Поиск

«Лаборатория Касперского» раскрыла новую киберпреступную кампанию, за которой, предположительно, стоит известная группировка Lazarus. Группа Lazarus известна с 2009 года, а с 2011 года она заметно активизировалась. Это сообщество злоумышленников ответственно за такие известные атаки, как Troy, Dark Seoul (Wiper), WildPositron. Кроме того, Lazarus имеет отношение к нашумевшей атаке вымогателя WannaCry. Новая киберпреступная операция получила название AppleJeus, а её целью стала криптовалютная биржа в Азии. Атака была осуществлена с помощью заражённого программного обеспечения для торговли криптовалютами. Любопытно, что разработчик этого софта имеет действующий цифровой сертификат для подписи своих программ, а его регистрационные доменные записи выглядят легитимно. Но эксперты не смогли идентифицировать ни одну легальную организацию, которая была бы размещена по адресу, указанному в информации о сертификате. Заражённое ПО в целом не представляет опасности — угрозу таит лишь один компонент, который отвечает за обновления. Он способен собирать данные о системе и отправлять их злоумышленникам. А под видом апдейтов на компьютер жертвы загружаются вредоносные компоненты: это, в частности, троян Fallchill — старый инструмент Lazarus. «После установки Fallchill предоставляет атакующим практически неограниченный доступ к компьютеру жертвы, позволяя им красть ценную финансовую информацию или развёртывать дополнительные инструменты в зависимости от цели и обстоятельств», — отмечает «Лаборатория Касперского» Любопытно, что в ходе атаки AppleJeus применяются сразу две версии трояна. Одна из них нацелена на Windows-системы. Другую модификацию злоумышленники создали специально для заражения компьютеров на базе macOS. «Мы заметили растущий интерес Lazarus к рынкам криптовалют в начале 2017 года, когда группировка установила на одном из своих серверов ПО для майнинга Monero. С тех пор их неоднократно замечали в атаках на криптовалютные биржи и другие финансовые организации. На этот раз они разработали отдельное ПО для заражения пользователей macOS, расширив таким образом круг потенциальных жертв», — заключают специалисты.

Последние несколько дней стали не самым лучшими для кибербезопасности. Иранское министерство связи и информационных технологий сообщило, что также стало жертвой глобальной кибератаки, которая скомпрометировала порядка 200 000 сетевых коммутаторов (или попросту свитчей) Cisco, которые пока не получили патчи эксплойта в протоколе компании Smart Install. Атакующие показали флаг США на нескольких экранах, добавив предупреждение «не вмешивайтесь в наши выборы», но атака не была сосредоточена на Иране — лишь 3500 свитчей стали жертвой эксплойта в этой стране. Более 55 000 пострадавших устройств были в США, как сообщил министр информационных техноллогий Мохаммад Джавад Азари Джахроми, и еще 14 000 — в Китае. Остальные были расположены в Европе и Индии. Зацепило и нас. Сообщение Ирана поступило сразу же после того, как исследовательская группа Cisco Talos предупредила, что по всему миру было «несколько инцидентов» с участием «определенных продвинутых актеров», нацеленных на коммутаторы, использующие Smart Install. В ноябре 2017 года произошел скачок в сканировании, а в марте и апреле его интенсивность только увеличилась. Ущерб, нанесенный Ирану, может быть минимальным — Иран сообщил, что решил эту проблему за несколько часов и не потерял никаких данных. Тем не менее, глубина атаки и ее подтекст озадачивают. Если бы это было предостережением по поводу вмешательства в выборы, то почему хакеры не сосредоточились на России? Россия считается главным подозреваемым в деле о вмешательстве в выборы Трампа. Протест выглядит несколько беспорядочно. Кто бы ни был ответственным, эти кибератаки подчеркивают старую проблему: многие из брешей, пробитых в последние месяцы, стали результатом ошибок прошлого. Эти свитчи можно было бы поправить вовремя, чтобы предотвратить атаку, но медленный ответ оставил дыры открытыми. Однажды сетевые операторы начнут шевелиться и латать дыры и обновлять операционные системы вовремя. Но что для этого должно произойти?

Канадская компания Metrolinx, разработавшая и внедрившая электронную систему оплаты за проезд в общественном транспорте Presto, в начале текущего месяца подверглась хакерской атаке. Как сообщает информагентство CBC со ссылкой на анонимный источник, хакеры из Северной Кореи заразили компьютеры компании вирусом, запущенным через Россию. Представитель Metrolinx Анна-Мари Эйкинс подтвердила CBC факт атаки. По ее словам, в результате инцидента безопасность ни одной системы скомпрометирована не была, и утечка данных не имела место. Эйкинс отказалась приводить подробности об атаке, сославшись на «соображения безопасности». В последнее время КНДР обвиняется в осуществлении резонансных атак. К примеру, в прошлом месяце советник Министерства внутренней безопасности США Том Боссерт, заявил, что Северная Корея «непосредственно причастна» к атакам вируса-шифровальщика WannaCry и понесет за это ответственность. По данным американских властей, за нашумевшей атакой на Sony в 2014 году также стоят северокорейские хакеры. КНДР отрицает какую-либо причастность к вышеупомянутым атакам.

Eset предупреждает о новой фишинговой атаке, нацеленной на пользователей Apple. Для кражи персональных данных злоумышленники используют «двойную» рассылку. В первом письме от мошенников пользователю сообщают о несуществующей покупке приложения в App Store. В сообщении указаны детали заказа, включая сумму сделки. На подделку указывает адрес отправителя, не имеющий отношения к Apple, неперсонализированное обращение («Дорогой клиент») и подозрительный документ во вложении. Если пользователь не обратит внимания на эти признаки и откроет вложенный файл, он обнаружит «квитанцию об оплате». В квитанции есть ссылка, которую предлагается использовать в случае проблем с заказом, – конечно, она ведет на фишинговый сайт. Там пользователю нужно ввести Apple ID и пароль, а далее «подтвердить личные данные», в том числе, данные банковской карты. Особенность этой фишинговой кампании в том, что далее потенциальная жертва получит еще одно сообщение со ссылкой на тот же сайт. Второе письмо (от лица «Службы технической поддержки Apple») предупреждает, что часть информации об учетной записи пользователя не подтверждена. Чтобы продолжить использование сервисов Apple, пользователю предлагается подтвердить данные, заполнив форму на фишинговом сайте. Eset рекомендует игнорировать неперсонализированные сообщения, не переходить по ссылкам из них, а также защитить компьютер комплексным антивирусным ПО с функциями «Антифишинг» и «Антиспам».

Южнокорейская биржа Youbit (не имеет ничего общего с русскоязычной биржей Yobit) второй раз за 2017 год подверглась атаке хакерской группы, целью которой значилось похищение криптовалютных активов. И оба раза данные атаки имели для киберзлоумышленников успешный исход. Напомним, что в апреле текущего года брешь в защите сервиса Youbit стоила бирже 4000 похищенных со счетов пользователей биткоинов. Однако тогда Youbit сумела довольно быстро оправиться от потерь. На этот раз уязвимость в защите Youbit нанесла владельцам биржи невосполнимый ущерб, вынудив их объявить о готовящейся процедуре банкротства сервиса. Пока что представители биржи не уточнили точную сумму похищенного хакерами. Известно лишь, что доля украденного составила 17 % от общего количества активов. Пользователи Youbit, хранившие свои криптомонеты на кошельках сервисов и потерявших виртуальные деньги в связи с хакерской атакой, могут рассчитывать на компенсацию. По заверению владельцев Youbit, всем пострадавшим от действий киберпреступников биржа выплатит компенсацию в размере 75 % от суммы, актуальной на момент взлома. Апрельский инцидент с Youbit навёл на мысль о необходимости укрепить системы безопасности биржи — нанять дополнительный персонал и уменьшить число «горячих кошельков». Однако ни одна из предпринятых мер дополнительной защиты не воспрепятствовала декабрьскому взлому. Вследствие этого Youbit решила свернуть деятельность, объявив себя банкротом. «Искреннее жаль сообщать вам печальные новости в очередной раз», — говорится в пресс-релизе Youbit.

Компания «Мегафон» 12 мая подверглась хакерской атаке. Об этом анонимно сообщили несколько сотрудников компании. В пресс-службе «Мегафона» рассказали, что позднее прокомментируют сообщения об атаках. По словам источников, это была такая же атака, как и на больницы Великобритании, о которой сообщалось ранее 12 мая, — зараженные компьютеры оказались заблокированы, на них появились сообщения с требованием выкупа. Отбита ли атака или нет, пока не сообщается. Информации о перебоях со связью в сети «Мегафон» нет.

Сотрудники Национального агентства по борьбе с преступностью Великобритании (National Crime Agency) задержали в одном из аэропортов Лондона 29-летнего британца, подозреваемого в масштабной кибератаке на крупнейшую телекоммуникационную компанию Deutsche Telekom в конце ноября 2016 года. Напомним, в результате атаки более 1 млн пользователей проводной связи Deutsche Telekom испытали проблемы с доступом к Сети в связи с выходом из строя маршрутизаторов. Как полагают эксперты, злоумышленники использовали новый образец вредоносного ПО Mirai, созданный специально для атак на уязвимые маршрутизаторы производства компании Zyxel. Согласно заявлению Федерального ведомства по уголовным делам Германии (Bundeskriminalamt, BKA), задержанный пытался использовать оборудование Deutsche Telekom для организации ботнета с целью последующей сдачи его в аренду для осуществления различных кибератак, в частности, DDoS-атак. В настоящее время решается вопрос об экстрадиции подозреваемого в Германию, где ему будут предъявлены обвинения в компьютерном саботаже. Предположительно, мужчине грозит от 6 лет до 10 лет лишения свободы.

Сайт Росгвардии подвергся массированной кибератаке, сообщает ведомство.Перебои в работе сайта начались в среду около 17 часов. Специалисты установили, что сайт подвергся "массированной DDoS-атаке с множественными сетевыми запросами, приводящими к полной загрузке ресурсов web-сервера и невозможности работы с сайтом", говорится в релизе. При попытке открыть страницу появляется сообщение: "Сайт закрыт на техническое обслуживание". В два часа ночи было выявлено и заблокировано 450 уникальных IP-адресов, с которых проводилась атака. В дальнейшем их количество выросло до 7,8 тысячи. Сейчас специалисты проводят "контрмероприятия по отражению DDoS-атаки и выходу работы сайта на рабочее функционирование", заявил начальник главного управления связи Росгвардии генерал-майор Алексей Беляков. Ранее ФСБ заявила, что в течение 2016 года российские объекты подвергались хакерским атакам около 70 миллионов раз, причем большинство этих атак шло из-за рубежа.