Поиск

Министерство юстиции США предъявило официальные обвинения гражданину КНДР Пак Чин Хеку в участии в сговоре с целью совершения многочисленных разрушительных кибератак по всему миру, повлекших повреждение значительного числа компьютеров, масштабные потери данных, денежных средств и других ресурсов. Согласно пресс-релизу Минюста, Пак Чин Хек, работавший в качестве программиста на северокорейскую компанию Chosun Expo Joint Venture, несет ответственность за кибератаки на компанию Sony Pictures Entertainment в 2014 году, кражу $81 млн из Центробанка Бангладеша, создание и распространение вымогательского ПО WannaCry 2.0 в мае 2017 года, а также другие кибератаки на компании в развлекательной, финансовой, оборонной, технологической и прочих сферах. Предположительно, Пак Чин Хек является участником печально известной хакерской группировки Lazarus Group, связанной с Бюро 121 - подразделением военной разведки Северной Кореи. В случае признания виновным мужчине грозит максимальное наказание в виде 25 лет лишения свободы. В декабре минувшего года правительство США публично обвинило КНДР в атаках с использованием вымогателя WannaCry. По данным специалистов, программа-вымогатель инфицировала компьютерные системы в более чем 150 странах мира, общий ущерб оценивается в порядка $8 млрд.

Исследователи из «Лаборатории Касперского» сообщили об участившихся случаях использования взломанных маршрутизаторов кибершпионскими хакерскими группировками. «Мы видели множество попыток взлома маршрутизаторов на протяжении нескольких лет. Очень хорошим примером является вредоносное ПО SYNful Knock для маршрутизаторов Cisco, которое было обнаружено компанией FireEye и хакерскими группировками Regin и CloudAtlas. Обе группировки владели проприетарным ПО для взлома устройств», - отметили специалисты. По словам экспертов, количество группировок, использующих маршрутизаторы для атак, стремительно выросло в минувшем году, и данная тактика продолжает пользоваться популярностью в 2018 году. Например, хакерская группировка Slingshot, предположительно связанная с армией США, использовала взломанные маршрутизаторы MikroTik для заражения жертв вредоносными программами. Подобным образом группировка Frontline взламывала домашние маршрутизаторы и построила сеть прокси-серверов, которые можно было использовать для атаки UPnProxy. «Мы также обнаружили APT LuckyMouse использующую маршрутизаторы для размещения своих C&C-серверов, что само по себе довольно необычно. Мы считаем, что им удалось взломать маршрутизатор с помощью уязвимости в протоколе SMB, позволившей им загрузить скрипты CGI для управления и контроля», - добавили эксперты. Как отметили исследователи, атаки с использованием маршрутизаторов пользуются популярностью у хакеров и существует вероятность, что множество атак происходят незаметно как для пользователей, так и для ИБ-экспертов.

Команда безопасности Google разослала предупреждения разработчикам расширений для Chrome после того, как ряд из них подвергся фишинговым атакам. В некоторых случаях атаки были успешными и злоумышленникам удалось получить контроль над некоторыми популярными расширениями, в частности Copyfish и Web Developer. Получив доступ к аккаунту разработчиков, фишеры модифицировали расширения, добавив вредоносный код для показа рекламы на интернет-страницах, просматриваемых пользователями. По данным ресурса BleepingComputer, фишинговая кампания началась более двух месяцев назад. Злоумышленники распространяют электронные письма якобы от команды безопасности Google с требованием обновить расширение, поскольку программа нарушает правила Chrome Web Store. Все письма содержат ссылку на сайт, имитирующий настоящую страницу авторизации Google, где разработчикам нужно ввести свои учетные данные для того, чтобы выяснить, в чем проблемма. Таким образом преступникам удалось скомпрометировать учетные записи создателей расширений Copyfish и Web Developer. Подобное письмо также получил разработчик, известный в Сети как OinkAndStuff - автор двух популярных аддонов Blue Messenger (порядка 80 тыс. пользователей) Websta for Instagram (около 100 тыс. пользователей). По словам OinkAndStuff, первое фишинговое письмо было получено 21 июня нынешнего года. Сообщение содержало ссылку на страницу на домене Freshdesk (так же, как и в случае с атаками на разработчиков Copyfish и Web Developer). По всей видимости, все три атаки являются делом рук одного и того же злоумышленника или группы злоумышленников. После того, как OinkAndStuff проинформировал команду безопасности Google об атаках, он получил еще два фишинговых письма, но уже с ссылками на другие фишинговые домены. В настоящее время фишинговая кампания продолжается. Команда безопасности Google рекомендует разработчикам использовать двухфакторную аутентификацию и не авторизоваться в аккаунтах разработчиков Chrome на страницах авторизации, размещенных на не принадлежащих компании доменах.

29-летний хакер, известный в Сети как BestBuy и Popopret, признал себя виновным во взломе более 900 тыс. маршрутизаторов в сети крупнейшего телекоммуникационного оператора Deutsche Telekom. Об этом сообщают немецкие СМИ. Немецкие правоохранители не раскрывают настоящее имя преступника, упоминая о нем как о Spiderman - псевдоним, под которым хакер регистрировал домены, использовавшиеся для компрометации оборудования Deutsche Telekom. Злоумышленник использовал модифицированный вариант вредоносного ПО Mirai для организации ботнета. На суде BestBuy пояснил, что в его намерения не входило вывести маршрутизаторы из строя, он просто пытался незаметно перехватить контроль над устройствами и использовать их для осуществления DDoS-атак. По его словам, причиной случайного сбоя в работе маршрутизаторов стал модифицированный им образец Mirai. Он также рассказал, что один из либерийских провайдеров нанял его для проведения DDoS-атак на своих конкурентов. За свои услуги хакер получил $10 тыс. Напомним, в феврале нынешнего года порядка 900 тыс. клиентов Deutsche Telekom в Германии столкнулись с проблемой доступа к сети Интернет. В том же месяце хакер осуществил аналогичную атаку на провайдеров в Великобритании. BestBuy был арестован сотрудниками Национального агентства по борьбе с преступностью Великобритании (National Crime Agency) в одном из аэропортов Лондона в конце февраля нынешнего года. Вынесение приговора по делу хакера состоится 28 июля текущго года. Ему грозит лишение свободы сроком до 10 лет.

11 мая 2017 года состоялось заседание по делу россиянина Евгения Никулина, обвиняемого в кибератаках на цели в США. В связи с соображениями безопасности заседание будет проходить на территории тюрьмы Панкрац, где сейчас содержится обвиняемый, сообщает представитель пражского суда Маркета Пуци. Никулин был задержан сотрудниками ФБР и чешской полиции в октябре 2016 года по подозрению в кибератаках на цели в США. В середине того же месяца власти США предъявили россиянину официальные обвинения во взломе ресурсов Dropbox, Formspring и LinkedIn. В ноябре 2016 года Минюст Чехии получил запрос на выдачу хакера одновременно от США и России. Согласно документу от российского суда, Никулин обвиняется в хищении $4350 у гражданки РФ с помощью платежной электронной системы Webmoney. Правоохранительные органы Чехии не исключают возможность выдачи Никулина как США, так и РФ. Окончательное решение по вопросу об экстрадиции будет приниматься министром юстиции республики Робертом Пеликаном.

В начале марта нынешнего года специалисты зафиксировали новую волну атак с использованием модифицированной версии червя Shamoon (также известного как Disttrack), направленную на организации, работающие в критически важных и экономических секторах Саудовской Аравии. Сейчас эксперты компании Palo Alto Networks опубликовали более подробную информацию о деятельности данного вредоносного ПО. Вредоносное ПО Shamoon относится к семейству вредоносных программ, которые эффективно удаляют данные с зараженных компьютеров. На протяжении почти десяти лет червь Shamoon использовался в атаках против организаций в Саудовской Аравии. В состав червя входит вредоносный компонент Disttrack, ответственный за разрушительное поведение и распространение вредоноса по сети. Червь Shamoon 2 использует комбинацию легитимных инструментов, таких как утилита с открытым исходным кодом PAExec, и пакетные файлы для уклонения от обнаружения и распространения внутри сети. По словам специалистов, злоумышленники применяют элементарный, но эффективный метод дистрибуции вредоноса Disttrack. Исследователи пока не смогли определить, как именно происходит начальное инфицирование. По их словам, организаторы последних вредоносных кампаний используют не только учетные данные целевых организаций для доступа к их системам, но и локальные хосты и IP-адреса серверов внутри целевой сети. В январе нынешнего года эксперты обнаружили .ZIP-архив, содержащий исполняемые, пакетные и текстовые файлы (exec-template.txt, ok.bat, pa.exe и т.д.), используемые для заражения компьютеров в сети. Злоумышленники используют похищенные учетные данные организации для доступа к скомпрометированной системе и, подключившись через протокол удаленного рабочего стола (Remote Desktop Protocol, RDP), загружают на сервер вредоносный архив. Далее атакующие начинают распространять Disttrack на другие системы в локальной сети при помощи списка, включающего 256 ранее добытых имен хостов и IP-адресов. Эксперты также заметили некоторые сходные черты между кампаниями Shamoon 2 и Magic Hound (кампания по шпионажу, направленная на организации в Саудовской Аравии). В частности, в обеих операциях использовался один и тот же расположенный в Лондоне управляющий сервер и блок IP-адресов.

В минувшую пятницу в Лондоне сотрудники подразделения Скотленд-Ярда Falcon по борьбе с киберпреступностью задержали двух российских граждан по подозрению в сговоре с целью мошенничества и отмывания денег, сообщается на сайте ведомства. 37-летнему Вугару Моллачиеву и 48-летнему Абдурахману Базаеву были предъявлены обвинения по делу о хакерских атаках на банки и мошенничестве. По сообщению полиции, с помощью вредоносного ПО подозреваемые намеревались похитить более $2,5 млн у британских банков. В результате обыска в квартире, где проживали задержанные, был изъят ряд компьютеров, которые будут направлены на судебную экспертизу. Мужчины предстанут перед судом в Вестминстере в понедельник, 20 марта. Напомним, в конце февраля нынешнего года в одном из аэропортов Лондона был арестован британец, подозреваемый в масштабной кибератаке на крупнейшую телекоммуникационную компанию Deutsche Telekom в конце ноября 2016 года.