Перейти к содержанию

Поиск

Показаны результаты для тегов 'инцидентов'.

  • Поиск по тегам

    Введите теги через запятую.
  • Поиск по автору

Тип контента


Форумы

  • Новости
    • Новости сервера
    • Новости спутниковых провайдеров
    • Новости цифровой техники
    • Новости спутников и космических технологий
    • Новости телеканалов
    • Новости операторов связи, кабельного и IPTV
    • Новости сети интернет и софта (software)
    • Архив новостей
  • IPTV
    • Обсуждение IPTV каналов
    • IPTV на iptv-приставках
    • IPTV на компьютере
    • IPTV на телевизорах Smart TV
    • IPTV на спутниковых ресиверах
    • IPTV на мобильных устройствах
    • Kodi (XBMC Media Center)
    • FAQ по IPTV
  • IPTV in English
    • FAQ (Manuals)
    • Price
    • Discussions
  • Cпутниковое ТВ
    • Основной раздел форума
    • Кардшаринг
    • Транспондерные новости, настройка антенн и приём
    • Dreambox/Tuxbox/IPBox/Sezam и др. на базе Linux
    • Ресиверы Android
    • Другие ресиверы
    • Galaxy Innovations (без OS Linux)
    • Обсуждение HD\UHD телевизоров и проекторов
    • DVB карты (SkyStar, TwinHan, Acorp, Prof и др.)
    • OpenBOX F-300, F-500, X540, X560, X590, X-800, X-810, X-820, S1
    • Openbox X-730, 750, 770CIPVR, 790CIPVR
    • OpenBOX 1700(100), 210(8100),6xx, PowerSky 8210
    • Golden Interstar
    • Globo
    • Спутниковый интернет/спутниковая рыбалка
  • Общий
    • Курилка
    • Барахолка

Категории

  • Dreambox/Tuxbox
    • Эмуляторы
    • Конфиги для эмуляторов
    • JTAG
    • Picons
    • DM500
    • DM600
    • DM7000
    • DM7020
    • Программы для работы с Dreambox
    • DM7025
    • DM500 HD
    • DM800 HD
    • DM800 HDSE
    • DM8000 HD
    • DM 7020 HD
    • DM800 HD SE v2
    • DM 7020 HD v2
    • DM 500 HD v2
    • DM 820 HD
    • DM 7080
    • DM 520/525HD
    • Dreambox DM 900 Ultra HD
    • Dreambox DM920 Ultra HD
  • Openbox HD / Skyway HD
    • Программы для Openbox S5/7/8 HD/Skyway HD
    • Addons (EMU)
    • Ключи
    • Skyway Light 2
    • Skyway Light 3
    • Skyway Classic 4
    • Skyway Nano 3
    • Openbox S7 HD PVR
    • Openbox S6 PRO+ HD
    • Openbox SX4C Base HD
    • Skyway Droid
    • Skyway Diamond
    • Skyway Platinum
    • Skyway Nano
    • Skyway Light
    • Skyway Classic
    • Openbox S6 HD PVR
    • Openbox S9 HD PVR
    • Skyway Classic 2
    • Openbox S4 PRO+ HDPVR
    • Openbox S8 HD PVR
    • Skyway Nano 2
    • Openbox SX6
    • Openbox S6 PRO HDPVR
    • Openbox S2 HD Mini
    • Openbox S6+ HD
    • Openbox S4 HD PVR
    • Skyway Classic 3
    • Openbox SX4 Base
    • Openbox S3 HD mini
    • Openbox SX4 Base+
    • Openbox SX9 Combo
    • Openbox AS1
    • Openbox AS2
    • Openbox SX4
    • Openbox SX9
    • Openbox S5 HD PVR
    • Formuler F3
    • Openbox Formuler F4
    • Openbox Prismcube Ruby
    • Skyway Droid 2
    • Openbox S2 HD
    • Openbox S3 HD Micro
    • Skyway Air
    • Skyway Virgo
    • Skyway Andromeda
    • Openbox S1 PVR
    • Formuler4Turbo
    • Open SX1 HD
    • Open SX2 HD
    • Openbox S3 HD mini II
    • Openbox SX2 Combo
    • Openbox S3HD CI II
  • Openbox AS4K/ AS4K CI
  • Opticum/Mut@nt 4K HD51
  • Mut@nt 4K HD60
  • Octagon SF4008 4K
  • OCTAGON SF8008 MINI 4K
  • Octagon SF8008 4K
  • GI ET11000 4K
  • Formuler 4K S Mini/Turbo
  • VU+ 4K
    • Прошивки VU+ Solo 4K
    • Прошивки VU+ Duo 4K
    • Прошивки VU+ UNO 4K
    • Прошивки VU+ Uno 4K SE
    • Прошивки VU+ Ultimo 4K
    • Прошивки VU+ Zero 4K
    • Эмуляторы VU+ 4K
    • Vu+ Duo 4K SE
  • Galaxy Innovations
    • GI 1115/1116
    • GI HD Slim Combo
    • GI HD Slim
    • GI HD Slim Plus
    • GI Phoenix
    • GI S9196Lite
    • GI S9196M HD
    • GI Spark 2
    • GI Spark 2 Combo
    • GI Spark 3 Combo
    • Программы для работы с Galaxy Innovations
    • Эмуляторы для Galaxy Innovations
    • GI S1013
    • GI S2020
    • GI S2028/S2026/2126/2464
    • GI S2030
    • GI S2050
    • GI S3489
    • GI ST9196/ST9195
    • GI S2121/1125/1126
    • GI S6199/S6699/ST7199/ST7699
    • GI S8290
    • GI S8680
    • GI S8120
    • GI S2138 HD
    • GI S2628
    • GI S6126
    • GI S1025
    • GI S8895 Vu+ UNO
    • GI Vu+ Ultimo
    • GI S2238
    • GI Matrix 2
    • GI HD Mini
    • GI S2038
    • GI HD Micro
    • GI HD Matrix Lite
    • GI S1027
    • GI S1015/S1016
    • GI S9895 HD Vu+ Duo
    • GI S8180 HD Vu+ Solo
    • Vu+ SOLO 2
    • Vu+ Solo SE
    • Vu+ Duo 2
    • Vu+ Zero
    • GI ET7000 Mini
    • GI Sunbird
    • GI 2236 Plus
    • GI HD Micro Plus
    • GI HD Mini Plus
    • GI Fly
    • GI HD Slim 2
    • GI HD Slim 2+
    • GI HD Slim 3
    • GI HD Slim 3+
  • IPBox HD / Sezam HD / Cuberevo HD
    • Программы для работы с IPBox/Sezam
    • IPBox 9000HD / Sezam 9100HD / Cuberevo
    • IPBox 900HD / Cuberevo Mini
    • IPBox 910HD / Sezam 902HD / Sezam 901HD
    • IPBox 91HD / Sezam 900HD / Cuberevo 250HD
    • Addons
  • HD Box
    • HD BOX 3500 BASE
    • HD BOX 3500 CI+
    • HD BOX 4500 CI+
    • HD BOX 7500 CI+
    • HD BOX 9500 CI+
    • HD BOX SUPREMO
    • HD BOX SUPREMO 2
    • HD BOX TIVIAR ALPHA Plus
    • HD BOX TIVIAR MINI HD
    • HD BOX HB 2017
    • HD BOX HB 2018
    • HD BOX HB S100
    • HD BOX HB S200
    • HD BOX HB S400
  • Star Track
    • StarTrack SRT 100 HD Plus
    • StarTrack SRT 300 HD Plus
    • StarTrack SRT 2014 HD DELUXE CI+
    • StarTrack SRT 3030 HD Monster
    • StarTrack SRT 400 HD Plus
    • StarTrack SRT 200 HD Plus
  • Samsung SmartTV SamyGo
  • DVB карты
    • DVBDream
    • ProgDVB
    • AltDVB
    • MyTheatre
    • Плагины
    • DVBViewer
    • Кодеки
    • Драйвера
  • Openbox F-300, X-8XX, F-500, X-5XX
    • Программы для работы с Openbox
    • Ключи для Openbox
    • Готовые списки каналов
    • Все для LancomBox
    • Openbox F-300
    • Openbox X-800
    • Openbox X-810
    • Openbox X-820
    • Openbox F-500
    • Openbox X-540
    • Openbox X-560
    • Openbox X-590
  • Openbox X-730PVR, X-750PVR, X-770CIPVR, X-790CIPVR
    • Программы для работы с Openbox
    • Ключи
    • Openbox X-730PVR
    • Openbox X-750PVR
    • Openbox X-770CIPVR
    • Openbox X-790CIPVR
  • OpenBOX 1700[100], 210[8100], 6xx, PowerSky 8210
    • Программы для работы с Openbox/Orion/Ferguson
    • BOOT
    • Ключи
    • OpenBOX 1700[100]
    • OpenBOX 210[8100]
    • OpenBOX X600 CN
    • OpenBOX X610/620 CNCI
    • PowerSky 8210
  • Globo
    • Globo HD XTS703p
    • Программы для работы с Globo
    • Ключи для Globo
    • Globo 3xx, 6xxx
    • Globo 4xxx
    • Globo 7010,7100 A /plus
    • Globo 7010CI
    • Globo 7010CR
    • Ferguson Ariva 100 & 200 HD
    • Opticum 8000
    • Opticum 9000 HD
    • Opticum 9500 HD
    • Globo HD S1
    • Opticum X10P/X11p
    • Opticum HD 9600
    • Globo HD X403P
    • Opticum HD X405p/406
    • Opticum X80, X80RF
  • Golden Interstar
    • Программы для работы с Interstar
    • Все для кардшаринга на Interstar
    • BOOT
    • Ключи
    • Golden Interstar DSR8001PR-S
    • Golden Interstar DSR8005CIPR-S
    • Golden Interstar DSR7700PR
    • Golden Interstar DSR7800SRCIPR
    • Golden Interstar TS8200CRCIPR
    • Golden Interstar TS8300CIPR-S
    • Golden Interstar TS8700CRCIPR
    • Golden Interstar S100/S801
    • Golden Interstar S805CI
    • Golden Interstar S770CR
    • Golden Interstar S780CRCI
    • Golden Interstar TS830CI
    • Golden Interstar TS870CI
    • Golden Interstar TS84CI_PVR
    • Golden Interstar S890CRCI_HD
    • Golden Interstar S980 CRCI HD
    • Golden Interstar GI-S900CI HD
    • Golden Interstar S905 HD
    • Box 500
  • SkyGate
    • Программы для работы с ресиверами SkyGate
    • Списки каналов и ключей
    • SkyGate@net
    • SkyGate HD
    • SkyGate HD Plus
    • SkyGate Gloss
    • Sky Gate HD Shift
  • Samsung 9500
    • Программы для работы с Samsung 9500
    • Программное обеспечение для Samsung 9500
  • Openbox 7200
    • Прошивки
    • Эмуляторы
    • Программы для работы с Openbox 7200
    • Списки каналов
  • Season Interface
  • Прошивки для приставок MAG

Поиск результатов в...

Поиск контента, содержащего...


Дата создания

  • Начало

    Конец


Дата обновления

  • Начало

    Конец


Фильтр по количеству...

Регистрация

  • Начало

    Конец


Группа


  1. Далеко не все пользователи относятся должным образом к безопасности своих устройств и оборудования, чем активно пользуются киберпреступники. На минувшей неделе стало известно сразу о нескольких кампаниях, в рамках которых злоумышленники инфицировали уязвимую технику для достижения собственных целей. В частности, специалисты подразделения Qihoo 360Netlab зафиксировали кампанию по заражению уязвимых маршрутизаторов MikroTik по всему миру майнером криптовалюты Coinhive. Лидерами по числу скомпрометированных устройств стали Россия, Иран, Бразилия, Индия и Украина. Не успели эксперты в области безопасности опубликовать PoC-код для уязвимости в ALPC-интерфейсе планировщика задач в ОС Windows, как его немедленно взяли на вооружение киберпреступники. К примеру, код был добавлен в цепочку эксплоитов, используемых группировкой PowerPool, специализирующейся на хищении конфиденциальных данных с инфицированных компьютеров. После некоторого затишья активизировалась киберпреступная группа FIN6, промышляющая кражей данных платежных карт для последующей их продажи на рынках даркнета. Группировка запустила новую вредоносную кампанию, направленную на PoS-терминалы в Европе и США. На данный момент число пострадавших от этой кампании неизвестно. В последнее время появляется все больше новых IoT-ботнетов. К примеру, специалисты NewSky Security обнаружили новое вредоносное ПО Hakai, предназначенное для заражения маршрутизаторов производства D-Link, Huawei и Realtek и формирования ботнета из скомпрометированных устройств. Всплеск активности нового ботнета произошел в августе текущего года. В настоящее время нет данных о числе включенных в бот-сеть устройств. На минувшей неделе украинские правоохранители сообщили о пресечении деятельности двух киберпреступных группировок. Одна из них компрометировала учетные записи пользователей в соцсети Instagram и требовала выкуп в размере от 15 тыс. до 30 тыс. грн. в криптовалюте (примерно 35 тыс. – 70 тыс. руб.) за возвращение доступа к странице, а вторая промышляла кражами денежных средств со счетов банков мира. Известия о различных утечках данных уже давно стали привычным делом, вот и минувшая неделя не стала исключением. В частности, британский авиаперевозчик British Airways сообщил об утечке данных со своего сайта и приложения, затронувшей 380 тыс. клиентов компании. Разработчики приложения mSpy, предназначенного для слежки за телефонами, по ошибке раскрыли информацию своих пользователей, а также данные полученные из телефонов, на которых была запущена программа. В результате инцидента пострадали около 1 млн клиентов компании.
  2. Прошедшая неделя ознаменовалась сразу несколькими сообщениями о масштабных утечках данных. В частности, в руках хакеров оказались персональные данные более 130 млн постояльцев отеля, принадлежащего одной из крупнейших в Китае сетей гостиниц Huazhu Hotels Group Ltd. Информация, включающая сведения об именах клиентов, домашних адресах, датах рождения, номерах ID-карт, телефонных номерах, адресах электронной почты и соответствующих им паролях, а также прочие данные, была выставлена на продажу на одном из подпольных форумов по цене 8 биткойнов (порядка $56 тыс.). Крупнейший канадский авиаперевозчик Air Canada заблокировал 1,7 млн учетных записей пользователей своего мобильного приложения после обнаружения попытки взлома систем, в результате которого могли быть скомпрометированы персональные данные порядка 20 тыс. клиентов компании. По словам представителей Air Canada, приложение хранит основную информацию, включая имя пользователя, адрес электронной почты и номер телефона. Все данные кредитных карт были зашифрованы и не пострадали в ходе инцидента. Разработчик ПО в области распознавания, обработки данных и прикладной лингвистики ABBYY допустил утечку 200 тыс. различных конфиденциальных документов, хранившихся на принадлежащем компании незащищенном сервере. Доступ к информации мог получить любой желающий без какой-либо авторизации. Причиной инцидента стала ошибка при установке настроек конфиденциальности сервера. В настоящее время доступ к документам закрыт. Интернет-магазины по-прежнему остаются объектом пристального внимания хакеров. На минувшей неделе исследователь безопасности Виллем де Гроот сообщил о масштабной вредоносной кампании, направленной на сайты под управлением платформы для организации электронной коммерции Magento. В рамках кампании злоумышленники внедрили в более чем 7 тыс. сайтов скрипт, позволяющий собирать данные платежных карт посетителей. Как отметил специалист, на сегодняшний день скрипт «является самым успешным вредоносом подобного рода». Хакерская группировка Cobalt (она же FIN7 и Carbanak), известная своими атаками на банки и кражами миллиардов долларов, запустила новую кампанию, направленную на российские и румынские банки. Злоумышленники организовали серию фишинговых атак, в ходе которых распространяли письма, содержавшие бэкдоры для запуска дополнительных вредоносных модулей и разведывательной деятельности. Удалось ли хакерам нанести банкам финансовый ущерб, в настоящее время неизвестно. Спустя всего неделю после известия об уязвимости в Apache Struts (CVE-2018-11776), позволяющей злоумышленникам удаленно выполнить код и получить контроль над приложениями на базе данного фреймворка, различные эксперты в области кибербезопасности начали фиксировать активные атаки, эксплуатирующие проблему. По данным исследователи из Greynoise Intelligence, злоумышленники используют уязвимость для установки на серверы вариантов майнера криптовалюты CNRig, загруженных из репозитория BitBucket.
  3. В начале минувшей недели специалисты компании Microsoft сообщили об успешном пресечении фишинговой кампании хакерской группировки APT28, также известной под названиями Fancy Bear и Strontium, предположительно связанной с российскими спецслужбами. Сотрудники подразделения корпорации по борьбе с киберпреступностью перехватили контроль над шестью доменами, используемыми злоумышленниками, в том числе имитирующими сайты Международного республиканского института, американской исследовательской организации Hudson Institute и части IT-инфраструктуры Сената США. Судя по всему, указанные домены использовались в рамках операции по рассылке писем для целенаправленного фишинга. 22 августа в СМИ появились сообщения об очередной попытке взлома базы данных избирателей Национального комитета Демократической партии США, однако, как выяснилось впоследствии, атака оказалась всего лишь проверкой безопасности, проведенной Демократической партией Мичигана, по каким-то причинам забывшей уведомить об этом Нацкомитет. Учасники северокорейской хакерской группировки Lazarus расширяют поле деятельности: если раньше атаки злоумышленников были направлены на пользователей Windows, то сейчас под прицел попали и владельцы компьютеров Мас. Исследователи из «Лаборатории Касперского» сообщили о новой атаке на одну из крупных азиатских криптовалютных бирж, в рамках которой хакеры впервые в своей практике использовали вредоносное ПО для macOS. Атака получила кодовое название «Операция AppleJeus». В ходе операции злоумышленники обманом заставили сотрудника биржи загрузить зараженное программное обеспечение для торговли криптовалютами. Данное ПО было подписано действующим цифровым сертификатом, позволяющим обходить проверки безопасности. На прошедшей неделе стало известно о ряде утечек данных. В частности, американская компания Spyfone, специализирующаяся на продаже шпионского оборудования, допустила утечку «терабайтов данных», включая фотографии, аудиозаписи, текстовые сообщения и историю web-поиска, оказавшихся в открытом доступе на некорректно настроенном сервере Amazon S3. 20 августа один из крупнейших операторов связи в Европе и США T-Mobile сообщил о кибератаке, в ходе которой хакеры похитили персональные данные порядка 2 млн человек. От утечек данных не застрахованы даже участники конференций по кибербезопасности. К примеру, «устаревшая система» стала причиной раскрытия контактной информации посетителей конференции BlackHat 2018. Исследователю, использующему псевдоним NinjaStyle, потребовалось всего порядка шести часов на то, чтобы собрать имена зарегистрированных пользователей, физические адреса и адреса электронной почты, а также названия компаний и номера телефонов.
  4. Прошедшая неделя оказалась богатой на события в сфере информационной безопасности. Инциденты отличаются большим разнообразием, начиная от взлома Apple и заканчивая утечкой секретных данных британского и канадского правительств. Предлагаем краткий обзор главных событий в мире ИБ за период с 13 по 19 августа 2018 года. На прошлой неделе несколько раз сообщалось о различных мошеннических схемах, главным инструментом в которых является шантаж. В частности, злоумышленники сообщают жертвам по электронной почте о взломе их телефона и записи видео с помощью web-камеры. За удаление «компрометирующего» ролика шантажисты требуют $1 тыс. в биткойнах. Еще один вид мошенничества, о котором также сообщалось, – угрозы доложить властям о незаконным репосте. Известен как минимум один случай вымогательства выкупа в размере $150 в биткойнах у пользователя соцсети «ВКонтакте» за недонесение за репост. Что касается взломов, то на прошлой неделе стало известно об атаке на второй крупнейший в Индии банк Cosmos Bank. За три дня хакерам удалось украсть более 940 млн рупий ($13,5 млн). Жертвой взлома также стала компания Apple, однако в данном случае хакера не интересовали деньги. Австралийскому подростку удалось проникнуть в сети компании и похитить 90 ГБ данных. По словам адвокатов юноши, он является горячим поклонником продукции Apple и взломал компанию в надежде привлечь к себе ее внимание и получить работу. Если Apple стала жертвой утечки по вине хакера, то правительства Великобритании и Канады допустили утечку конфиденциальных данных по собственному недосмотру. Из-за некорректной настройки страниц сервиса для управления проектами Trello в Сеть утекла информация об уязвимостях в ПО, планы по обеспечению безопасности, пароли и пр. Вероятно, тысячи данных жителей Омска оказались разбросанными по улицам также по недосмотру. В среду, 15 августа, на улице 10 лет Октября между улицами Жукова и Пушкина были разбросаны тысячи оплаченных квитанций за газ. Разносимые ветром бланки содержали такую информацию, как имена и фамилии граждан, их адреса и номера лицевых счетов. Точкой входа в корпоративные сети для хакеров могут послужить факсы. На конференции DEFCON в Лас-Вегасе специалисты компании Check Point представили атаку Faxploit на протокол передачи факсов T.30. Атака предполагает эксплуатацию двух уязвимостей переполнения буфера в компонентах протокола, обрабатывающих маркеры DHT и COM (CVE-2018-5924 и CVE-2018-5925 соответственно). Специалисты Принстонского университета представили атаку на электросети с использованием водонагревательных приборов и другой энергоемкой бытовой техники. По данным ученых, с помощью IoT-ботнета можно спровоцировать скачки напряжения, способные вывести электросети из строя и вызвать масштабное отключение света. На прошлой неделе в очередной раз напомнила о себе печально известная группировка DarkHotel. Исследователи безопасности из компании Trend Micro раскрыли подробности о новой вредоносной кампании, в ходе которой группировка активно эксплуатировала уязвимость нулевого дня в движке VBScript.
  5. На прошлой неделе не обошлось без утечек данных, атак правительственных хакеров, новых ботнетов и пр. Однако самой громкой стала новость о новом способе деанонимизации Telegram. О самых значительных инцидентах безопасности за период с 6 по 12 августа рассказано ниже. В начале прошлой недели появились сообщения о предприимчивом шпионе, похитившем данные об истребителе F-35 Lightning II под видом служащей Королевских военно-воздушных сил Великобритании. Злоумышленник взломал учетную запись женщины в приложении для знакомств Tinder и от ее имени общался с другими служащими ВВС. Как минимум у одного человека ему удалось выманить секретные данные. На прошлой неделе также стало известно об атаках на сервисы по обработке платежей WorldPay, Datawire и Vantiv. В июле нынешнего года злоумышленники осуществляли BGP-перехват с целью перенаправления трафика и получения данных о денежных переводах. Исследователи компании Checkpoint сообщили о возвращении банковского трояна Ramnit и появлении нового ботнета после ликвидации предыдущего в 2015 году. Новый ботнет под названием Black всего за два месяца инфицировал порядка 100 тыс. систем. Ramnit попадает на компьютеры жертв через спам, а после установки загружает и устанавливает вредоносное ПО Ngioweb. Специалисты из Palo Alto Networks Unit 42 рассказали о новой киберпреступной группировке под названием DarkHydrus. Злоумышленники занимаются кражей удостоверяющих документов от государственных учреждений и учебных заведений на Ближнем Востоке. Для атак хакеры используют вредоносное ПО с закрытым исходным кодом, а также не брезгуют инструментами с открытым исходным кодом наподобие Phishery. Хакеры в Бразилии активно занялись DNS-перехватом через уязвимость в маршрутизаторах D-Link DSL. Злоумышленники удаленно изменяют настройки DNS на устройствах таким образом, чтобы они подключались к подконтрольным хакерам DNS-серверам. Эти серверы перенаправляют жертв на поддельные страницы банков, запрашивающие персональные и банковские данные. Что касается утечек, то на прошлой неделе стало известно о возможной утечке исходного кода iOS-приложения Snapchat. Инженер под псевдонимом i5xx опубликовал на GitHub код, который, судя по всему, является исходником Snapchat. О подлинности кода свидетельствует запрос на удаление репозитория, направленное администрации GitHub компанией-разработчиком мессенджера Snap. Запрос написан весьма эмоционально, что указывает на поднявшуюся в компании панику. Наиболее резонансной новостью на прошлой неделе стало появление способа деанонимизации пользователей Telegram. Специалисты российского Центра исследований легитимности и политического протеста сообщили о создании системы «Криптоскан», способной по одному лишь имени пользователя узнать номер телефона, к которому привязана учетная запись.
  6. Прошедшая неделя отличилась большим количеством сообщений о деятельности хакерских группировок, предположительно финансируемых правительствами разных стран. К примеру, в начале прошлой недели сообщалось об атаках на экспертов по химическому оружию, осуществляемых группировкой Sandworm. В ходе атак злоумышленники рассылали фишинговые письма от имени швейцарской лаборатории Spiez, занимавшейся изучением нервно-паралитического вещества «Новичок». Об атаках правительственных хакеров и обычных киберпреступников - в кратком обзоре инцидентов безопасности за период с 30 июля по 5 августа. Эксперты «Лаборатории Касперского» сообщили об атаках на промышленные предприятия на территории РФ. Как и в случае с Sandworm, злоумышленники использовали фишинговые письма с вредоносным ПО. Однако их главная задача заключалась в похищении денежных средств со счетов предприятий. Госучреждения в ряде стран, в том числе в России, также пыталась атаковать пакистанская хакерская группировка Gorgon Group. Злоумышленники рассылали своим жертвам фишинговые письма, темы которых были связаны с вопросами терроризма и политическими проблемами в Пакистане и соседних странах. Вложенные в письма документы Microsoft Word содержали эксплоит для уязвимости CVE-2017-0199. Электростанции в США атакует иранская APT-группа RASPITE. В отличие от вышеупомянутых кампаний, для заражения систем вредоносным ПО злоумышленники используют не фишинг, а технику watering hole – заманивают жертв на взломанные вредоносные сайты. На прошлой неделе Министерство юстиции США выдвинуло обвинения трем гражданам Украины, являющимся членами печально известной хакерской группировки Carbanak (другие названия Cobalt и FIN7). По данным ведомства, преступники похитили порядка 15 млн номеров платежных карт из более 6 тыс. PoS-терминалов и продавали их в даркнете. Исследователи безопасности обнаружили новую кампанию по распространению вредоносной рекламы, в ходе которой каждую неделю заражается порядка 40 тыс. устройств. Для заражения злоумышленники используют более 10 тыс. взломанных сайтов под управлением WordPress с вредоносной рекламой. На прошлой неделе также стало известно о вредоносной кампании, нацеленной на маршрутизаторы MikroTik. Злоумышленники изменяют конфигурацию устройств и внедряют в них копию скрипта Coinhive, позволяющего тайно добывать криптовалюту в браузере пользователя. О еще одной кампании по распространению майнеров криптовалюты сообщили исследователи из Sucuri. По их данным, для заражения компьютеров жертв злоумышленники используют неофициальный сервис GitHub. На прошлой неделе также не обошлось без сообщений об утечках данных. В среду, 1 августа, социальная платформа Reddit сообщила о том, что хакерам удалось обойти двухфакторную аутентификацию, взломать учетные записи нескольких сотрудников и похитить конфиденциальную информацию. Злоумышленники получили доступ к электронным адресам некоторых пользователей, логам, а также к резервной копии базы данных за 2007 год, содержащей старые хешированные и подсоленные пароли.
  7. Одним из наиболее обсуждаемых событий прошедшей недели стало сообщение о компрометации хакерской группировкой Dragonfly или Energetic Bear, предположительно связанной с российскими властями, компьютерных сетей американских энергокомпаний. Для данной цели злоумышленники взломали сети партнеров предприятий, связанных контрактами на обслуживание сетевой инфраструктуры, и украли необходимые пароли, с помощью которых смогли получить доступ к компьютерам диспетчерских служб. На предыдущей неделе Национальный центр контрразведки и безопасности США обнародовал доклад, согласно которому Китай, Иран и Россия проводят кампании по кибершпионажу, направленные на технологические фирмы, производственные предприятия и оборонных подрядчиков с целью хищения интеллектуальной собственности и коммерческих секретов. Эксперты FireEye обнаружили новую вредоносную кампанию, направленную на пользователей в Украине. Злоумышленники эксплуатируют старые уязвимости в пакете Microsoft Office для внедрения бэкдора Felixroot, предназначенного для шпионажа и хищения файлов. Вредоносное ПО Felixroot инфицирует целевые системы через фишинговые письма с вредоносным вложением. Вложение представляет собой документ со встроенным эксплоитом (к примеру, Seminar.rtf), посвященный семинару по защите окружающей среды. Аналитики компании Group-IB выявили сеть бухгалтерских сайтов, заражавших посетителей банковскими троянами Buhtrap и RTM, нацеленными на атаку юридических лиц. Три ресурса, появившихся в апреле этого года, уже успели посетить, по самым скромным подсчетам, 200 000 человек. Жертвами таргетированной атаки хакеров стали финансовые директоры, юристы, бухгалтеры и другие специалисты, использующие в своей работе системы дистанционного банковского обслуживания (ДБО), платежные системы или криптокошельки. 24 июля американское представительство одного из крупнейших в мире грузоперевозчиков COSCO стало жертвой кибератаки, в ходе которой внутренние сети компании оказалась заражены вымогательским ПО. В результате системы вышли из строя, что повлекло за собой сбой в работе телефонной сети и почтовых серверов. О каком именно вымогательском ПО идет речь, компания не сообщила. Владельцы маршрутизаторов D-Link и Dasan по-прежнему остаются объектом пристального внимания хакеров. В частности, исследователи из компании eSentire Threat Intelligence зафиксировали новую операцию по созданию ботнета из уязвимых маршрутизаторов D-Link 2750B и Dasan GPON, работающих под управлением прошивки GPON. По словам экспертов, атака длилась порядка 10 часов. Злоумышленники попытались проэксплуатировать уязвимость CVE-2018-10562, присутствующую в маршрутизаторах с версией прошивки ZIND-GPON-25xx. Американская компания LifeLock, специализирующаяся на защите интернет-пользователей от кражи личности, допустила утечку данных своих клиентов. Проблема возникла из-за уязвимости на сайте компании, позволявшей любому желающему с помощью браузера индексировать электронные адреса, связанные с учетными записями миллионов клиентов, а также отписывать пользователей от любой связи с компанией. С помощью указанной уязвимости злоумышленники могли собирать данные клиентов и использовать их для целенаправленного фишинга, прикрываясь брендом LifeLock.
  8. Минувшая неделя оказалась чрезвычайно насыщенной сообщениями о различных масштабных утечках данных. В частности, в Сингапуре хакеры атаковали компьютеры крупнейшей в стране группы медицинских учреждений SingHealth. Злоумышленникам удалось похитить персональные данные 1,5 млн человек, в том числе нескольких высокопоставленных чиновников. Жертвой кибератаки стала и крупнейшая американская диагностическая лаборатория LabCorp, в ходе котрой злоумышленники попытались получить доступ к конфиденциальным медицинским записям миллионов клиентов компании. По словам представителей корпорации, на данный момент нет доказательств, что утечка данных действительно произошла. Расследование инцидента продолжается. Один из крупнейших телекоммуникационных провайдеров в мире компания Telefonica допустила утечку данных, в ходе которой была раскрыта личная и финансовая информация миллионов испанских пользователей платного телевидения Movistar. Из-за ошибки, допущенной при создании сайта Movistar, любой владелец учетной записи мог просматривать персональные данные других пользователей. Сотни тысяч избиратели в США снова стали жертвами утечки данных, в этот раз из-за небрежности, допущенной фирмой Robocent, предоставляющей информацию для политических кампаний. Robocent хранила данные на незащищенном сервере Amazon S3, доступ к которому без пароля мог получить любой желающий. Бакет содержал порядка 2,6 тыс. файлов с различной информацией, включая полные имена, домашние адреса, телефонные номера, даты рождения, сведения о возрасте, политических взглядах, национальности, образовании и используемом языке. На минувшей неделе стало известно об утечке данных, затронувшей несколько тысяч пользователей облачного хранилища Mega. Эксперты обнаружили обнаружили в Сети текстовый файл, содержащий более 15,5 тыс. электронных адресов и паролей, а также списки файлов пользователей. В Бразилии сотрудники полиции задержали четырех человек по подозрению в кибератаках на смартфоны известных политических деятелей, в том числе соратников президента страны Мишела Темера. Мошенники получали доступ к спискам контактов политиков и начинали выпрашивать средства у их знакомых. Госструктуры Украины стали объектом очередной кампании по кибершпионажу, в рамках которой злоумышленники заражали компьютеры жертв вредоносным ПО для хищения данных и аудиозаписи разговоров. В ходе операции атакующие использовали трояны Vermin, Sobaken и Quasar. Американские власти заподозрили Иран в подготовке масштабных кибератак на США и ряд европейских стран. По имеющимся данным, хотя Иран и готовится к проведению хакерских атак, в настоящее время нет свидетельств, что они будут осуществлены в ближайшем будущем. Тем не менее, в связи с риском США предпринимают меры по усилению кибербезопасности, а также предупреждают союзников и изучают методы реагирования на киберугрозы.
  9. Прошедшая неделя ознаменовалась сразу несколькими значительными инцидентами. В частности, сотрудники Службы безопасности Украины отразили кибератаку на украинскую хлорпереливную станцию, являющуюся объектом критической инфраструктуры страны. В течение нескольких минут системы управления технологическими процессами и системы обнаружения признаков аварийных ситуаций предприятия были поражены вредоносным ПО VPNFilter. Данная кибератака потенциально могла привести к срыву технологических процессов и возможной аварии. 9 июля представители криптовалютной биржи Bancor сообщили о кибератаке, в результате которой неизвестные хакеры украли из кошелька организации $13,5 млн в криптовалюте ETH ($12,5 млн) и NPXS ($1 млн). Изначально преступники попытались вывести еще и 3,2 млн монет BNT ($10 млн), однако администрации биржи удалось заморозить украденную криптовалюту BNT. Ливанская полиция арестовала трех человек по подозрению в совершении самой масштабной кибератаки в истории страны, в ходе которой жертвами взлома стало значительное количество ливанских компаний и организаций, в том числе агентства безопасности, правительственные ведомства, сотовые телекоммуникационные компании и крупный интернет-провайдер Ogero Telecom, контролируемый государством. На минувшей неделе неизвестный хакер получил доступ к учетной записи разработчика менеджера пакетов npm и внедрил вредоносный код в популярную библиотеку JavaScript. Код был предназначен для хищения учетных данных пользователей. Установленные по умолчанию пароли продолжают представлять существенный риск утечки данных. Примечательно, что даже на военных объектах не уделяется должного внимания безопасности. К примеру, благодаря дефолтному FTP-паролю, установленному на маршрутизаторе Netgear Nighthawk R7000, который бы расположен на одной из американских авиабаз, хакеру удалось проникнуть в сеть базы, взломать компьютер одного из старших офицеров и похитить техническую документацию по обслуживанию ударного дрона MQ-9 Reaper. Неизвестные злоумышленники взломали официальный сайт популярного бесплатного аудио и видеоредактора VSDC и подменили ссылки на скачивание программного обеспечения. После перехода по скомпрометированной ссылке на компьютер пользователя загружаются инфостилер, троян для удаленного доступа и кейлогер. Исследователи безопасности из компании Eset сообщили о компрометации сайта программы для удаленного администрирования Ammyy Admin. Через сайт программы наряду с легитимным ПО распространялся троян Win32/Kasidet. Прошедшая неделя не обошлась без сообщений о пресловутых «русских хакерах». По данным Федеральной службы защиты конституции Германии (Bundesamt fur Verfassungsschutz), хакерская группировка Sandworm, предположительно связанная с правительством РФ, с августа 2017 года по июнь 2018 года совершила серию кибератак на ряд немецких СМИ, а также организацию, занимающуюся исследованиями в области химического оружия.
  10. Прошедшая неделя ознаменовалась первой в 2018 году крупной кибератакой на российские банки. В частности, в ночь на 4 июля хакеры похитили более 58 млн рублей с корреспондентского счета ПИР Банка в Центробанке РФ. Из-за кибератаки ПИР Банк был вынужден приостановить деятельность 4 и 5 июля. Как предполагается, хищение может быть делом рук хакерской группировки Carbanak (также известной под названиями Cobalt и Annunak). Еще одним резонансным событием, обсуждаемым в Рунете на прошлой неделе, стала утечка данных пользователей «Документов Google». В ночь с 4 на 5 июля хранящиеся в «Документах Google» файлы пользователей в течение нескольких часов находились в открытом доступе из-за того, что поисковая система «Яндекс» стала индексировать содержимое «Документов Google». Некоторые из них содержали персональную информацию, в том числе учетные данные. Эксперты «Лаборатории Касперского» обнаружили необычную версию загрузчика Rakhni, которая оценивает возможность получения прибыли, и в зависимости от конфигурации системы загружает на инфицированные устройства либо вымогательское ПО, либо майнер криптовалюты. Основной целью атак Rakhni являются Россия (95,57% случаев), Казахстан (1,36%) и Украина (0,57%). Исследователи безопасности сообщили о новом агрессивном черве, атакующем Linux-устройства. В настоящее время о вредоносе известно совсем немного информации, кроме того, что он распространяется очень быстро и своими действиями напоминает печально известное вредоносное ПО Mirai. В отличие от Mirai загрузка нового вредоноса происходит не из нескольких репозиториев, а с тысяч IP-адресов. В последние несколько месяцев то и дело появляются сообщения о разнообразных инцидентах, связанных с соцсетью Facebook. То компания по ошибке отправляет отчеты с аналитикой для разработчиков тестерам, то раскрывает частные публикации пользователей, а на минувшей неделе Facebook сообщила о техническом сбое, в результате которого заблокированные пользователи могли видеть часть контента, опубликованного лицами, внесшими их в «черный список». Инцидент затронул порядка 800 тыс. пользователей, поместивших кого-либо в перечень заблокированных в период с 29 мая по 5 июня текущего года. Как стало известно, участники палестинского движения ХАМАС пытались получить доступ к телефонам израильских военных с помощью развлекательных приложений, одно из которых было посвящено чемпионату мира по футболу. После установки приложения передавали данные о местоположении, скрыто снимали и отправляли фотографии, копировали данные на телефоне, а также подслушивали разговоры. Это не единственный инцидент, поставивший под угрозу безопасность Израиля. На минувшей неделе бывшему сотруднику израильской ИБ-компании NSO, специализирующейся на разработке и продаже инструментов для шпионажа, были предъявлены обвинения в краже секретов фирмы. Мужчина скопировал секретные программы на жесткий диск и попытался продать их в даркнете за $50 млн в криптовалюте некоему иностранному лицу. Стоимость продуктов, украденных ответчиком, оценивается в сотни миллионов долларов.
  11. Минувшая неделя оказалась чрезвычайно насыщенной сообщениями о различных утечках данных. В частности, в США произошла вторая за два года масштабная утечка данных, затронувшая прядка 340 млн американских граждан. Виновником инцидента стала маркетинговая компания Exactis, хранившая базу данных на публично доступном сервере. БД объемом около 2 ТБ включала персональную информацию сотен миллионов граждан США и американских компаний, в том числе номера телефонов, домашние адреса и адреса электронной почты, информацию о предпочтениях, возрасте, поле детей и пр. Утечка не затронула данные платежных карт и номера социального страхования пользователей. Жертвами утечки данных стали и клиенты британского сервиса по продаже билетов Ticketmaster UK, возникшей в результате заражения вредоносной программой одной из служб клиентской поддержки. Злоумышленникам удалось получить доступ к информации о всех британских пользователях сервиса, покупавших билеты в период с февраля по 23 июня текущего года, а также зарубежных клиентах, которые купили или пытались приобрести билеты в период с сентября 2017 года по настоящее время. О возможной утечке данных миллионов своих клиентов заявила немецкая компания Adidas. Злоумышленники могли получить доступ к информации о клиентах, совершавших покупки в американском интернет-магазине Adidas. В ходе кибератаки на компанию-производителя ПО для бронирования отелей FastBooking неизвестные злоумышленники похитили персональную информацию и данные платежных карт клиентов сотен отелей. Согласно пресс-релизу компании, только в Японии инцидент затронул 380 отелей. Не исключено, что по всему миру число пострадавших отелей может превышать 1 тыс. Одним из резонансных событий на минувшей неделе стало сообщение об опасной уязвимости RAMpage (CVE-2018-9442) в драйвере памяти ОС Android, затрагивающей миллионы устройств на базе данной операционной системы, выпущенные за последние шесть лет. RAMpage позволяет получить права администратора и доступ к контенту на устройстве, в том числе к паролям, хранимым в браузере или менеджере паролей, личным фотографиям, электронным письмам, сообщениям, рабочим документам и пр. Как полагают эксперты, проблема может распространяться не только на Android-гаджеты, но и устройства Apple, домашние компьютеры и облачные серверы. В минувший четверг разработчики дистрибутива Gentoo Linux сообщили о компрометации одной из учетных записей проекта на портале GitHub. Злоумышленникам удалось изменить содержание репозиториев и внедрить вредоносный код, позволяющий удалить все файлы из системы. На прошлой неделе кибератаке подвергся защищенный сервис электронной почты ProtonMail. В течение двух дней на инфраструктуру службы осуществлялись массированные DDoS-атаки, по некоторым данным, достигавшие на пике 500 Гб/с.
  12. На минувшей неделе исследователи в области кибербезопасности сообщили о ряде вредоносных кампаний, организованных высококвалифицированными хакерскими группировками. В частности, эксперты Symantec зафиксировали масштабную операцию китайской хакерской группировки Thrip, направленную на предприятия, специализирующиеся на разработке технологий спутниковых коммуникаций и геопространственной разведки, а также на оборонных подрядчиков из США и Юго-Восточной Азии. В ходе кампании злоумышленники пытались инфицировать компьютерные системы, используемые для управления спутниками связи и сбора геопространственных данных. Как полагают исследователи, целью хакеров может быть не только кибершпионаж, но и диверсионная деятельность. Хакерская группировка Olympic Destroyer, пытавшаяся саботировать Олимпиаду-2018, проходившую в южнокорейском Пхенчхане, возобновила активность. В этот раз под прицел злоумышленников попали финансовые организации в РФ, а также лаборатории в Европе и Украине, специализирующиеся на химической и биологической безопасности. Киберпреступники продолжают эксплуатировать тему WannaCry, пытаясь заработать на страхе пользователей. В частности, в минувший четверг Великобританию захлестнула волна фишинговых писем, сообщавших о том, что устройства пользователей якобы взломаны и зашифрованы новой, более опасной версией печально известного шифровальщика. За расшифровку данных вымогатели требовали 0,1 биткойна. В действительности сообщения оказались всего лишь «разводом», с помощью которого злоумышленники пытались заставить пользователей заплатить за несуществующую угрозу. Криптовлюта по-прежнему остается объектом пристального внимания хакеров. На минувшей неделе криптовалютная биржа Bithumb стала жертвой кибератаки, в результате которой злоумышленникам удалось похитить $31,5 млн в криптовалюте, в том числе в популярной валюте Ripple (XRP). В попытке заработать хакеры изобретают довольно интересные схемы. К примеру, в Китае группа хакеров взломала более 100 тыс. компьютеров в интернет-кафе 30 городов страны с целью майнинга криптовалюты Siacoin. Таким способом злоумышленникам удалось заработать 5 млн юаней (порядка $800 тыс.). При этом они действовали в сотрудничестве с компаниями по обслуживанию компьютерной техники, которые внедряли разработанный преступниками майнер на компьютеры во время стандартного осмотра оборудования. Доходы от продажи криптовалюты сообщники делили между собой. Исследователи из компании Deep Instinct сообщили о появлении нового ботнета, операторы которого используют загрузчик Mylobot для заражения устройств различным вредоносным ПО – от майнеров криптовалюты до кейлогеров, банковских троянов и программ-вымогателей. Особенность Mylobot заключается в использовании уникального набора самых современных техник. Минувшая неделя не обошлась без сообщений об утечках данных. Популярный сервис по отслеживанию местоположения воздушных судов Flightradar24 предупредил об утечке данных на одном из серверов компании. В ходе утечки могли быть скомпрометированы адреса электронной почты и хэши паролей, связанные с учетными записями, зарегистрированными до 16 марта 2016 года. Компания не раскрыла точное число пострадавших, но, по некоторым данным, их количество может превышать 230 тыс. человек.
  13. За последние полгода сообщения об уязвимостях в процессорах различных производителей стали привычным делом, а недавно к списку прибавилась еще одна. Речь идет об аппаратной проблеме «Lazy FP» (CVE-2018-3665) в процессорах Intel, затрагивающей все модели семейства Intel Core. Уязвимость связана с функцией «Lazy FPU context switching» и по своей сути близка к проблеме Spectre 3a (CVE-2018-3640, RSRE - Rogue System Register Read). Проэксплуатировав проблему, злоумышленник может получить доступ к данным криптографических вычислений и использовать их для определения ключа шифрования. Минувшая неделя оказалась довольно непростой для ряда криптовалютных сервисов. В середине июня жертвой злоумышленников стала южнокорейская криптобиржа Coinrail, которая в результате хакерской атаки лишилась порядка $40 млн в различной криптовалюте, а чуть позже о взломе своей учетной записи на GitHub сообщила компания Syscoin. Воспользовавшись доступом к аккаунту, хакеры заменили официальный клиент Syscoin для Windows вредоносной версией, содержащей инфостилер Arkei Stealer (Trojan:Win32/Feury.B!cl) для кражи паролей и закрытых ключей криптовалютных кошельков. Киберпреступники не устают изобретать новые методы для майнинга криптовалюты. Так, команда проекта Docker удалила из публичного репозитория Docker Hub 17 вредоносных образов, которые использовались злоумышленниками для установки майнера криптовалюты на серверы жертв. Все образы были загружены одним и тем же лицом (или группой лиц), использующим псевдоним «docker123321». Число установок этих пакетов варьируется от нескольких сотен тысяч до 1 млн. Исследователи безопасности из компании 360 Total Security сообщили о новом вредоносном ПО ClipboardWalletHijacker, предназначенном для хищения криптовалют Ethereum и Bitcoin. По данным экспертов, вредонос уже успел заразить порядка 300 тыс. компьютеров. Редкая неделя обходится без сообщений об утечках данных, прошедшая, к сожалению, не стала исключением. В частности, крупный британский ритейлер Dixons Carphone подвергся кибератаке, в ходе которой злоумышленникам удалось похитить примерно 1,2 млн записей о его клиентах. По словам представителей Dixons Carphone, хакеры также пытались похитить данные порядка 5,8 млн банковских карт, однако им удалось завладеть информацией лишь о 105 тыс. карт, защищенных PIN-кодом.
  14. Краткий обзор главных событий в мире ИБ за минувшую неделю. Судя по всему, арест лидера Cobalt не сказался на деятельности остальных участников группировки - они по-прежнему продолжают атаковать финорганизации. В частности, эксперты Group-IB зафиксировали новую серию кибератак, направленных на банки в России, странах СНГ и зарубежные финансовые организации. В рамках атак 23 и 28 мая злоумышленники рассылали письма от производителя антивирусного ПО «Лаборатории Касперского» и Центрального европейского банка, содержащие вредоносные документы MS Word, открытие которых приводило к инфицированию систем банков вредоносным ПО. Набирают обороты и северокорейские хакеры. К примеру, кибергруппировка Andariel, по некоторым данным являющаяся подразделением печально известной группы Lazarus, провела вредоносную кампанию, нацеленную на объекты в Южной Корее. В ходе атак злоумышленники эксплуатировали уязвимость в AcubeFileCtrl.ocx ActiveX-компоненте для Samsung SDS Acube для заражения систем вредоносным ПО и хищения данных. В четверг, 31 мая, в течение получаса сервисы Amazon Web Services были недоступными для пользователей в регионе US-East-1 (восточной части США). Данные некоторых пользователей оказались потерянными безвозвратно из-за выхода из строя оборудования. Причиной отключения сервисов стала проблема в одном из дата-центров, отвечающем за регион доступности US-East-1. Сбой в электроснабжении вывел из строя незначительное число физических серверов и сетевых устройств дата-центра. Прошедшая неделя не обошлась и без сообщений об утечках данных. В частности, жертвами утечек стали два канадских банка - Bank of Montreal (BOM) и Simplii Financial (дочерняя компания Canadian Imperial Bank of Commerce). В первом случае в руки киберпреступников попала банковская и персональная информация порядка 50 тыс. клиентов, во втором злоумышленники завладели данными около 40 тыс. клиентов. Несмотря на многочисленные утечки данных в последнее время, обеспечение безопасности инфраструктуры по-прежнему не является приоритетом для компаний. Так, из-за недобросовестности подрядчика в открытом доступе оказались учетные данные, предоставляющие доступ ко всей IT-инфраструктуре крупнейшего медиа-холдинга Universal Music Group (UMG). Как оказалось, сторонняя компания, управляющая частью IT-систем UMG, настроила сервер Apache Airflow без парольной защиты. 30 мая сервис по продаже билетов Ticketfly временно приостановил работу из-за хакерской атаки, в результате которой была похищена часть клиентской базы данных. Ответственность за атаку взял на себя хакер под псевдонимом «IsHaKdZ». Злоумышленник осуществил дефейс главной страницы сайта и оставил сообщение, содержащее ссылки на файлы с персональной информацией, включая имена, физические адреса, номера телефонов и адреса электронной почты. Как стало известно, операторы вредоносного ПО VPNFilter, ранее заразившего по меньшей мере полмиллиона маршрутизаторов и NAS-устройств по всему миру, создали новый вариант ботнета после того, как старый был отключен сотрудниками ФБР. Новый ботнет атакует маршрутизаторы Mikrotik с открытым портом 2000, причем злоумышленников интересуют исключительно устройства, расположенные в украинских сетях. Как полагают ФБР и Министерство внутренней безопасности США, за кампанией VPNFilter может стоять группировка APT28, также известная как Fancy Bear, предположительно связанная с РФ.
  15. Одним из наиболее резонансных событий минувшей недели стало предупреждение экспертов команды Cisco Talos о вредоносной кампании, в ходе которой хакеры заразили по меньшей мере 500 тыс. маршрутизаторов и устройств для хранения данных в более чем 50 странах мира. Вредоносное программное обеспечение, получившее условное название VPNFilter, поражает сетевую аппаратуру, в частности маршрутизаторы и накопители. С помощью вредоноса злоумышленники могут не только похищать данные о сайтах, но и выводить из строя цифровые устройства. Как предполагается, вредоносная кампания проводилась в рамках подготовки кибератаки на Украину. Согласно заявлению Службы безопасности Украины, подготовка кибератаки приурочена к финалу футбольной Лиги чемпионов в Киеве 26 мая. Спустя короткое время после сообщения Cisco Talos, Федеральное бюро расследований США заявило о пресечении деятельности данного ботнета, находившегося под контролем хакерской группировки Fancy Bear (также известной как APT 28, Sandworm, X-agent, Pawn Storm и Sednit). Еще одним громким событием предыдущей недели стало известие об обнаружении уязвимости в протоколе Z-Wave, используемом в порядка 100 млн устройств «Интернета вещей» (IoT). Проблема позволяет злоумышленнику, находящемуся в зоне действия протокола, осуществить атаку в процессе подключения устройств и взломать защищенное соединение. Эксперты Microsoft и Google обнаружили четвертый вариант нашумевших уязвимостей Meltdown-Spectre. Уязвимость может быть проэксплуатирована либо запущенным на уязвимом компьютере вредоносным ПО, либо авторизованным в системе злоумышленником для извлечения конфиденциальных данных из защищенной памяти ядра или приложения. Новый вариант затрагивает все современные процессоры, в том числе производства Intel, AMD, Arm, а также микропроцессоры IBM Power 8, Power 9 и System z. Несмотря на снижение курса криптовалют, интерес злоумышленников к цифровым деньгам не ослабевает. К примеру, криптовалюта Verge (XVG) второй раз за последние два месяца подверглась хакерской атаке. Злоумышленники проэксплуатировали уязвимости в блокчейне Verge и похитили около 35 млн монет XVG на сумму $1,7 млн. Первая атака была осуществлена в апреле нынешнего года. Тогда злоумышленники смогли похитить 250 тыс. монет XVG. В обеих атаках киберпреступники проэксплуатировали одну и ту же уязвимость в блокчейне. На прошлой неделе хакерская атака была осуществлена и на инфраструктуру криптовалюты Bitcoin Gold (BTG). Ее организатору удалось похитить средства на сумму более $18 млн. 21 мая администрация криптовалютного стартапа Taylor заявила о взломе, в результате которого неизвестные похитили средства, собранные во время процедуры ICO (первичное размещение монет), а также токены, принадлежащие администрации и активным участникам проекта. В общей сложности ущерб составил более $1,7 млн.
  16. Прошедшая неделя оказалась чрезвычайно насыщенной различными событиями, в их числе очередная утечка данных пользователей Facebook, скандал вокруг американских компаний Securus и LocationSmart, предоставлявших правоохранительным органам США информацию о местоположении граждан, хакерские атаки на маршрутизаторы DrayTek, а также операция по пресечению деятельности пуленепробиваемого хостинга MaxiDed, услугами которого пользовались как киберпреступники, так и правительственные шпионы. Подробнее об этих и других инцидентах в кратком обзоре. Конфиденциальное данные порядка 3 млн пользователей Facebook, использовавших приложение myPersonality, почти четыре года находились в открытом доступе из-за небрежности ученых из Кембриджского университета. Как выяснилось, специалисты использовали данные, собранные через myPersonality в качестве основы для инструмента, подбирающего рекламу. Сведения привязаны к уникальным идентификаторам пользователей приложения и потенциально позволяют любому, у кого есть доступ к информации, выявить конкретного человека в Facebook. Свободный доступ к информации был только у исследователей, работающих в различных компаниях. Однако, один из ученых поделился своими учетными данными с работающими над курсовой студентами, а те, в свою очередь, непреднамеренно опубликовали их на GitHub. Минувшая неделя не обошлась без скандала. Как стало известно, четыре крупнейших оператора сотовой связи США (AT&T, Verizon, T-Mobile и Sprint) продают данные о местоположении клиентов в реальном времени сторонней компании LocationSmart. Сомнительная практика компаний была раскрыта после того, как одного из бывших полицейских шерифов уличили в отслеживании местоположения телефона одного из граждан без соответствующего ордера с помощью компании Securus, предоставляющей правоохранительным органам США услуги по отслеживанию телефонов. Вскоре после публикаций в СМИ Securus стала жертвой неизвестного хакера, которому удалось взломать серверы компании и похитить большой объем важных данных, в том числе логины и пароли тысяч клиентов Securus из правоохранительных органов. Кроме того, на сайте еще одного фигуранта скандала, компании LocationSmart, была обнаружена уязвимость, позволяющая хакерам следить за передвижениями миллионов американцев без их ведома. Хакеры активно эксплуатируют уязвимость нулевого дня в некоторых моделях маршрутизаторов тайваньского производителя DrayTek. Проблема позволяет осуществить CSRF-атаку, изменив настройки DNS для перенаправления пользовательских запросов на сервер злоумышленников, расположенный по адресу 38.134.121.95. По сообщениям на форуме Sky Community, атаки проводились в течение по меньшей мере двух недель. Полиция Нидерландов изъяла десять серверов, принадлежащих так называемому пуленепробиваемому хостинг-провайдеру MaxiDed, предоставляющему свои услуги распространителям детской порнографии и вредоносного ПО, операторам DDoS-ботнетов, кибершпионам и спамерам. Также правоохранители арестовали предполагаемых владельца и администратора сервиса, одного в Таиланде, а второго - в Болгарии. Оба являются гражданами Молдовы. Как стало известно, в течение последних нескольких недель ряд мексиканских банков стали жертвами хакеров, похитивших огромные суммы денег. С помощью поддельных запросов злоумышленники перевели средства на подставные счета, а затем быстро обналичили их. По имеющимся данным, атакующие могли похитить более $15 млн. 17 мая на сайте zywall.de, принадлежащему немецкому подразделению компании Zyxel, были обнаружены более 21 тыс. незаконно сделанных записей телефонных разговоров жителей Германии. Данные находились в открытом доступе на ресурсе более 13 часов. Сведения о звонках, совершенных с 11 ноября 2017 года, хранились на одном из серверов Zyxel в Дании. Файлы содержали телефонные номера абонентов и время вызовов. С какой целью компания вела записи и как долго они хранились в открытом доступе, в настоящее время неизвестно.
  17. Одним из наиболее резонансных событий прошедшей недели стало известие об уязвимости, затрагивающей все популярные операционные системы, включая Linux, Windows, macOS, FreeBSD и некоторые реализации гипервизоров Xen. Проблема представляет собой недоработку в дизайне, вызванную недопониманием разработчиками некоторых инструкций в руководствах Intel и AMD, и позволяет злоумышленникам в лучшем случае вызвать сбой в работе компьютеров на базе процессоров Intel и AMD, а в худшем - получить доступ к памяти ядра или перехватить контроль над системой. Разработчики вредоносного ПО для PoS-терминалов TreasureHunter опубликовали его исходный код на одном из хакерских форумов. В настоящее время неизвестно, по каким соображениям авторы вредоноса раскрыли его исходный код. Как полагают исследователи в области безопасности, в ближайшие несколько месяцев стоит ожидать появления большого количества вредоносных программ, разработанных на основе кода TreasureHunter. От взлома не застрахован никто - ни рядовые пользователи, ни даже профессиональные хакеры из поддерживаемых правительством группировок. Одной из таких жертв стали организаторы кибершпионской операции ZooPark, сфокусированной на странах Среднего Востока. Как стало известно журналистам Motherboard, неизвестному хакеру удалось похитить у кибершпионов кеш данных, собранных у их жертв на Среднем Востоке. Информация включают в себя текстовые сообщения, электронные письма и данные GPS, собранные с помощью инструментов ZooPark, аудиозаписи разговоров, полученные вредоносным ПО. В четверг, 10 мая, активисты, называющие себя Anonymous, взломали старую версию сайта Россотрудничества в ответ на действия Роскомнадзора, направленные на блокировку мессенджера Telegram. Неизвестные опубликовали обращение к ведомству, в котором обвинили его в разрушительных действиях против Рунета и бессмысленном вандализме. Авторы призвали считать взлом сайта «последним предупреждением» Роскомнадзору. В конце минувшей недели эксперты компании Radware предупредили пользователей Facebook о вредоносной кампании, в рамках которой злоумышленники через ссылки в соцсети распространяют вредоносное ПО Nigelthorn, способное красть учетные данные пользователей и устанавливать майнеры криптовалюты. Несмотря на многочисленные инциденты, связанные с утечками данных, многие компании, в том числе крупные, не предпринимают должных мер по обеспечению безопасности. В частности, крупнейший британский сотовый оператор EE (насчитывает порядка 30 млн абонентов) не обеспечил безопасность своего ключевого репозитория кодов, в результате чего авторизоваться в нем мог любой желающий с помощью установленных по умолчанию учетных данных.
  18. Одним из самых обсуждаемых событий минувшей недели стало известие об очередных уязвимостях в процессорах Intel. Восемь проблем, получивших общее название Spectre Next Generation (Spectre-NG), связаны с одной и той же ошибкой в архитектуре. Intel характеризует четыре из восьми уязвимостей Spectre-NG как «высокой опасности», а оставшиеся четыре – как «средней опасности».Как отмечается, одна из уязвимостей упрощает атаки внутри системы, поэтому Spectre-NG представляет даже большую угрозу, чем Spectre. В настоящее время Intel работает над обновлениями, а также помогает разработчикам операционных систем подготовить свои патчи. Предположительно, Intel планирует две ветки обновлений. Первые будут выпущены в мае, а вторые – в августе. На прошедшей неделе сразу два сервиса – Twitter и GitHub – предупредили своих пользователей о необходимости смены пароля из-за внутренней ошибки. Что интересно, порталы столкнулись с практически одинаковой проблемой, в результате которой сотрудники сервисов могли видеть пароли в незашифрованном виде. Разработчики менеджера пакетов Node Package Manager (npm) пресекли распространение бэкдора, хитроумно спрятанного в популярном пакете (библиотеке) для JavaScript. Изначально бэкдор был обнаружен в «getcookies» - сравнительно новом пакете npm для работы с файлами cookie в браузере. Получив жалобы от сообщества npm, разработчики изучили пакет и обнаружили в нем сложный механизм получения команд от удаленного злоумышленника, способного атаковать любое приложение, где используется «getcookies». Бэкдор позволял атакующему внедрять и выполнять произвольный код на запущенном сервере. Как стало известно, хакеры активно сканируют Сеть на предмет уязвимых серверов Oracle WebLogic. Первые попытки сканирования были зафиксированы в середине апреля после того, как пользователь GitHub под псевдонимом Brianwrf опубликовал PoC-эксплоит для уязвимости CVE-2018-2628 в ключевом компоненте WebLogic – WLS, позволяющей неавторизованному злоумышленнику выполнить код на удаленном сервере WebLogic. В среду, 2 мая, неизвестные совершили кибератаку на сервер Агентства гражданской авиации Министерства экономики и устойчивого развития Грузии (GCAA), в результате которой оказались повреждены программы и заблокирована защищенная база данных. По мнению замглавы агентства Левана Каранадзе, хакеры могли преследовать финансовые цели, намереваясь потребовать выкуп за разблокировку базы данных.
  19. Попытки заблокировать мессенджер Telegram в России и их последствия, утечка данных 48 млн пользователей соцсетей, включая Facebook, LinkedIn, кампании по эксплуатации уязвимостей в Drupal и Internet Explorer, уже ставшие привычными обвинения в адрес пресловутых «российских хакеров» стали наиболее обсуждаемыми событиями предыдущей недели. Подробнее об этих и других инцидентах - в кратком обзоре. Всю прошедшую неделю внимание пользователей Рунета было приковано к ситуации вокруг блокировки мессенджера Telegram. 16 апреля в рамках исполнения решения Таганского суда Москвы об ограничении доступа к Telegram на территории РФ Роскомнадзор начал блокировать подсети хостинг-провайдеров, в числе которых оказалось огромное количество ресурсов Amazon , Google , DigitalOcean , OVH, Hetzner, Online.net, Microsoft и других. На данный момент в связи с блокировкой в «черный список» Роскомнадзора внесены более 18 млн IP-адресов. Борьба Роскомнадзора с Telegram поставила под удар многие компании, не имеющие отношения к делу, в частности, наблюдались сбои в работе сервиса Viber, официальных дилерских центров Volvo и пр. Примечательно, что несмотря на все усилия надзорной службы, Telegram продолжает работать. 16 апреля Министерство внутренней безопасности США, ФБР и Национальный центр кибербезопасности Великобритании опубликовали совместный доклад, согласно которому финансируемые правительством «русские хакеры» атакуют по всему миру миллионы маршрутизаторов и другое сетевое оборудование, в том числе потребительского класса. Как сообщается в документе, злоумышленники взламывают уязвимые устройства с целью шпионажа и подготовки плацдарма для дальнейших атак. Днем позже министр по вопросам кибербезопасности Австралии Ангус Тейлор опубликовал официальное заявление, в котором назвал РФ виновной в осуществлении кибератак на австралийские компании в августе 2017 года. По словам министра обороны Австралии Марис Пейн, жертвами кибератак могли потенциально стать порядка 400 компаний. За последние несколько месяцев некорректно настроенные серверы Amazon S3 послужили причиной множества утечек данных, однако компании продолжают игнорировать проблемы собственной безопасности. На минувшей неделе исследователь безопасности Крис Викери обнаружил на некорректно настроенном сервере Amazon S3 данные 48 млн пользователей популярных соцсетей и сервисов, включая Facebook, LinkedIn, Twitter и Zillow. Данные принадлежали компании LocalBlox, специализирующейся на сборе различной информации. Файл размером 1,2 ТБ содержал имена, физические адреса, даты рождения, информацию о месте работы, IP-адресах и другие данные из профилей в LinkedIn, Facebook, Twitter и прочих сервисов. В настоящее время LocalBlox уже устранила проблему, закрыв доступ к серверу. В конце минувшей недели специалисты команды Qihoo 360 сообщили о вредоносной кампании, в рамках которой неизвестные злоумышленники эксплуатируют уязвимость нулевого дня в ядре браузера Internet Explorer. Проблема, которую эксперты описывают как «double kill», затрагивает все последние версии Internet Explorer, а также приложения, использующие ядро IE. В своем сообщении команда не раскрыла полную цепочку эксплуатации или подробности о том, кто может стоять за данной вредоносной кампанией. В середине апреля на портале GitHub был размещен РоС-эксплоит для критической уязвимости Drupalgeddon 2 в Drupal, затрагивающей все версии системы управления контентом за последние десять лет. Спустя несколько часов после публикации эксплоита, его активно начали использовать злоумышленники для установки на уязвимые серверы бэкдоров и майнеров криптовалюты. Эксперты Avast Threat Labs сообщили о вредоносной кампании, направленной на игроков в Minecraft. По данным экспертов, компьютеры порядка 50 тыс. пользователей оказались заражены вредоносным ПО, форматирующим жесткий диск, а также удаляющим резервные копии и системные программы. Вредоносный Powershell-скрипт распространялся через скины, загруженные с посторонних сайтов.
  20. На минувшей неделе внимание общественности привлекли несколько инцидентов, в том числе взлом учетной записи сервиса Vevo на YouTube, очередные обвинения РФ в кибератаках и таинственное исчезновение 438 биткойнов, принадлежащих клиентам индийской биржи Coinsecure. Подробнее об этих и других событиях в кратком обзоре. В начале прошлой недели хакеры взломали учетную запись музыкального видеохостинга Vevo на YouTube и осуществили дефейс видеороликов ряда исполнителей, в том числе Шакиры, Селены Гомез, Дрейка и Тейлор Свифт. Злоумышленники, именующие себя Prosox и Kuroi'sh, изменили названия и обложки клипов и в ряде случаев заменили некоторые названия видео своими сообщениями, включая собственные псевдонимы наряду с призывом к «освобождению Палестины». По признанию одного из хакеров, дефейс был осуществлен «просто ради веселья». Глава Федеральной службы защиты конституции Германии Ханс-Георг Маасен заявил о «высокой вероятности» причастности российских властей к кибератакам на компьютерные сети правительства ФРГ в декабре минувшего года. При этом чиновник заявил, что у немецких властей нет доказательств причастности к атаке русскоязычной хакерской группировки APT28 (она же Fancy Bear, Sofacy, Pawn Storm и Sednit), подозреваемой в нападении на компьютерные сети нижней палаты Германии в мае 2015 года. Как стало известно в конце прошлой недели, индийская криптовалютная биржа «потеряла» 438 биткойнов (свыше $3 млн), принадлежащих ее пользователям. Согласно пояснению представителей компании, директор по безопасности биржи Амитабх Саксена снял некую сумму с целью перевести деньги клиентам, но «в процессе они куда-то пропали». Инцидент произошел 9 апреля нынешнего года. Пользователи заподозрили неладное, когда сайт Coinsecure внезапно перестал работать, а затем биржа прекратила принимать депозиты, сославшись на установку обновлений. Эксперты компании Menlo Security обнаружили интересную кампанию по распространению вредоносного ПО для хищения паролей FormBook, нацеленную на сектор финансовых и информационных услуг на Ближнем Востоке и в США. Отличительной особенностью данной кампании является использование многоступенчатого метода заражения, не требующего активации макроса в документах Microsoft Word, через которые распространялся вредонос. На прошедшей неделе владельцы серверов, использующих хостинг-панель VestaCP, начали массово сообщать об атаках на свои серверы. Проэксплуатировав уязвимость в VestaCP, злоумышленники осуществляли DDoS-атаки с помощью взломанных виртуальных серверов, направляя на жертв большой поток трафика. Специалистам компаний Abuse.ch, BrillantIT и Proofpoint удалось перехватить контроль над управляющей инфраструктурой одной из крупных сетей дистрибуции вредоносного ПО EITest. В состав сети вошло свыше 52 тыс. зараженных серверов. Эксперты BrillantIT смогли раскрыть метод подключения инфицированных сайтов к управляющей инфраструктуре и перехватить домен stat-dns.com, что позволило им захватить контроль над всей операцией EITest. Ежедневно ботнет обрабатывал трафик с более чем 52 тыс. зараженных сайтов, в основном ресурсов на WordPress.
  21. Прошедшая неделя ознаменовалась рядом инцидентов в области безопасности, в числе которых сообщения об атаках на критическую инфраструктуру различных стран, появление нового IoT-ботнета, кибертака на сеть криптовалюты Verge, возможная утечка данных клиентов авиакомпании Delta Air Lines и пр. Об этих и других событиях в кратком обзоре. На минувшей неделе специалисты команды Cisco Talos предупредили об атаках на объекты критической инфраструктуры по всему миру с использованием уязвимости в сетевых коммутаторах Cisco с поддержкой технологии SMI (Smart Install). По мнению экспертов, некоторые из этих атак были проведены группировкой, известной как Dragonfly, Crouching Yeti и Energetic Bear. Первые случаи эксплуатации данной уязвимости были зафиксированы в феврале 2017 года. В пятницу, 6 апреля, хакерская группировка JHT атаковала критическую инфраструктуру ряда стран, включая Иран и Россию, что привело к сбою в работе некоторых интернет-провайдеров, дата-центров и нескольких web-сайтов. Хакеры перезаписывали образ системы Cisco IOS и меняли конфигурационный файл, оставляя в нем сообщение с текстом: «Don't mess with our elections....» (Не вмешивайтесь в наши выборы) и изображением американского флага. Свои действия представители группировки пояснили тем, что «устали от атак поддерживаемых государством хакеров на США и другие страны». 3 апреля в системе управления перелетами Европейской организации по безопасности воздушной навигации (Евроконтроля) произошел масштабный сбой, из-за которого значительное количество рейсов были задержаны. Причины сбоя Евроконтроль не пояснил. На минувшей неделе эксперты Recorded Future сообщили о появлении нового ботнета, состоящего из более чем 13 тыс. устройств, в том числе «умных» телевизоров, web-камер и маршрутизаторов (в основном производства латвийской компании MikroTik). Жертвами ботсети уже стали три финансовые компании. Ботнет является разновидностью IoTroop и используется для осуществления DDoS-атак на финансовые фирмы. Как отметили специалисты, это самая масштабная кибератака со времен атаки ботнета Mirai в сентябре 2016 года. 4 апреля сеть криптовалюты Verge (XVG) подверглась мощной кибератаке, повлекшей за собой проблемы с майнингом у большинства пользователей. Воспользовавшись ошибкой в коде криптовалюты, неизвестный хакер смог обойти ограничение на выпуск блока раз в 30 секунд и добавлять новый блок в сеть каждую секунду. По оценкам пользователей, за три часа злоумышленник смог добыть криптовалюту на сумму более $1 млн, однако разработчики опровергли данное предположение, заявив, что непосредственно в блокчейн попала лишь часть блоков. Крупный авиаперевозчик Delta Air Lines предупредил о возможной утечке небольшой части платежных данных своих клиентов. Информация могла оказаться в руках хакеров в результате атаки на электронные системы одного из партнеров компании в сентябре-октябре 2017 года.
  22. Прошедшая неделя ознаменовалась рядом громких событий: возвращением нашумевшего вымогательского ПО WannaCry, арестом предполагаемого лидера хакерской группировки Carbanak, утечкой данных 150 млн клиентов Under Armour, кибератакой на Антидопинговое агентство Великобритании и пр. Подробнее об этих и других инцидентах в кратком обзоре за период с 26 марта по 1 апреля 2018 года. 28 марта один из крупнейших мировых производителей авиационной, космической и военной техники Boeing стал жертвой кибератаки с использованием вымогательского ПО WannaCry, в 2017 году поразившего огромное количество компьютеров по всему миру. По словам представителей компании, атака затронула лишь небольшое количество систем, были приняты необходимые меры и проблем с производственными процессами или доставкой не возникло. Жертвой хакерской атаки стало и Антидопинговое агентство Великобритании (Ukad). Злоумышленники пытались получить доступ к результатам медосмотров и анализов на допинг звезд большого спорта, но безуспешно. По словам представителей агентства, преступникам не удалось похитить данные. В начале минувшей недели испанская полиция арестовала гражданина Украины, предположительно являющегося лидером киберпреступной группировки Carbanak, также известной как Anunak и Cobalt. Carbanak активна как минимум с 2013 года. С помощью вредоносного ПО Anunak киберпреступники атаковали электронные платежные системы и банки в 40 странах по всему миру. В 2016 году киберпреступники переключились с Anunak на более сложное ПО Carbanak, использовавшееся до 2016 года, а затем вооружились еще более усовершенствованным инструментом, созданным на основе программы для проведения тестов на проникновение Cobalt Strike. С помощью вредоносного ПО злоумышленники заставляли банкоматы выдавать наличные. Одновременно с известием об аресте предполагаемого лидера группировки Департамент киберполиции Украины сообщил об установлении личности еще одного участника Carbanak. Им оказался 30-летний житель Киева. Подозреваемый занимался разработкой и поддержкой используемых в атаках эксплойтов. Сотрудникам киберполиции удалось установить личности остальных участников группировки, в настоящее время они находятся на территории РФ. Американский производитель спортивной одежды Under Armour сообщил об утечке данных порядка 150 млн пользователей разработанного компанией фитнес-приложения MyFitnessPal. В руках у хакеров оказались имена пользователей, электронные адреса и пароли, хешированные с помощью bcrypt. Утечка не коснулась данных платежных карт, так как они собираются и обрабатываются отдельно от остальной информации. В конце прошлой недели эксперты «Лаборатории Касперского» сообщили о новой кампании по распространению банковского трояна Buhtrap через ряд крупных российских новостных сайтов. Названия ресурсов исследователи не раскрыли. По данным ЛК, большинство атакованных пользователей находились в России, попытки заражения были также зафиксированы в Украине и Казахстане. Эксперты в области безопасности сообщили о возросшей активности ботнета Hajime. Теперь ботсеть нацелена на массовое инфицирование устройств MikroTik. По подсчетам специалистов Qihoo 360 Netlab, Hajime провел свыше 860 тыс. сканирований на предмет открытых портов 8291, однако точное число успешных заражений исследователи затруднились назвать. Инфицирование происходит через известную уязвимость под названием Chimay Red в версии прошивки MikroTik RouterOS 6.38.4 и более ранних, позволяющую осуществить код и получить контроль над устройством. Ранее эксплоит Chimay Red входил в хакерский арсенал ЦРУ и был опубликован WikiLeaks в рамках проекта Vault 7.
  23. Кибератака на сайт Минобороны РФ, разоблачение СБУ «прокремлевской» хакерской группировки, утечка данных 880 тыс. клиентов турагентства Orbitz, новые кампании по добыче криптовалюты – об этих и других событиях прошедшей недели в кратком обзоре. На минувшей неделе сайт Министерства обороны РФ подвергся кибератакам во время проходившего на нем финального голосования за названия новейших отечественных вооружений. За день злоумышленники атаковали ресурс семь раз. Атаки осуществлялись с территории Западной Европы, Северной Америки и Украины. Все атаки были успешно отражены. 23 марта Служба безопасности Украины заявила о пресечении деятельности в Киеве «прокремлевской» хакерской группировки, организовывавшей кибератаки на объекты критической инфраструктуры, государственные и банковские организации страны. Согласно сообщению ведомства, преступники по «указу российских спецслужб» использовали так называемые «бот-фермы» для проведения специальных информационных операций против Украины. Пользователей сервиса Telegram захлестнула волна мошенничества с использованием приложения GetContact. С его помощью злоумышленники узнают имена своих жертв, а затем отправляют им сообщение якобы от заказного специалиста по «вскрытию мессенджеров». «Взломщик» сообщает, будто его наняли для взлома учетной записи жертвы, однако он вдруг проникся к ней симпатией и готов выдать своего заказчика. Правда, за это жертва должна выплатить ему небольшое вознаграждение. В надежде заработать киберпреступники продолжают проводить кампании по добыче цифровой валюты. В частности, злоумышленники взломали серверы компании Synopsys, владеющей сервисом Coverity Scan, который применяется десятками тысяч разработчиков для поиска и исправления ошибок в своих проектах, и использовали их для майнинга криптовалют. Исследователи Trend Micro обнаружили еще одну кампанию, в рамках которой киберпреступники распространяли майнер криптовалюты, эксплуатируя уязвимость CVE-2013-2618 в PHP-плагине Weathermap, используемом системными администраторам для визуализации сетевой активности. Данная уязвимость существует уже порядка 5 лет и для нее доступны соответствующие исправления, но, судя по всему, не все организации обновили свои системы. В ходе кампании злоумышленникам удалось добыть порядка $74 тыс. в криптовалюте Monero. На минувшей неделе стало известно об утечке данных 880 тыс. клиентов Orbitz - дочерней компанией американского туристического online-агентства Expedia. Хакеры получили доступ к данным, предоставленным клиентами во время осуществления определенных покупок в период с 1 января 2016 года по 22 декабря 2017 года. В их руках оказались как данные банковских карт, так и персональная информация клиентов компании. Как показывает практика, даже опытные хакеры не застрахованы от ошибок. Как утверждает издание The Daily Beast, экспертам в области кибербезопасности удалось вычислить хакера, использующего псевдоним Guccifer 2.0, который ранее взял на себя ответственность за взлом серверов Национального комитета Демократической партии США и передачу похищенных материалов WikiLeaks в июне 2016 года. Это стало возможно благодаря ошибке, допущенной Guccifer 2.0 – он забыл активировать свой VPN-клиент прежде, чем авторизоваться, и в результате оставил свой настоящий московский IP-адрес на сервере американской соцсети. Согласно источникам издания, хакер якобы является служащим ГРУ, работающим в главном здании спецслужбы на улице Гризодубовой в Москве. Однако настоящую личность Guccifer 2.0 источники не раскрыли.
  24. Скандал вокруг новых уязвимостей в процессорах AMD, официальное обвинение РФ в атаках на электростанции в США, а также заявление премьер-министра Великобритании Терезы Мэй о возможном принятии мер (в числе которых могут быть и кибератаки) в отношении России стали наиболее обсуждаемыми событиями на минувшей неделе. Кроме того, не обошлось без сообщений о новых майнинговых кампаниях и ботнетах. Об этих и других инцидентах в кратком обзоре за период с 12 по 18 марта 2018 года. Не успела слегка утихнуть шумиха вокруг проблем Spectre и Meltdown, как эксперты в области безопасности огорошили общественность известием об обнаружении похожих уязвимостей в процессорах AMD Ryzen и EPYC. Исследователи израильской компании CTS-Labs выявили в чипах 13 уязвимостей, позволяющих получить доступ к высокочувствительной информации и установить вредоносное ПО. При этом исследователи отступили от общепринятой практики и предоставили производителю всего 24 часа на изучение проблемы и выпуск соответствующих патчей, чем вызвали немалое возмущение сообщества, заподозрившего CTS-Labs в обмане. Специалисты компании Trail of Bits, проводившие независимую экспертизу уязвимостей в процессорах AMD, подтвердили , что они действительно существуют, однако представляют меньшую опасность по сравнению со Spectre и Meltdown, так как их эксплуатация - сложный многоступенчатый процесс, который под силу только государственным хакерам, обладающим временем и значительными ресурсами. На минувшей неделе Министерство внутренней безопасности США и Федеральное бюро расследований предупредили об атаках «русских хакеров» на американские правительственные и коммерческие организации, а также на объекты критической инфраструктуры. Согласно отчету, опубликованному на сайте Компьютерной группы реагирования на чрезвычайные ситуации США (US-CERT), «русские хакеры» атакуют американские электростанции и другие объекты критической инфраструктуры по крайней мере с марта 2016 года. При этом ведомства не привели в докладе ни названия пострадавших компаний, ни размер причиненного им ущерба. Премьер-министр Великобритании Тереза Мэй потребовала от России объяснений, каким образом на британскую территорию попало сильнодействующее химическое оружие, использовавшееся в покушении на убийство полковника ГРУ Сергея Скрипаля и его дочери Юлии в Солсбери. Мэй дала России 24 часа на предоставление объяснений, в противном случае Великобритания намерена предпринять соответствующие меры, которые также могут включать в себя кибератаки. Киберпреступники продолжают проводить кампании по добыче криптовалют. В частности, специалисты компании Imperva сообщили о вредоносной кампании, в ходе которой злоумышленники атакуют серверы с СУБД PostgreSQL, устанавливая на них майнеры криптовалюты Monero. В качестве «приманки» они используют изображение голливудской актрисы Скарлетт Йоханссон. Кроме того, исследователи из Avast зафиксировали необычную кампанию, в рамках которой злоумышленники используют копии проектов на портале для разработчиков GitHub для распространения майнера криптовалюты. В Сети замечен новый ботнет, состоящий из порядка 5 млн Android-устройств. Для создания ботсети злоумышленники применяют вредоносное ПО RottenSys. По скорости заражения RottenSys превосходит большинство вредоносных программ для Android-устройств. Этим вредонос обязан двум проектам с открытым исходным кодом, опубликованным на GitHub. Первый проект, Small, представляет собой фреймворк для виртуализации приложений, а второй, MarsDaemon, делает приложения «бессмертными». На прошедшей неделе эксперты Forcepoint зафиксировали новую вредоносную кампанию, нацеленную на организации по всему миру. В ходе атак злоумышленники используют новый опасный троян Qrypter. В общей сложности исследователи выявили три таких кампании, затронувшие 243 организации по всему миру. Qrypter предоставляет злоумышленникам широкий спектр возможностей, в том числе подключение к удаленному рабочему столу, доступ к web-камерам, манипулирование файловой системой, установка дополнительных файлов и управление диспетчером задач. Авторы трояна предлагают вредонос в рамках модели «вредоносное-ПО-как-услуга» (Malware-as-a-Service, MaaS). Стоимость месячной аренды составляет $80. В качестве возможных способов оплаты указаны PerfectMoney, Bitcoin-Cash и Bitcoin. Помимо этого, можно приобрести трехмесячную или годовую подписку по сниженной цене.
  25. Прошедшая неделя запомнится рядом инцидентов, в числе которых очередная рекордная DDoS-атака, масштабная майнинговая кампания, затронувшая российских пользователей, а также уязвимость в агенте передачи сообщений Exim, поставившая под угрозу более полумиллиона почтовых серверов. Предлагаем вашему вниманию краткий обзор наиболее значимых событий за период с 5 по 11 марта 2018 года. Злоумышленники продолжают активно проводить мощные DDoS-атаки с применением метода Memcrashed, предполагающего использование доступных в Сети серверов memcached. В начале марта портал для разработчиков GitHub подвергся рекордной по мощности атаке (1,3 ТБ/с на пике), однако спустя четыре дня рекорд был побит. В этот раз жертвой злоумышленников стал один из американских сервис-провайдеров. По данным экспертов компании Arbor Networks, пиковая мощность данной атаки составляла 1,7 ТБ/с. Согласно прогнозам специалистов Qihoo 360, такими темпами мощность DDoS-атак с использованием memcached вскоре достигнет 2 ТБ/с. Более того, в Сети уже опубликованы PoC-коды для запуска масштабных DDoS-атак с использованием серверов memcached. Первая утилита представляет собой скрипт на Python под названием Memcacrashed.py, сканирующий Shodan в поисках IP-адресов уязвимых серверов memcached и позволяющий в считанные секунды осуществлять DDoS-атаки на выбранную цель. Второй PoC-код написан на C, к нему также прилагается список из 17 тыс. IP-адресов уязвимых серверов memcached. С помощью инструмента злоумышленник может осуществить DDoS-атаку на целевой объект, используя для усиления ее мощности серверы memcached из прилагаемого перечня. На прошлой неделе компания Microsoft сообщила о масштабной майнинговой кампании, в основном затронувшей пользователей из России, Турции и Украины. В рамках кампании злоумышленники распространяли ряд троянов семейства Dofoil (также известно как Smoke Loader), загружавших на компьютер жертвы программу для майнинга криптовалюты. Проанализированные экспертами образцы использовались для добычи Electroneum, но, судя по всему, майнер может добывать и другую криптовалюту. На минувшей неделе исследователь безопасности Мех Чан сообщил об опасной уязвимости в агенте передачи сообщений Exim, используемом в операционных системах семейства Unix, поставившей под угрозу более 500 тыс. почтовых серверов. Уязвимость представляет собой однобайтовое переполнение буфера в функции декодирования base64 и позволяет злоумышленнику обмануть сервер Exim и выполнить вредоносные команды до того, как атакующему потребуется авторизоваться на сервере. Ажиотаж вокруг криптовалют не утихает вот уже на протяжении нескольких месяцев, и киберпреступники не гнушаются использовать различные методы для их добычи. В частности, эксперты IBM обнаружили модификацию банковского трояна TrickBot, подменяющего адрес криптовалютного кошелька жертвы на адрес кошелька злоумышленника, и таким образом ворующего средства пользователей. Майнеры криптовалюты стали более агрессивными. К примеру, исследователь безопасности Ксавье Мертенс обнаружил скрипт Powershell, который не только загружает программу для добычи криптовалюты, но также ищет и «устраняет» майнеров-конкурентов на устройстве пользователя.
×
×
  • Создать...