CouchPotato описывает инструмент для удаленного перехвата в режиме реального времени потокового видео RTSP/H.264. Еще один инструмент из арсенала спецслужб США всплыл на прошлой неделе. Речь идет об эксплоите EternalBlue, используемом Агентством национальной безопасности и опубликованном хакерами из Shadow Brokers в апреле текущего года. По данным экспертов FireEye, эксплоит применялся в атаках на высокопоставленных постояльцев отелей. За атаками, предположительно, стоит киберпреступная группировка APT 28. Специалисты компании DirectDefense обнаружили на сервисе VirusTotal конфиденциальные корпоративные данные клиентов производителя EDR-решений Carbon Black. Как утверждает руководство DirectDefense, сотрудники компании выявили огромное количество конфиденциальной информации, значительная часть из которой принадлежала компаниям из списка Fortune 1000, в том числе Amazon, Google и Apple. Помимо Carbon Black, утечку данных своих клиентов допустила техасская компания Power Quality Engineering. Из-за неправильной конфигурации утилиты для переноса и синхронизации файлов rsync в открытом доступе оказались данные об электроэнергетической инфраструктуре Dell, SBC, Freescale, Oracle, Texas Instruments и др.
  19. Прошедшая неделя оказалась богатой всевозможными инцидентами в области ИБ – утечка электронных писем, связанных с предвыборной кампанией президента Франции Эмманюэля Макрона, публикация секретных документов ЦРУ, взлом сетей телеканала HBO, кибератака на клиентов компании «Ростелеком», возобновление деятельности хакерской группировки Carbanak и многое другое. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 31 июля по 6 августа 2017 года. На прошлой неделе организация WikiLeaks «порадовала» общественность сразу двумя утечками. Сначала на портале появились электронные письма, связанные с предвыборной кампанией Макрона, а затем и очередная порция документов ЦРУ, описывающих хакерский потенциал спецслужбы. Письма датируются периодом с 20 марта 2009 года по 24 апреля 2017 года и представляют собой часть архива из 71 848 электронных сообщений с 26 503 вложениями. По всей видимости, документы были похищены в результате взлома предвыборного штаба Макрона в мае текущего года. Помимо электронных писем, на сайте WikiLeaks были опубликованы документы ЦРУ относительно проекта Dumbo, предназначенного для контроля за использованием web-камер и микрофонов, а также манипуляций с видеозаписями. Инструмент Dumbo способен идентифицировать, контролировать и манипулировать системами мониторинга и обнаружения на компьютерах под управлением Microsoft Windows. Большой резонанс на прошлой неделе вызвала кибератака на американский телеканал HBO. Неизвестным злоумышленникам удалось похитить 1,5 ТБ данных, включительно со сценарием новой серии «Игры престолов» и несколькими эпизодами телесериалов «Футболисты» и «Комната 104». Кроме того, хакеры выложили в открытый доступ текстовый документ, содержащий персональную информацию одного из руководителей телеканала. Обнародованные сведения включают логины/пароли для десятков учетных записей, в том числе аккаунтов в соцсетях и платных подписок, данные online-банкинга и пр. Еще одним громким событием стал арест британского исследователя безопасности Маркуса Хатчинса, прошлой весной остановившего волну атак WannaCry. Хатчинс, также известный как MalwareTech, был арестован сотрудниками ФБР в США, где принимал участие в хакерских конференциях Black Hat и DEF CON. Ему были предъявлены обвинения в создании и распространении банковского трояна Kronos в период с июля 2014 по июль 2015 годов. Хатчинс признал свою вину и был выпущен под залог без права пользоваться интернетом и покидать пределы США. Что касается авторов WannaCry, то на прошлой неделе они, наконец, вывели полученные с помощью вредоноса средства со своих биткойн-кошельков. В ночь на 3 августа были зафиксированы семь транзакций, в ходе которых за 15 минут были переведены $142 тыс. На прошлой неделе исследователь безопасности Трой Хант опубликовал доступную для поиска базу данных, включающую порядка 320 млн уникальных хешей паролей, собранных в результате различных утечек данных. Помимо инструмента, эксперт также выложил два текстовых архива. Первый включает 306 млн хешей паролей (5,3 ГБ, в распакованном виде - 11,9 ГБ), а второй - 14 млн хешей паролей (250 МБ). Клиенты компании «Ростелеком» в Южном и Уральском федеральных округах столкнулись с проблемами с доступом в интернет из-за хакерской атаки. Злоумышленники атаковали определенные модели абонентского оборудования xDSL (модемы для доступа в интернет по технологии xDSL) с устаревшей прошивкой, а также устаревшие версии антивирусов на компьютерах пользователей. Нашумевшая киберпреступная группировка Carbanak снова напомнила о себе на прошлой неделе. На этот раз жертвами хакеров стали сети ресторанов в США. Злоумышленники заражали системы заведений вредоносным ПО Bateleur, способным обходить антивирусные решения и песочницы.
  20. Прошедшая неделя ознаменовалась рядом событий, в числе которых взлом криптовалютного сервиса Veritaseum, утечка данных 400 тыс. клиентов итальянского банка UniCredit, арест основателя крупнейшей криптовалютной биржи BTC-E, публикация на WikiLeaks конфиденциальных документов ЦРУ и пр. Предлагаем вашему вниманию краткий обзор событий, имевших место с 24 по 30 июля нынешнего года. В начале минувшей недели криптовалютный сервис Veritaseum подвергся хакерской атаке, в результате которой злоумышленникам удалось похитить небольшое количество токенов, на продаже которых они смогли заработать довольно внушительную сумму - $8,4 млн в криптовалюте. Тогда же стало известно о том, что по вине Транспортного ведомства Швеции произошла утечка личных данных миллионов граждан страны. В публичном доступе оказались имена, фотографии и адреса проживания владельцев транспортных средств. Утечка затронула не только частный сектор, но и транспортные средства, принадлежащие полиции и армии. 26 июля представители итальянской банковской группы UniCredit сообщили о хакерских атаках, произошедших осенью 2016 года и летом нынешнего года, которые затронули порядка 400 тыс. клиентов финансовой организации. Днем ранее в Греции по запросу американских властей был задержан россиянин Александр Винник, который предположительно является основателем одной из самых крупных криптовалютных бирж BTC-E. Ему были предъявлены обвинения в «отмывании денег, заговоре с целью отмывания денег, проведении незаконных денежных операций и осуществлении нелицензируемых денежных переводов». В случае признания виновным Виннику грозит 20 лет лишения свободы. Минувшая неделя также ознаменовалась арестом создателей рекламного ПО Fireball, заразившего около 5 млн компьютеров во всем мире. На прошедшей неделе сотрудники команды безопасности Google сообщили о новом мощном вредоносном ПО для Android, предназначенном для шпионажа. Lipizzan может осуществлять различные действия, в том числе записывать звонки и VoIP разговоры, собирать данные о гаджете и пользователе, а также извлекать информацию из ряда приложений, в том числе Gmail, Hangouts, KakaoTalk, LinkedIn, Messenger, Skype, Snapchat, StockEmail, Telegram, Threema, Viber и WhatsApp. Предыдущая неделя не обошлась без публикации на WikiLeaks очередной партии секретных документов Центрального разведуправления США. В этот раз организация обнародовала информацию о проекте Imperial, включающем три инструмента для кибершпионажа - Achilles, Aeris и SeaPea, которые позволяют незаметно для пользователя совершать манипуляции с его папками и файлами. Эксперты в области безопасности продемонстрировали атаки на подключенные к интернету устройства. В частности исследователи Билли Райос и Джонатан Баттс обнаружили ряд уязвимостей в бесконтактных моющих системах для легковых автомобилей, позволяющих удаленно взломать систему и совершить физическую атаку на машину и находящихся в ней людей. Специалисты подразделения Tencent Keen Security Lab провели атаку на электромобиль Tesla Model X, в ходе которой им удалось получить контроль над системой освещения автомобиля, встроенными дисплеями, также они смогли открывать и закрывать двери и багажник транспортного средства и заставить его затормозить при движении.
  21. Минувшая неделя ознаменовалась ликвидацией одной из крупнейших торговых площадок даркнета Hansa, резонансными инцидентами, связанными с хищением крупных сумм криптовалюты, утечкой данных 4 млн клиентов компании Dow Jones, публикацией на WikiLeaks очередной порции секретных документов ЦРУ и пр. Предлагаем вашему вниманию краткий обзор происшествий, имевших место в период с 17 по 23 июля текущего года. 17 июля блокчейн-стартап CoinDash стал жертвой взлома, в результате которого неизвестный злоумышленник похитил более 43 тыс. эфиров (обменная единица платформы Ethereum), подменив адрес указанного на сайте Ethereum-кошелька. Спустя несколько дней похожий инцидент произошел с компанией Parity. Неизвестный хакер проэксплуатировал уязвимость в Ethereum-клиенте для управления кошельками Parity и похитил криптовалюту из многопользовательских кошельков на сумму порядка $32 млн. На минувшей неделе также стало известно о том, что американская аналитическая компания Dow Jones допустила утечку данных 4 млн своих клиентов. В открытом доступе оказалась персональная информация подписчиков компании, в том числе их имена, внутренние идентификаторы, адреса, платежные реквизиты и четыре последние цифры пластиковых карт. 20 июля представители Европола сообщили о ликвидации одного из крупнейших рынков «Темной паутины» Hansa, на котором предлагались различные нелегальные товары - от наркотиков до хакерских инструментов. С помощью одного из литовских провайдеров сотрудникам нидерландской полиции удалось внедриться в инфраструктуру Hansa и получить контроль над серверами площадки в июне нынешнего года, однако сайт продолжал работать еще в течение месяца, пока полицейские собирали информацию о пользователях ресурса. В начале прошлой недели хакер под псевдонимом Johnny Walker заявил об успешном взломе электронной почты сотрудника секретного разведывательного отдела Госдепартамента США, занимающегося российским вопросом. В руках хакера оказалась частная переписка служащего за два года. Переписка велась с ЦРУ и другими разведведомствами, международными фондами, неправительственными организациями и журналистами. Еще одним событием на минувшей неделе стала публикация WikiLeaks очередной части секретных документов Центрального разведывательного управления США. В этот раз организация обнародовала информацию о подрядчике ЦРУ, компании Raytheon Blackbird Technologies, специализирующейся на анализе используемых киберпреступниками сложных программ и техник. С ноября 2014 года по сентябрь 2015 года компания предоставила разведслужбе по меньшей мере пять отчетов с анализом разработанных киберпреступниками методов и векторов атак. Предположительно, ЦРУ использовало эти данные при разработке собственного вредоносного ПО.
  22. Прошедшая неделя ознаменовалась закрытием крупнейшей нелегальной торговой площадки даркнета AlphaBay, утечкой данных 14 млн клиентов компании Verizon, публикацией на WikiLeaks очередного хакерского инструмента ЦРУ и пр. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 10 по 16 июля 2017 года. На прошлой неделе стало известно сразу о нескольких утечках данных. Во-первых, доступной в Сети оказалась персональная информация 14 млн клиентов американской телекоммуникационной компании Verizon. Инцидент произошел по вине стороннего подрядчика, не ограничившего внешний доступ к серверу Amazon S3, где хранятся данные. Доступ к серверу и его содержимому можно было получить с помощью ссылки с указанием поддомена verizon-sftp. Во-вторых, утечку данных своих клиентов подтвердили сети гостинично-развлекательных комплексов Hard Rock, Loews и Trump Hotels . Инцидент произошел в результате взлома системы бронирования SynXis Central Reservations от компании Sabre. Одним из наиболее громких событий прошлой недели стало отключение крупнейшего черного рынка «глубинной паутины» AlphaBay. Сайт торговой площадки ушел в offline еще 5 июля, однако о причинах отключения ничего не сообщалось. Как стало известно на прошлой неделе, 5 июля в ходе правоохранительной операции прошли обыски в трех странах и был арестован предполагаемый администратор AlphaBay. Спустя неделю арестованный был обнаружен повешенным в своей камере в тюрьме Таиланда. Организация WikiLeaks опубликовала в рамках проекта Vault 7 очередную порцию секретных документов ЦРУ. В этот раз был обнародован проект под названием HighRise, представляющий собой Android-приложение для перехвата и перенаправления SMS-сообщений на удаленный сервер. На прошлой неделе представитель Министерства иностранных дел РФ Мария Захарова сообщила о кибератаке на сайт ведомства, имевшей место 29 июня текущего года. Злоумышленники заблаговременно взломали электронную почту посольства России в Иране и стали рассылать с нее фишинговые письма. В четверг, 13 июля, появилось сообщение о наличии на портале госуслуг неизвестного вредоносного кода. По мнению экспертов «Лаборатории Касперского» и «Яндекса», атака не являлась таргетированной, а посторонний код представлял собой рекламное ПО. В настоящее время постороннее ПО уже удалено. В Минкомсвязи РФ считают, что угроза от вредоноса незначительна, и ни посетители сайта, ни их данные или компьютеры не пострадали. В очередной раз о себе напомнили «русские хакеры». Британское издание The Times сообщило об атаке киберпреступников, связанных с правительством РФ, на британские энергосети. Злоумышленники атаковали ирландское Управление по поставкам электроэнергии (Ireland’s Electricity Supply Board) с целью получить контроль над системами управления сетями. Издание отмечает, что сбоев в работе энергосетей зафиксировано не было, но, как полагают эксперты, хакеры могли похитить пароли к системам безопасности, отвечающим за поддержание работы британского энергосектора. Французский регистратор доменных имен Gandi допустил подмену доменных имен для 751 домена. Согласно официальному заявлению Gandi, неизвестные проникли в сеть одного из провайдеров компании и получили доступ к ее учетным данным. С их помощью злоумышленники изменили данные на серверах доменных имен для 751 домена, перенаправив трафик на вредоносный сайт.
  23. На прошлой неделе мир по-прежнему приходил в себя после атак с использованием вредоносного ПО NotPetya. Более того, украинским правоохранителям удалось остановить вторую волну атак. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 3 по 9 июля 2017 года. Начало прошлой недели ознаменовалось сообщениями сразу о двух инцидентах, затронувших участников Ethereum- и Bitcoin-сообществ. С помощью социальной инженерии неизвестные получили контроль над кошельком Classic Ether Wallet для криптовалюты Ethereum Classic и похитили $300 тыс. у его пользователей. В тот же день жертвой хакеров стала четвертая по величине биржа криптовалют Bithumb. Злоумышленникам удалось заполучить имена пользователей, их электронные адреса и номера телефонов. Вскоре после взлома пользователи стали жаловаться на похищение средств с их счетов на Bithumb. Как именно хакеры получили контроль над кошельками, не уточняется. В среду, 5 июля, Департамент Киберполиции Национальной полиции Украины совместно с сотрудниками Службы безопасности Украины (СБУ) пресек второй этап кибератаки NotPetya. Как сообщил министр внутренних дел Украины Арсен Аваков, пик атаки планировался на 16:00, а сама она началась в 13:40. До 15:00 Киберполиция заблокировала рассылку и активацию вируса с сервера обновлений ПО для бухучета «М.e.doc». Как известно, NotPetya попадал на компьютеры жертв через обновления бухгалтерской программы «М.e.doc» производства украинской компании «Интеллект-сервис». Поначалу руководство компании отрицало какую-либо причастность к атакам, однако затем было вынуждено признать наличие бэкдора в своей продукции. На прошлой неделе о себе впервые дали знать операторы NotPetya. Вопреки мнению ИБ-экспертов, уверенных в незаинтересованности хакеров в деньгах, они заявили о готовности выпустить инструмент для восстановления зашифрованных вредоносом файлов. Для этого жертвы должны собрать 100 биткойнов (порядка $300 тыс.). В качестве доказательства своей способности расшифровать данные киберпреступники восстановили зашифрованный NotPetya файл, полученный от журналистов Motherboard. Пока операторы NotPetya пытаются сорвать большой куш, авторы оригинального вымогателя Petya решили уйти из бизнеса. Из-за плохой репутации NotPetya разработчики Janus Cybercrime Solutions предоставили бесплатный мастер-ключ для расшифровки файлов, пострадавших от всех существующих версий Petya (оригинального Petya, Mischa и GoldenEye), кроме NotPetya. Еще одним громким событием на прошлой неделе стала очередная публикация WikiLeaks. На этот раз в рамках проекта Vault 7 организация обнародовала документы, описывающие два хакерских инструмента из арсенала Центрального разведывательного управления США - BothanSpy и Gyrfalcon. Первый из них нацелен на клиентскую программу Xshell для Microsoft Windows и позволяет перехватывать пользовательские учетные данные для активных SSH-сессий. Второй инструмент представляет собой закладку для клиентов OpenSSH на дистрибутивах Linux. В четверг, 6 июля, издание Bloomberg сообщило о расследовании кибератак на электростанции в США. По словам журналистов, главным подозреваемым является Россия. В частности в числе жертв хакеров значится электростанция Wolf Creek в Канзасе, принадлежащая компаниям Westar Energy, Great Plains Energy и Kansas Electric Power Cooperative. Не обошлось на прошлой неделе без сообщений об опасных троянах для Android-устройств. К примеру, исследователи Check Point предупредили о новом вредоносном ПО CopyCat, уже заразившем 14 млн гаджетов по всему миру. Всего за два месяца вредонос принес своим операторам $1,5 млн. Кроме того, специалисты Palo Alto Networks сообщили о появлении нового многофункционального трояна SpyDealer. Вредонос может получать доступ к смартфонам с правами суперпользователя, похищать данные из более 40 приложений и отслеживать местонахождение пользователя.
  24. Прошедшая неделя войдет в историю, как неделя, когда мир поразила масштабная кибератака с использованием мощного вредоносного ПО NotPetya. Кроме того, портал WikiLeaks «расщедрился» и один за другим опубликовал два хакерских инструмента из арсенала ЦРУ. Предлагаем вашему вниманию краткий обзор главных инцидентов безопасности за период с 26 июня по 2 июля 2017 года. 27 июня компании России и Украины подверглись масштабным кибератакам с использованием вредоносного ПО NotPetya, также известного как Petya.A. В РФ от атак пострадали предприятия «Роснефть» и «Башнефть», а в Украине из строя вышла компьютерная сеть кабинета министров, ПО в аэропорту «Борисполь», Укрпочта, Киевский метрополитен, некоторые банки, включая «Ощадбанк». Также прекратил работу сайт МВД Украины. NotPetya эксплуатирует ту же уязвимость в Windows, что и печально известный WannaCry. Как и WannaCry, вредонос шифрует файлы на компьютере жертвы и требует выкуп за их восстановление. Тем не менее, по словам целого ряда ИБ-экспертов, возможность расшифровки файлов в NotPetya не предусмотрена, и на самом деле программа является не вымогателем, а инструментом для уничтожения данных на атакуемых системах с целью саботажа. Согласно заявлению Службы безопасности Украины, за атаками стоит Россия, а дата была выбрана не случайно – 28 июня украинцы отмечают День Конституции Украины. 28 июня портал WikiLeaks опубликовал очередную порцию секретных документов ЦРУ в рамках проекта Vault 7. На сайте появилась 42-страничная инструкция по использованию инструмента ELSA, позволяющего отслеживать пользователей Windows-устройств с поддержкой Wi-Fi на основе данных расширенной зоны обслуживания (Extended Service Set, ESS) или ближайших сетей Wi-Fi. Спустя несколько дней после публикации инструкции к ELSA портал WikiLeaks выложил документ, описывающий инструмент OutlawCountry для удаленного шпионажа на компьютерах под управлением Linux. На прошлой неделе власти США предупредили компании электроэнергетического сектора о кибератаках. С мая текущего года злоумышленники с помощью фишинга похищают учетные данные для доступа к сетям предприятий и уже предприняли несколько попыток атак. 29 июня остановила работу атомная электростанция «Ви-Си Саммер» в Южной Каролине. По словам представителей компании, инцидент был вызван сбоем в работе клапана, незадействованного в процессе производства атомной электроэнергии. В ночь с 29 по 30 июня неизвестные захватили контроль над доменом кошелька Classic Ether Wallet для криптовалюты Ethereum Classic и похитили со счетов его пользователей $300 тыс. Из-за недостаточно защищенного репозитория на сайте GitHub произошла утечка данных 18 млн пользователей социального стримингового музыкального сайта 8Tracks. По заверению владельцев ресурса, все пароли пользователей зашифрованы с добавлением соли, однако все равно не рекомендуется использовать их для других сайтов. Утечка не затронула тех, кто авторизуется на 8Tracks через Google или Facebook.
  25. Прошедшая неделя оказалась довольно беспокойной для экспертов в области кибербезопасности. Спустя более месяца после глобальной атаки WannaCry червь по-прежнему атакует системы. Кроме того, портал WikiLeaks опубликовал очередной хакерский инструмент ЦРУ, и снова напомнили о себе «русские хакеры». Предлагаем вашему вниманию краткий обзор инцидентов безопасности за период с 19 по 25 июня 2017 года. Много шума на прошлой неделе наделал масштабный сбой в работе Skype, в результате которого большинство пользователей в Европе и частично в США не могли подключиться к сервису. Microsoft не сообщила причину проблемы, однако киберпреступная группировка CyberTeam заявила, что сбой в работе Skype – якобы ее рук дело. По словам злоумышленников, они осуществили мощную DDoS-атаку, положившую «начало новой эры». Не обошлось на прошлой неделе без утечек данных. Исследователи компании UpGuard обнаружили в открытом доступе на сервере Amazon S3 незащищенную базу данных 198 млн американских избирателей. Содержащаяся в ней информация принадлежит трем сотрудничающим с Республиканской партией США аналитическим компаниям. В БД содержатся имена, даты рождения, домашние адреса, телефонные номера, сведения о национальной и религиозной принадлежности, а также другие данные зарегистрированных избирателей, собираемые аналитическими компаниями для прогноза их поведения. На одном из русскоязычных хакерских форумов предлагаются для продажи или обмена учетные данные от почтовых ящиков тысяч британских госслужащих, включая министров, послов и руководящих сотрудников полиции. Кроме того, на выходных стало известно об атаке на членов британского парламента. По словам официального представителя парламента, злоумышленники пытались найти слабые пароли для входа в электронную почту. Большой резонанс вызвала утечка внутренних сборок и фрагментов исходного кода Windows 10. Массив размером 32 ТБ (в архивированном виде 8 ТБ), включающий официальные и приватные образы, исходный код драйверов Windows 10, стеков USB и Wi-Fi, а также код ARM-версии ядра OneCore, был загружен на сайт betaarchive.com. Предположительно, конфиденциальные данные в этом архиве были нелегально получены из внутреннего хранилища Microsoft в марте нынешнего года. Очередным подарком для хакеров стала публикация WikiLeaks инструмента Brutal Kangaroo, разработанного ЦРУ для взлома физически изолированных систем. После установки вредонос собирает хранящуюся на компьютере информацию и с помощью модуля Broken Promise анализирует ее на предмет ценных сведений. Внимание общественности на прошлой неделе привлекла публикация в The Washington Post результатов журналистского расследования, посвященного санкциям США в отношении РФ. По данным издания, в числе прочих санкций Обама также одобрил специальную секретную программу по разработке и внедрению «киберимплантов» в российскую электронную инфраструктуру, которые могли бы быть активированы в случае эскалации конфликта между США и Москвой. В свою очередь, появились новые сведения о попытках «русских хакеров» атаковать избирательную инфраструктуру США. Как оказалось, в ходе президентской кампании 2016 года в США «русские хакеры» атаковали избирательные системы в 21 штате страны. Хотя злоумышленникам удалось получить доступ к некоторым из них, свидетельств манипуляций с результатами голосования нет. В последнее время особой популярностью у киберпреступников пользуется вымогательское ПО. Спустя месяц после глобальной атаки WannaCry вредонос снова дал о себе знать. В результате заражения сети автопроизводитель Honda был вынужден на сутки приостановить работу одного из своих заводов. Кроме того, червь заблокировал работу несколько десятков дорожных камер и светофоров в Австралии. Помимо WannaCry, головную боль одной из южнокорейских компаний причинил вымогатель Erebus, переквалифицировавшийся с Windows на Linux. Вредонос зашифровал хостинговые серверы компании, вынудив ее руководство выплатить $1 млн за их восстановление. Кроме сравнительно новых образцов вымогательского ПО злоумышленники продолжают использовать старое. Эксперты Cisco Talos зафиксировали масштабную кампанию по распространению обновленного шифровальщика Locky. Вредонос распространяется с помощью известного ботнета Necurs и заражает системы, работающие исключительно на Windows XP и Vista.
×
×
  • Create New...