"Мир интернета"

[душман]

В России почти все пункты коллективного доступа в интернет закроются к концу 2016 г.

Почти все пункты коллективного доступа в интернет (ПКД) прекратят свою работу к концу 2016 года из-за недостатка финансирования программы по устранению цифрового неравенства (УЦН).

Об этом заявил сегодня министр связи и массовых коммуникаций РФ Николай Никифоров.
"Думаю, что в связи с недостатком финансирования фактически ПКД к концу 2016 года почти везде прекратят работу", - сказал он, уточнив, что решение по каждому пункту принимается "по сути, индивидуально".
Глава Минкомсвязи пояснил, что ПКД останутся только в совсем маленьких населенных пунктах, где нет других способов связи.

[душман]

Хакер из США атаковал сайт российского МИДа

В пятницу, 21 октября, американский хакер The Jester заявил об успешной атаке на сайт Министерства иностранных дел РФ.

Как сообщает CNN, атака была осуществлена в ответ на масштабный DDoS на американскую компанию Dyn. Напомним, в результате инцидента пользователям в США стали недоступны такие популярные ресурсы, как Twitter, GitHub, Pinterest и пр.
The Jester осуществил дефейс сайта МИДа, оставив следующее послание: «Товарищи! Мы прерываем работу сайта Министерства иностранных дел, чтобы донести до вас важное сообщение. Завязывайте. Вы можете помыкать соседними государствами, но это Америка. Вы никого не впечатлили. Давайте проясним: я знаю, что это вы, даже если через прокси, и вы знаете, что это вы».
Сообщение сопровождалось звуковым сигналом, как правило, используемым вещательными компаниями для предупреждения о стихийных бедствиях.По словам официального представителя МИДа Марии Захаровой, хакер действительно взломал сайт министерства, но не действующий, а старый. Актуальный ресурс работал и продолжает работать в штатном режиме. Госдеп США отказался комментировать инцидент.

[душман]

Обзор инцидентов безопасности за прошлую неделю

Самым громким инцидентом безопасности на прошлой неделе стала DDoS-атака на американского DNS-провайдера Dyn, в результате которой жители Восточного побережья США на пару часов лишились доступа к самым популярным сайтам.

Особого внимания также заслуживают утечка данных 43 млн пользователей сервиса Weebly, новый опасный червь для IoT-устройств Hajime, эксплоит, разработанный APT-группой Fancy Bear, и пр. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 17 по 23 октября 2016 года.
Как уже упоминалось, большой резонанс вызвала DDoS-атака на инфраструктуру Managed DNS крупного DNS-провайдера Dyn. В результате инцидента жители США лишились доступа к таким популярным сайтам, как GitHub, Pinterest и многим другим. Ответственность за инцидент взяла на себя хакерская группировка NewWorldHackers, действующая совместно с активистами Anonymous. Целью атаки стала демонстрация российскому правительству возможностей хакеров.
Будучи уверенным в том, что за DDoS-атакой на компанию Dyn стоят русские, американский хакер The Jester заявил об атаке на сайт Министерства иностранных дел РФ. По словам официального представителя МИДа Марии Захаровой, злоумышленник действительно атаковал ресурс министерства. Однако это оказался старый и уже неиспользуемый сайт, тогда как действующий продолжал работать в штатном режиме.
Начало прошлой недели ознаменовалось сообщением о появлении нового варианта банковского трояна Acecard для Android-устройств. Как сообщают эксперты McAfee Labs, вредонос маскируется под Adobe Flash Player, видео-приложение «для взрослых» или кодек/плагин, необходимый для просмотра видео. Троян не просто похищает данные платежных карт, а просит пользователя сделать селфи с удостоверением личности.
Еще об одном вредоносном ПО, предназначенном для похищения данных платежных карт, рассказали эксперты ИБ-компании Sucuri. Вредонос заражает сайты на платформе Magento и использует стеганографию для хранения похищенной информации.
По данным исследователей компании Palo Alto Networks, в арсенале APT-группы Fancy Bear (она же Sofacy, APT28, Sednit, Pawn Storm и Strontium) появился новый набор инструментов, применявшийся в атаках на протяжении прошлого лета.
Другая APT-группа, FruityArmor, эксплуатировала уязвимость в Windows (CVE-2016-3393), исправленную в октябре текущего года. Жертвами хакеров становились исследователи, активисты и лица, связанные с правительственными организациями, в Таиланде, Саудовской Аравии, Иране, Йемене, Алжире и Швеции.
На прошлой неделе не обошлось и без утечек данных. На этот раз пострадали 43 млн пользователей бесплатного сервиса по созданию web-сайтов Weebly. В результате инцидента злоумышленники похитили электронные адреса и/или логины, IP-адреса и хеши паролей (зашифрованные с помощью bcrypt) пользователей.
Ресурс WikiLeaks обнародовал часть переписки президента США Барака Обамы. Согласно сообщению организации, это всего лишь первая часть массива электронных писем главы государства. Опубликованная корреспонденция относится к октябрю-ноябрю 2008 года, до избрания Обамы на пост президента.
Исследователи безопасности из компании Rapidity Networks Сэм Эдвардс и Иоаннис Профетис обнаружили новый червь для устройств «Интернета вещей» (IoT) Hajime. Вредонос действует подобно известному трояну Mirai, однако является гораздо более сложным.

[душман]

«ВКонтакте» открыл доступ к платформе приложений сообществ

«ВКонтакте» объявил об открытии доступа к платформе приложений сообществ, работающих внутри социальной сети и расширяющих функциональность групп, публичных страниц и встреч.

Как рассказали в компании, администраторы сообществ могут подключить приложения для любых услуг: покупка товаров, регистрация на мероприятие, запись к врачу или в салон красоты, бронирование столика в ресторане, прохождение опроса.
Для подключения приложений не требуется технических навыков: их можно выбрать в каталоге в настройках управления сообществом и установить в несколько кликов. Кроме того, сообщества могут разрабатывать собственные приложения с уникальным набором функций.
Максим Павлов, руководитель продукта «Приложения» «ВКонтакте», отметил: «Теперь сообщества "ВКонтакте" смогут стать полноценной заменой сайтам и мобильным приложениям, ведь их возможности не ограничены. Платформа полностью открыта для всех, мы призываем разработчиков придумывать новые форматы и реализовывать самые смелые идеи».
Сейчас можно ознакомиться с приложениями в сообществах издания Meduza, мужской парикмахерской «Дядя», фестиваля «Старкон». Кнопка для запуска отображается в блоке основной информации о сообществе. Администраторы могут изменить текст кнопки (например, «Купить», «Записаться на приём», «Забронировать стол») и настроить её приватность.
Игорь Пылаев, генеральный продюсер фестиваля «Старкон», сказал: «Сейчас компаниям важно иметь возможность предоставлять различные услуги в одном месте: общаться с клиентами, сообщать о новостях, продавать свои продукты. После появления приложений сообществ ВКонтакте посетители наших мероприятий могут покупать входные билеты, не покидая социальной сети.
Это экономит время и повышает безопасность личных данных: не нужно переходить на другие сайты или открывать мобильные приложения. Нам, организаторам мероприятий, теперь будет проще работать с аудиторией и эффективнее мотивировать клиентов к покупке билетов».
Приложения и игры «ВКонтакте» впервые появились в 2009 г. В 2016 г. команда социальной сети запустила несколько бизнес-инструментов: сообщения сообществ на внешних сайтах, прямые короткие ссылки для сообщений vk.me, скрытые рекламные записи. В 2015 г. все сообщества получили возможность общаться с клиентами в личной переписке с помощью сервиса «Сообщения сообществ».

[душман]

Правообладатели хотят лишить пиратские сайты главного источника дохода

Ассоциация продюсеров кино и телевидения (АПКиТ) выступила с предложением обязать владельцев сайтов регистрировать в России юрлица и привязывать к ним интернет-адреса, включая их в государственный реестр юридических лиц (ЕГРЮЛ).

На ресурсах, не внесенных в перечень, предлагается запретить размещение рекламы. По мнению экспертов, данная мера лишит возможности получать доход от рекламы не только пиратские, но и все зарубежные сайты.
Как рассказал юридический советник АПКиТ Сергей Семенов, размещение рекламы на сайте, не зарегистрированном как юрлицо или индивидуальный предприниматель, занимающийся коммерческой деятельностью в России, является незаконным.
Представители ассоциации направили предложение в Минкультуры РФ. Как заявили в министерстве, это один из возможных вариантов решения проблемы, связанный с размещением рекламы на пиратских сайтах. В настоящее время ведомство рассматривает несколько способов пресечения возможности размещения рекламы на уже заблокированных страницах.
По словам руководителя ассоциации защиты авторских прав в интернете (АЗАПИ) Максима Рябыко, реклама является для пиратских сайтов (которые никогда не оформляются на юрлица в целях сохранения анонимности) ключевым источником дохода. Как отметил глава АЗАПИ, зарегистрированное в России юрлицо можно привлечь к ответственности за публикацию пиратского контента, в том числе уголовной (по ст. 146 УК РФ «нарушение авторских и смежных прав»).
Реализация предложенной АПКиТ инициативы может повлечь за собой лишение рекламодателей возможности размещать рекламные объявления на зарубежных сайтах и, как следствие, потенциальному ограничению рынка, говорит Рябыко. Как пояснил Семенов, ассоциация не рассматривала воздействие поправок на иностранные ресурсы.

[душман]

Новое поколение Eset NOD32 обеспечивает безопасность интернета вещей

Компания Eset представила новое поколение персональных продуктов Eset NOD32.

В решениях внедрены новые модули для безопасности интернета вещей — веб-камеры и Wi-Fi-роутера, к которому подключены все домашние устройства. Предусмотрена функция защиты от программ-вымогателей, сообщили сегодня в Eset.По данным TNS Web Index, 84% российских пользователей выходят в Сеть больше чем с одного устройства. Они могут использовать домашний компьютер «в паре» с планшетом или смартфоном, подключаясь к интернету при помощи личного Wi-Fi-роутера. При этом, по статистике Eset, роутеры потенциально опасны — на 15% установлены простейшие пароли, а 7% имеют уязвимости программного обеспечения.
Чтобы обеспечить безопасность всех устройств, подключенных к домашнему Wi-Fi, Eset разработала модуль «Защита домашней сети». Он позволяет проверить роутер на предмет слабых паролей и «дыр» в прошивке и предлагает способы решения проблемы. Полная проверка включает поиск известных уязвимостей и анализ настроек. Кроме того, пользователь может посмотреть список подключенных к роутеру устройств, чтобы убедиться в отсутствии посторонних.
Функция «Защита веб-камеры» контролирует процессы и приложения, которые пытаются получить доступ к веб-камере компьютера. Когда какое-либо приложение «заинтересуется» камерой, пользователь увидит соответствующее предупреждение.
Как выяснила Eset, 78% российских пользователей уже сталкивались с шифраторами. Эти вредоносные программы шифруют личные файлы пользователя и выводят на экран требование выкупа за восстановление доступа к данным.
Новая функция «Защита от программ-вымогателей» в Eset NOD32 следит за приложениями и процессами, которые пытаются изменить данные пользователя. Если программа демонстрирует признаки злонамеренного поведения, функция блокирует ее или предлагает пользователю принять решение о блокировке, рассказали в компании.
Новые функции безопасности и зарекомендовавшие себя технологии реализованы в комплексном решении Eset NOD32 Smart Security Family для защиты всех устройств и домашней сети.

[душман]

Мошенники пытаются заработать на фальшивом антивирусе Microsoft

Изобретательность мошенников в том, что касается возможностей заработка не стоит на месте.

Специалисты Microsoft предупредили о новой схеме обмана, в ходе которой злоумышленники распространяют фальшивый антивирус Microsoft Security Essentials (детектируется как SupportScam:MSIL/Hicurdismos.A) c целью выманивания денег у жертв.
Подделка предназначена для компьютеров на базе Windows 8 и Windows 10, тогда как оригинальный пакет может быть установлен только на машины под управлением Windows 7 (версии Windows 8 и Windows 10 поставляются с предустановленным Windows Defender).
После установки на компьютере фальшивый антивирус генерирует «синий экран смерти» с контактным номером телефона, позвонив по которому жертва за определенную плату якобы может получить услуги по ремонту. Отметим, Microsoft никогда не включает подобную информация в сообщения об ошибках.
Как поясняют эксперты Microsoft, звонок в «службу техподдержки» не только не избавит пользователя от «синего экрана смерти», но и может привести к загрузке дополнительного вредоносного ПО под видом инструментов для решения проблемы.
Существует несколько способов отличить поддельное решение от оригинального пакета. Прежде всего, фальшивка использует файл загрузки с именем setup.exe. Во-вторых, в свойствах файла фигурирует не Microsoft, а неизвестный издатель.

[душман]

Adobe выпустила экстренный патч для 0day-уязвимости в Flash Player

Компания Adobe Systems выпустила внеплановое обновление безопасности, устраняющее критическую уязвимость в плагине Adobe Flash Player.

Проблема, получившая идентификатор CVE-2016-7855, позволяет атакующему получить полный контроль над целевой системой.Уязвимость затрагивает следующие продукты: Adobe Flash Player Desktop Runtime (версия 23.0.0.185 и ниже), Adobe Flash Player для Google Chrome (версия 23.0.0.185 и ниже), Adobe Flash Player для Microsoft Edge и Internet Explorer 11(версии 23.0.0.185 и ниже), Adobe Flash Player для Linux (версия 11.2.202.637 и ниже).По данным производителя, данная уязвимость активно эксплуатируется злоумышленниками в целевых атаках на системы под управлением Windows 7, 8.1 и 10. Компния рекомендует всем пользователям применить свежие обновления как можно скорее.Как ранее стало известно, в арсенале специализирующейся на кибершпионаже группировки Fancy Bear появилась новая эксплоит-платформа DealersChoice, позволяющая хакерам эксплуатировать уязвимости в Adobe Flash.

[душман]

Новый PT Application Firewall блокирует атаки на VMware и защищает от «умных» ботов

Компания Positive Technologies объявила о выходе нового релиза межсетевого экрана прикладного уровня PT Application Firewall.

Среди ключевых изменений версии 3.4 — поддержка платформы виртуализации VMware vSphere, оптимизированные механизмы выявления вредоносных ботов (простых и продвинутых), визуализации и формирование отчетов по расписанию, сообщили сегодня в Positive Technologies.
«Новая версия PT Application Firewall точнее выявляет угрозы в отношении веб-приложений и стала удобнее для пользователей, — рассказал Олег Матыков, руководитель направления развития продуктов для защиты приложений и промышленных сетей. Например, функция “удаленный помощник” позволяет запрашивать помощь в службе технической поддержки Positive Technologies при настройке или решении других вопросов.
Интеграция со шлюзами безопасности Check Point дает возможность передать информацию о нарушителе с PT Application Firewall на межсетевой экран Check Point и заблокировать атакующему доступ ко всем ресурсам сети. Начиная с версии 3.4 продукт поддерживает автоматические обновления и установку специальных расширений, включая профили безопасности SAP и VMware».
В 2016 г. исследовательский центр Positive Technologies обнаружил ряд критически опасных недостатков в специализированном веб-клиенте, предназначенном для администрирования VMware vSphere. Новая редакция PT Application Firewall блокирует атаки с использованием обнаруженных уязвимостей (сейчас они устраняются специалистами компании-производителя) и защищает от других брешей в защите, уже опубликованных на официальном сайте VMware, указали в компании.
«Получив привилегии администратора в незащищенной версии веб-клиента VMware vCenter Server, нарушитель может захватить контроль над всей виртуальной средой предприятия, — сообщил Арсений Реутов, руководитель группы исследований в сфере защиты приложений Positive Technologies.Для перехвата доступа к виртуальным машинам достаточно выполнить межсайтовый скриптинг, с помощью социальной инженерии заманив администратора веб-клиента на вредоносную веб-страницу и перехватив идентификаторы сессии.
Из корпоративной сети веб-клиент может быть атакован при эксплуатации таких серверных уязвимостей, как XXE (атака на приложения с небезопасно настроенным XML-парсером)».
Возможности PT Application Firewall 3.4 особенно важны для компаний, использующих версии веб-клиента на базе технологий Flash и AMF. Профиль безопасности для VMware будет поддерживаться в актуальном состоянии и автоматически обновляться исследовательским центром Positive Technologies.
С помощью вредоносных программ-ботов злоумышленники могут автоматизировать поиск уязвимостей на сайтах организации или копировать содержимое веб-ресурсов. Новая версия PT Application Firewall позволяет обнаружить и заблокировать практически все известные инструменты сканирования и копирования контента сайтов.
«Простые боты не исполняют JavaScript-код, не двигают мышью при переходе между страницами и не выполняют запросы в браузере так, как это делают пользователи. Это и позволяет их обнаружить и нейтрализовать, — пояснил Дмитрий Нагибин, руководитель группы разработки средств защиты приложений Positive Technologies. Для более продвинутых ботов, которые эмулируют действия человека в браузере, в PT Application Firewall добавлены механизмы проверки, анализирующие поведение мыши.
Например, если для нажатия на ссылку мышь не перемещается (и при этом используется не мобильное устройство), межсетевой экран прикладного уровня сочтет и активность, и пользователя подозрительными».
Кроме того, в новой версии межсетевого экрана доработана отчетность и расширены механизмы визуализации. Теперь отчеты могут формироваться по расписанию, с адаптацией для руководства или для ИТ-специалистов, с графиками, отображающими распределение атак по времени, типам, уровню опасности, источникам и другим параметрам.
Планы Positive Technologies предусматривают выпуск еще двух релизов PT Application Firewall до конца 2016 г.

[душман]

Eset представила новую систему лицензирования продуктов для домашних пользователей

Компания Eset представила новую, более простую систему лицензирования персональных антивирусных продуктов.

Система отвечает потребностям самых разных категорий клиентов — начинающих, активных и продвинутых пользователей ПК и мобильных гаджетов, сообщили в Eset.
Действующие пользователи Eset NOD32 Smart Security могут бесплатно перейти на решение для комплексной защиты всех устройств и домашней сети — Eset NOD32 Smart Security Family. Лицензия позволит защитить компьютеры, смартфоны и планшеты на любой операционной системе — Windows, macOS, Android, Linux, до пяти устройств в любом сочетании.
В состав решения входит мобильное приложение для защиты детей Eset NOD32 Parental Control для Android.
Для полной защиты ПК на базе Windows предназначен новый антивирусный продукт Eset NOD32 Internet Security. Помимо базового функционала, он поддерживает новые модули «Защита веб-камеры», «Защита домашней сети» и «Защита от программ-вымогателей», обеспечивает безопасность банковских платежей и предотвращает сетевые атаки.
Продукт также включает технологию персонального файервола и функцию родительского контроля.
Базовую защиту компьютера от всех видов вирусных угроз и атак хакеров, как и прежде, обеспечивает «Eset NOD32 Антивирус». Продукт включает передовые технологии безопасности, обеспечивает защиту от скрипт-атак и троянов-шифраторов. Благодаря игровому режиму он обеспечивает высокую скорость работы даже во время игр и просмотра фильмов, подчеркнули в компании. Продукт полностью совместим с Windows 10.

[душман]

ФСО РФ утвердила Положение о государственном сегменте интернета

Федеральная служба охраны утвердила положение о российском государственном сегменте интернета, разработанного в соответствии с указом президента РФ от 22 мая 2015 года «О некоторых вопросах информационной безопасности Российской Федерации».

Речь идет о документе, предполагающем создание отдельного государственного сегмента сети Интернет под названием RSNet на базе ресурсов ФСО и подключение к нему госструктур и подведомственных им организаций.
Оператором RSNet является Служба специальной связи и информации ФСО России. Согласно Положению, оператор взаимодействует с частными интернет-провайдерами, с госорганами, использующими и публикующими в Сети свою информацию, а также с организациями, работающими на основе государственно-частного партнерства, специализирующимися на развитии сервисов сети и обеспечении безопасности данных.
Для подключения к интернету через RSNet государственный орган должен подать соответствующее обращение оператору сети и заключить соглашение. В данном договоре прописываются технические условия подключения. В частности, технологическая площадка, тип канала связи, скрость передачи данных и требования по защите информации.
До конца текущего года планируется создать 35 узлов сети RSNet и 5 защищенных региональных центров обработки данных. Как предполагается, данная мера повысит безопасность информации о россиянах, содержащейся в базах данных государственных органов.

[душман]

Красный Крест слил в Сеть интимные данные 550 тыс. доноров

Австралийский Красный Крест из-за ошибки сотрудника выложил в общий доступ персональные и медицинские данные 550 тыс. доноров крови.

Они содержались в резервной копии базы веб-приложения для регистрации. Красный Крест срочно меняет схему работы с донорами.
Австралийский Красный Крест нечаянно выложил в общий доступ персональные данные 550 тыс. доноров крови, с которыми работал с 2010 г. по 2016 г. Утечку информации обнаружил эксперт по информационной безопасности Трой Хант, который ведет сервис сообщений о взломе «Have I been pwned» («Я был взломан»). Хант сообщает, что это самая крупная непреднамеренная утечка данных в истории Австралии.
Ставшая публичной информация включает в себя имена доноров, их пол, адреса, номера телефонов, даты рождения, группы крови, медицинские показатели и даже ответы на интимные вопросы, такие как наличие опасных половых контактов в течение последних 12 месяцев. Красный Крест утверждает, что утечка произошла в результате ошибки сотрудника, а не хакерской атаки.
Обнародованная информация содержалась в резервной копии базы данных приложения для онлайн-регистрации доноров. База относится к системе MySQL и весит 1,74 ГБ. В ней насчитывается 647 таблиц. Та из них, где содержатся данные о донорах, состоит из 1,3 млн строк. Хант сообщил, что база данных была предоставлена ему третьим лицом, но не уточнил, кем именно. В ходе верификации базы он нашел там данные о себе и о своей жене.
В сумме база данных содержит ответы на 7,34 млн вопросов, заданных донорам об их здоровье. В их число входят вопросы, не принимает ли донор антибиотики, не страдает ли он от избыточного или недостаточного веса, были ли у него в последнее время хирургические операции. Некоторые вопросы касаются личной жизни. Также в базе есть даты прошлых и будущих визитов доноров в Красный Крест.
Медицинская организация сообщает, что анкета, использованная для сбора этой информации, не содержала более интимных вопросов или каких-то специфических медицинских подробностей, например, результатов тестов.
Красный Крест заявил, что база попала в общий доступ по ошибке сотрудника, который ее скопировал во время сканирования системы на уязвимость. Через некоторое время этот сотрудник, хоть и опосредованно, связался с австралийской группой реагирования на киберугрозы AusCERT и сообщил об инциденте.
Красный Крест принес донорам официальные извинения на пресс-конференции в Австралии. Специалисты по кибербезопасности, с которыми сотрудничает организация, заверили руководство, что риск использования данных злоумышленниками достаточно низок. Тем не менее, Крест собирается связаться со всеми донорами, которые проходили онлайн-регистрацию, и предупредить их о возможности утечки данных в дальнейшем.В планах также создание горячей линии информирования по вопросам приватности.

[душман]

Роскомнадзор потребовал запретить доступ к LinkedIn в России

Роскомнадзор потребовал ограничить доступ к крупнейшей деловой соцсети LinkedIn в связи с нарушением закона «О персональных данных».

LinkedIn не перенесла серверы в Россию, как того требует законодательство. Кроме того, сервис собирает и передает информацию о гражданах, не являющихся подписчиками сети, без их согласия. Так как LinkedIn не имеет своего представительства в России, Роскомнадзор обратился в суд с требованием ограничить доступ к ресурсу на территории страны.
Согласно иску надзорной службы, сбор и передача данных россиян является нарушением закона «О персональных данных», «права и свободы человека и гражданина, в том числе права на неприкосновенность его частной жизни, личную и семейную тайну». Как считают в Роскомнадзоре, деятельность компании LinkedIn Corporation не соответствует ч. 1 ст. 6 и ч. 5 ст. 18 закона «О персональных данных».
В связи с этим, ведомство потребовало признать деятельность компании незаконной и запретить доступ к ресурсу.
4 августа нынешнего года Таганский суд Москвы вынес соответствующий вердикт по иску, обязав Роскомнадзор принять меры по ограничению доступа к сайту и внести его в реестр нарушителей прав субъектов персональных данных.
Данное постановление пока не вступило в силу. В настоящее время юристы LinkedIn пытаются оспорить решение в Мосгорсуде.

[душман]

Хакеры шпионят за японскими организациями

Эксперты компании Trend Micro зафиксировали новую волну атак в рамках кампании по кибершпионажу Blackgear.

Если ранее злоумышленников интересовали цели на Тайвани, то сейчас их внимание переключилось на японские компании.Для инфицирования систем целевых организаций преступники используют фишинговую рассылку или скомпрометированные интернет-ресурсы, применяющиеся для доставки вредоносных документов и дропперов, загружающих на компьютеры пользователей бэкдоры Elirks и Ymalr.
В качестве управляющих серверов оба вредоноса используют инфраструктуру расположенных в Японии сервисов микроблогов. Такая тактика позволяет атакующим скрыть настоящее местоположение C&C-сервера и легко сменить его путем изменения информации в сообщениях.
В августе текущего года специалисты Symantec сообщили о специализирующейся в области кибершпионажа группировке Strider, которой удавалось скрывать свое существование в течение пяти лет. Целевыми для злоумышленников являются объекты в России, Китае, Швеции и Бельгии.В ходе атак хакеры используют сложное вредоносное ПО Remsec.

[душман]

Число вредоносных ссылок в выдаче поисковиков возросло в 6 раз

Несмотря на все усилия Google и других IT-компаний по исключению вредоносных результатов из выдачи поисковых систем, число подобных ссылок значительно растет.

За последние три года их количество увеличилось в шесть раз. Таковы результаты исследования, проведенного независимой организацией AV-TEST.org.
В рамках исследования специалисты проверяли ссылки на сайты, отображающиеся в поисковой выдаче систем Google, Bing, Yandex и Faroo. Кроме того, за последние два года было проанализировано более 515 млн апдейтов Twitter на предмет наличия вредоносных ссылок.
В прошлом году AV-TEST.org проверила 80 млн сайтов и обнаружила 18 280 вредоносных интернет-страниц. В этом году специалисты выявили уже 29 632 инфицированные страницы. Анализ проводился без использования сервиса Google Safe Browsing, предназначенного для обнаружения небезопасных web-ресурсов.
Для сравнения, в 2013 году специалисты выявили только 5 060 вредоносных страниц.Для составления более точной картины эксперты посетили вредоносные страницы, используя Google Safe Browsing. Результаты оказались неутешительными - из 29 632 случаев система выдала соответствующие предупреждения только в 1 337.
По мнению эксперта AV-TEST.org Маика Моргенстерна, причина такого расхождения может заключаться в динамическом контенте, размещаемом на сайтах.
«Вполне возможно, что в момент анализа на сайте размещались вредоносные рекламные объявления, которые меняются каждый раз, когда посетитель заходит на ресурс. Web-сайт может показывать разный контент в случайном порядке или в зависимости от местоположения пользователя.
Кроме того, мне не известно, с каким интервалом Google/Bing проводят сканирование сайтов на предмет вредоносного ПО. Всегда существуют периоды, когда вредоносные программы могут находиться на сайте без ведома Google/Bing. Также не исключено, что контент, помеченный нами как вредоносный, Google/Bing не считают таковым», - пояснил Моргенстерн.

[душман]

Обзор инцидентов безопасности за прошлую неделю

Самым громким событием прошедшей недели стал предполагаемый взлом электронной почты помощника российского президента Владислава Суркова.

Большой резонанс также вызвали требование Роскомнадзора ограничить доступ к LinkedIn, утечка программных продуктов Cellebrite, атака AtomBombing и пр. Предлагаем ознакомиться с кратким обзором инцидентов безопасности за период с 24 по 30 октября 2016 года.
Хакеры из группировки «КиберХунта» заявили о получении доступа к переписке помощника президента России Владислава Суркова, в которой идет речь о досрочных президентских и парламентских выборах в Украине. Советник главы МВД Украины Антон Геращенко и Служба безопасности Украины подтвердили подлинность опубликованных документов. Тем не менее, в Администрации президента Владимира Путина считают письма подделкой.
Как пояснил пресс-секретарь главы государства Дмитрий Песков, Сурков не использует электронную почту ни в служебных, ни в личных целях.
В начале текущего месяца американское правительство обвинило Россию во взломе серверов Демократической партии США. Тем не менее, русские – не единственных хакеры, которых опасается Пентагон. Согласно докладу конгресса США, китайские киберпреступники неоднократно проникали в сети структур, отвечающих за национальную безопасность. В частности они похитили план действий США на случай войны с Китаем.
Япония также стала жертвой кибершпионажа. По данным экспертов из Trend Micro, японские компании атакуют хакеры из BLACKGEAR, много лет донимавшие пользователей в Тайване.
Как уже упоминалось выше, Роскомнадзор потребовал ограничить доступ к крупнейшей деловой соцсети LinkedIn. Причиной послужило нарушение ресурсом российского закона «О персональных данных». Согласно закону, LinkedIn была обязана перенести свои серверы в Россию, однако компания так этого и не сделала. В настоящее время юристы LinkedIn пытаются оспорить решение в Мосгорсуде.
Как стало известно на прошлой неделе, компания McSira Professional Solutions продает на своем сайте программы израильского производителя Cellebrite, обеспечивающего спецслужбы по всему миру инструментами для взлома смартфонов. Несмотря на то, что для запуска ПО нужен ключ активации, некоторым ИБ-экспертам уже удалось успешно взломать программы и протестировать их на мобильных устройствах.
Похоже, ни одна неделя не обходится без сообщений о новых версиях вредоносного ПО для Android-устройств. Эксперты компании Symantec рассказали о новой технике, позволяющей вымогательской программе Android.Lockscreen запускаться после каждой перезагрузки системы. С целью получить персистентность на устройстве вредонос маскируется под лаунчер.
Исследователи из IBM X-Force сообщили о новой версии известного банковского трояна GM Bot, способной обходить механизмы защиты Android Marshmallow. Вредонос использует тактику наложения поддельного контента поверх интерфейса работающих приложений.
Специалисты компании Netskope представили подробный отчет о вредоносном ПО CloudFanta, с июля текущего года похитившем учетные данные свыше 26 тыс. пользователей. Программа распространяется с помощью фишинговых писем, содержащих вредоносное вложение или ссылку. Для хранения вредоносных файлов злоумышленники используют облачные сервисы Sugarsync и Dropbox.
Новый метод внедрения вредоносного кода в легитимные процессы Windows обнаружили эксперты компании enSilo. Техника, получившая название AtomBombing, основана на использовании таблиц атомов, в которых Windows хранит идентификаторы и строковые переменные для поддержки функций других приложений.
По данным Corero Network Security, злоумышленники, специализирующиеся на DDoS-атаках, взяли на вооружение еще один популярный протокол. Речь идет о Lightweight Directory Access Protocol (LDAP) – протоколе, использующемся для доступа к логинам и паролям в базах данных наподобие Active Directory и интегрированном со многими online-сервисами.

[душман]

Вредонос Linux/IRCTelnet способен совершать DDoS-атаки на сети IPv6

Исследователь безопасности под псевдонимом Malware Must Die обнаружил новое вредоносное ПО в формате ELF, способное атаковать устройства из сферы «Интернета вещей» (IoT), использующие протоколы Telnet и IRC.

Вредонос, получивший название Linux/IRCTelnet, может осуществлять DDoS-атаки на сети IPv4 и IPv6 (в том числе подменять IP-адреса для усложнения обнаружения источника атаки), а также вызывать отказ в обслуживании, используя методы UDP flood, TCP flood и другие.
По словам эксперта, вредоносная программа разработана на основе старых кодов ботнета Aidra. Судя по некоторым признакам, автором вредоноса является вирусописатель из Италии. Первые атаки с применением данного вредоноса были зафиксированы 25 октября нынешнего года.
В Linux/IRCTelnet разработчик дополнил функционал сканером открытых портов Telnet и списком, включающим учетные данные уязвимых IoT-устройств, использовавшимся ботнетом Mirai. Напомним, в начале октября нынешнего года в открытом доступе был опубликован исходный код Mirai, который немедленно взяли на вооружение различные хакеры для создания своих IoT-ботнетов.

[душман]

Google раскрыла данные о 0day-уязвимости в Windows 10 до выпуска патча

Google обнародовала информацию об уязвимости нулевого дня в Windows 10 до выпуска корректирующего обновления безопасности, тем самым подвергая риску миллионы пользователей данной ОС.

Проблема содержится в ядре Windows и позволяет повысить привилегии на системе, а также совершить «побег из песочницы».
21 октября специалисты Google проинформировали компании Adobe Systems и Microsoft о наличии уязвимостей нулевого дня в Adobe Flash Player и Windows 10. Спустя пять дней Adobe выпустила внеплановое обновление, устраняющее проблему CVE-2016-7855, позволяющую злоумышленнику получить полный контроль над целевой системой.
Однако Microsoft пока не представила корректирующее обновление безопасности для уязвимости в своем продукте.
Согласно политике Google, компания предоставляет производителям семь дней на выпуск патчей для уязвимостей после чего публикует подробности о проблемах. Техногигант уже не первый раз раскрывает информацию об уязвимостях в Windows до того, как Microsoft выпускает соответсвующие обновления. К примеру, два года назад Google обнародовала подробности о критической проблеме в Windows 8.1.

[душман]

В РФ может появиться госрегистратор доменных имен

Координационный центр национального домена сети интернет (КЦ) выступил с предложением о создании отдельного регистратора доменных имен для государственных органов.

Данную инициативу в КЦ объясняют необходимостью обезопасить госструктуры от утраты адресов сайтов. Администратор уже направил официальное обращение в Минкомсвязи.
Как пояснил директор КЦ Андрей Воробьев, одна из основных проблем связана с периодическим отключением сайтов ведомств и министерств за задержку оплаты домена. Такая ситуация возникает из-за того, что основная часть регистраторов требует предоплату, тогда как многие госструктуры рассчитываются по факту оказания услуги (как правило, после перечисления средств работа сайтов возобновляется).
Согласно информации КЦ, в настоящее время на российские госорганы зарегистрировано порядка 2,5 тыс. доменов (цифра не включает региональные органы власти). Время от времени домены отключаются за неуплату, хотя по Правилам регистрации доменных имен в зоне .Ru и .РФ владельцу ресурса предоставляется 30 дней на осуществление оплаты. В случае ее отсутствия домен становится доступен для регистрации всем желающим.
Вопрос о создании государственного регистратора обсуждался на Совете КЦ, в который входят представители Минкомсвязи, Институт развития интернета (ИРИ), региональная общественная организация «Центр интернет-технологий» (РОЦИТ), Российский научно-исследовательский институт развития общественных сетей (АНО «РосНИИРОС») и пр. Однако решение по данному предложению пока не принято.

[душман]

«Лаборатории Касперского» зафиксировала увеличение числа «умных» DDoS-атак

По данным «Лаборатории Касперского», в третьем квартале 2016 г. от DDoS-атак пострадали веб-ресурсы в 67 странах мира.

Абсолютное большинство их (97%) пришлось всего на три страны: Китай, США и Южную Корею. При этом Китаю «досталось» больше всех — 63% DDoS-атак были нацелены на ресурсы именно этого государства. На фоне тройки лидеров число атак, зафиксированных в России, выглядит неубедительно, однако по сравнению с предыдущим кварталом оно заметно увеличилось — с 0,8% до 1,1%, сообщили в «Лаборатории Касперского».
Между тем, Китай бьет рекорды и по другим квартальным показателям. Так, самая долгая атака в отчетном периоде продолжалась 184 часа (7,6 дня) и была нацелена на китайского провайдера. А популярный китайский поисковик стал рекордсменом по числу DDoS-атак на одну и ту же цель — за третий квартал ресурс был атакован 19 раз.
В целом же эксперты «Лаборатории Касперского» заметили увеличение числа «умных» атак, которые используют защищенные https-соединения и таким образом избегают распознавания защитными системами. Чаще всего при подобных DDoS-атаках злоумышленники создают сравнительно небольшие по объему потоки запросов к «тяжелой» части веб-сайтов — например, к поисковым формам — и отправляют их с использованием https-протоколов, защищенных шифрованием.
Системы распознавания и предотвращения DDoS-атак, в свою очередь, зачастую не способны расшифровывать трафик «на лету» и пропускают все запросы на сервер веб-ресурса. Таким образом, запросы атакующих остаются незамеченными, и DDoS-атака становится успешной даже при низкой интенсивности, пояснили в компании.
«Стремление владельцев веб-ресурсов к защите информации и повышению уровня приватности, а также удешевление вычислительных мощностей привели к возникновению устойчивой тенденции: классический http заменяется на https, то есть увеличивается доля ресурсов, работающих с использованием шифрования. Разумеется, киберпреступники не могли не попытаться использовать эту ситуацию в своих интересах. Мы полагаем, что количество атак с использованием шифрования будет расти.
Намечающаяся тенденция уже сейчас требует от разработчиков систем кибербезопасности в корне пересмотреть подходы к решению проблемы защиты от распределенных атак, поскольку наработанные решения могут оказаться неэффективными уже в ближайшем будущем», — подчеркнул Алексей Киселев, руководитель проекта Kaspersky DDoS Prevention в России.
Еще одной тенденцией остается увеличение доли атак с Linux-ботнетов — в третьем квартале она выросла на 8 процентных пунктов и достигла к октябрю 79%. Это отчасти коррелируется с ростом популярности и без того самого распространенного метода SYN-DDoS, для которого Linux-ботнеты являются наиболее подходящим инструментом. Однако на Linux сегодня работают и многие устройства интернета вещей, например, маршрутизаторы, которые все чаще оказываются замечены в составах различных бот-сетей.
Именно поэтому особое внимание экспертов привлекла публикация исходного кода ботнета Mirai, который содержит встроенный сканнер, находящий уязвимые устройства интернета вещей и включающий их в состав ботнета.
«Интернет вещей все больше превращается в мощнейший инструмент для злоумышленников, чему способствует пренебрежение информационной безопасностью как со стороны вендоров, так и со стороны пользователей», — добавил Алексей Киселев.

[душман]

Microsoft снова выпустила неустанавливаемое обновление

Обновления для Windows 10, безусловно, весьма полезны, однако порой они превращаются в настоящий кошмар, поскольку установить их удается не всем пользователям.

Проблемы с инсталляцией обновления для последней версии ОС от Microsoft возникают с поразительной систематичностью. Рэдмонд докладывает большие усилия для их устранения, однако проблемы появляются снова, и апдейт KB3197954 не является исключением.
Обновление KB3197954 вышло на прошлой неделе, и некоторые пользователи столкнулись с трудностями при его установке. На некоторых ПК апдейт вызывал «зависание» системы, но в большинстве случаев патч просто не инсталлировался. Причины сбоя еще предстоит выяснить, и, судя по количеству жалоб от пользователей, Microsoft придется выпустить исправление, устраняющее ошибку.
Правда, до выхода плановых ежемесячных обновлений осталась всего неделя, и Microsoft может так и не выпустить патч.
«Обновление для 64-разрядной Windows 10 версии 1607 (KB3197954) не установилось на моей системе. Процесс инсталляции начался нормально, однако после перезапуска появилось уведомление о прерывании процесса установки и все вернулось в первоначальное состояние», - сообщил один из пользователей форума Microsoft.

[душман]

Россия: 78% пользователей сталкивались с троянами-вымогателями

78% российских пользователей пострадали от программ-вымогателей, в частности, шифраторов, сообщили в Eset.

Компания это выяснила, опросив больше 800 посетителей ИТ-портала «Мы Eset» в октябре 2016 г.Программы-вымогатели блокируют доступ к личным файлам и требуют выкуп за его восстановление. Шифраторы, их наиболее опасная разновидность, выбирают на зараженном компьютере документы, фото, аудио и видео в популярных форматах .mov, .jpg, .zip, .ppt, .xls, .doc — десятки и сотни типов файлов.
После обработки эти файлы сохраняются с новым расширением и не открываются. Сумма выкупа достигает десятков тысяч рублей.
42% участников опроса Eset сталкивались с шифраторами и другим вымогательским ПО один раз, еще 36% — неоднократно. Только 22% респондентов пока не имеют подобного опыта. Всем пострадавшим от вымогателей был адресован второй вопрос теста. Им предложили перечислить все меры, испробованные для разблокировки.
Выяснилось, что самый популярный способ решения проблемы — переустановка операционной системы. К нему прибегли 42% респондентов. В большинстве ситуаций это поможет удалить вредоносную программу с компьютера, но в случае заражения шифратором файлы не спасет.
Еще один распространенный способ решения проблемы — призвать на помощь профессионалов. 22% опрошенных обратились в техподдержку своего антивирусного продукта.
17% утверждают, что разблокировали систему при помощи скачанного в интернете генератора кодов. Если это так, респондентам повезло — современные шифраторы используют стойкие алгоритмы шифрования, практически исключающие шанс подобрать ключ.
14% пользователей обратились за помощью к компьютерному мастеру. Справился ли он с задачей, участники опроса не уточнили.
Только 6% решили заплатить выкуп хакерам. Метод не рекомендуется категорически, поскольку мотивирует мошенников продолжать свою деятельность, а также не гарантирует восстановление данных.
В Eset советуют игнорировать спам-письма, в которых чаще всего распространяются программы-вымогатели, регулярно делать резервные копии важных файлов и защитить компьютер современным антивирусным ПО.

[душман]

«Одноклассники» запустили приложение для оповещения о стихийных бедствиях

Социальная сеть «Одноклассники» и МЧС России объявили о запуске нового сервиса, призванного помочь пользователям во время стихийных бедствий и катастроф.

Проект «Я в безопасности», реализованный в рамках подписанного 2 ноября 2016 г. соглашения между Mail.Ru Group и МЧС России, будет автоматически идентифицировать человека в зоне чрезвычайной ситуации в соответствии с его местонахождением и указанным в профиле регионом и отправлять соответствующее уведомление. Вместе с ним пользователи получат полезную информацию, номера экстренных служб и инструкцию о том, как действовать в текущей ситуации, сообщили в «Одноклассниках».
Кроме того, новая функция даст возможность устанавливать статус «Я в безопасности» и оперативно узнавать, кто из друзей оказался в районе бедствия, проверив специальную вкладку с колонками «В безопасности» и «Напишите им» (если их статус пока неизвестен). С помощью приложения можно отправлять быстрые заранее запрограммированные сообщения для связи с родными и друзьями.
В будущем приложение позволит оповещать не только российских жителей, но и пользователей социальной сети в других странах.
«Тестовая рассылка показала, что эффективность проекта оправдала ожидания. Пользователи, находящиеся в зоне ЧС, приятно удивлены новым, удобным сервисом — можно оперативно узнать о статусе своих друзей. Также повышается чувство собственной безопасности, раз спасатели могут найти нуждающегося в помощи даже через социальные сети. И самое главное, что этот проект — шаг вперёд в вопросе оповещения населения о ЧС. С этой механикой мы сможем это делать быстрее и эффективнее, чем раньше», — убежден Павел Мостинский, руководитель отдела по работе с интернет-ресурсами и социальными сетями МЧС РФ.
«В критической ситуации быстрота реакции, достоверные сведения и большой охват становятся решающими факторами. “Одноклассники” — это 73 млн пользователей в месяц по всему миру. Это пример, доказывающий, что технологии могут спасти жизни, а социальная сеть помочь человеку», — заявил Арсен Исрапилов, директор по маркетингу и развитию бизнеса проекта «Одноклассники».
До внедрения полноценного продукта «Одноклассники» рассылали короткие оповещения пользователям по ситуации в Турции, в связи с терактом в Ницце, наводнением в Вологодской области вместе с МЧС России, терактом в Мюнхене и Брюсселе, землетрясением в Италии. Первым примером стали оповещения пользователей о теракте в Париже в 2015 г. Именно этот случай, обратная связь от пользователей, послужили первым шагом в создании проекта. Оповещения приходили от официальной группы социальной сети OK.Operatively и группы МЧС России.

[душман]

Мошенники распространяют вредонос для macOS через Google AdWords

Специалисты Cylance обнаружили мошенническую кампанию по распространению вредоносного ПО для macOS через сервис контекстной рекламы Google AdWords.

В рамках кампании злоумышленники разместили рекламное объявление в верхних позициях AdWords, отображающееся при вводе в поисковую строку фразы «Google Chrome». На первый взгляд ссылка в объявлении вела на сайт www.google[.]com/chrome, однако на деле через серию перенаправлений отправляла пользователей macOS на фальшивую страницу googlechromelive.com, предлагающую бесплатно скачать браузер Google Chrome.
Однако вместо интернет-обозревателя на компьютер пользователя загружался вредоносный файл FLVPlayer.dmg.
«При каждой загрузке хэш вредоносного ПО изменяется, что усложняет его обнаружение и отслеживание. Пользователи Windows в конечном итоге перенаправляются на сайт admin.myfilessoft.com, при переходе на который на экране отображается сообщение об ошибке», - отмечают исследователи.
Вредоносное ПО, получившее название OSX/InstallMiez или OSX/InstallCore, имитирует запуск файла FLV Player, но в действительности загружает лжеантивирус Macpurifier, информирующий пользователя о наличии вредоносного ПО на системе и необходимости загрузить дополнительные файлы.
Эксперты Cylance проинформировали Google о проблеме 25 октября. Вредоносное объявление уже удалено из AdWords.

[душман]

Новый Android-троян маскируется под Flash Player

Исследователи компании Fortinet предупредили о банковском трояне для Android-устройств, маскирующемся под Flash Player.

Вредонос способен похищать учетные данные из 94 различных банковских приложений и перехватывать SMS-сообщения, что позволяет ему успешно обходить механизм двухфакторной аутентификации. Ко всему прочему, троян содержит дополнительные модули, способные атаковать популярные соцсети.
Как именно вредонос попадает на устройства, исследователи пока не выяснили. Наверняка злоумышленники распространяют троян через один или несколько сторонних магазинов приложений. После установки программы в лаунчере появляется иконка Flash Player. Когда пользователь нажимает на иконку, открывается поддельная страница Google Play, запрашивающая для приложения права администратора.
После получения прав администратора троян больше невозможно деинсталлировать.Вредоносное ПО отображает поддельную страницу, запрашивающую права, поверх других приложений. Если пользователь нажмет на кнопку «CANCEL», страница закроется, а затем появится снова. После нажатия на «ACTIVATE» троян получает права администратора. Иконка Flash Player исчезает из лаунчера, однако вредонос остается активным.
После установки троян собирает данные о зараженном устройстве (номер телефона, версия Android, IMEI, код ISO, модель устройства, установленные приложения и пр.), отправляет их на свой C&C-сервер и ждет дальнейших команд. Вредонос открывает поверх легитимных приложений поддельное окно, запрашивающее данные кредитных карт.

[душман]

Ботнет Mirai использовался для отключения интернета в целом государстве

Неизвестные попытались отключить интернет во всей стране, используя мощные DDoS-атаки, осуществленные с помощью ботнета Mirai.

Как сообщил исследователь безопасности Кевин Бомон, на этой неделе были зафиксированы непрерывные непродолжительные атаки на интернет-инфраструктуру небольшого африканского государства Либерия.
По словам Бомона, злоумышленники использовали сеть из IoT-устройств, зараженных трояном Mirai, известную как Ботнет 14. Данная сеть является наибольшим из всех ботнетов Mirai и одним из самых масштабных ботнетов для DDoS-атак в истории. Учитывая мощность атак, осуществляемых с помощью Ботнета 14, можно сделать вывод, что он использовался в атаках на DNS-провайдера Dyn.
Как пояснил Бомон, Ботнет 14 (исследователь назвал его Shadows Kill) начал атаковать сети телекоммуникационной компании Lonestar Cell MTN – единственного интернет-провайдера во всей Либерии. Доступ к интернету в стране обеспечивается всего одним подводным оптоволоконным кабелем с единственной точкой отказа, установленным в 2011 году. В ходе атак либерийские сайты стали недоступны, а источник в компании подтвердил нестабильность интернет-подключения.
В четверг, 3 ноября, злоумышленники продолжали атаковать компании, являющиеся совладельцами кабеля. По мнению Бомона, DDoS-атаки на интернет-инфраструктуру Либерии являются тренировкой перед гораздо более серьезными действиями.

[душман]

Россиян приготовились отключить от сетевого порно

Администрация крупнейшего порно-трекера Pornolab заявила о предстоящей блокировке ресурса, причиной которой должны стать претензии Роскомнадзора и прокуроров.

В администрации крупнейшего российского торрент-трекера с фильмами «для взрослых» Pornolab заявили об угрозе блокировки интернет-ресурса. Поводом для этого могут стать претензии Роскомнадзора. «Мы получили уведомление от Роскомнадзора с требованием удалить противоправную информацию. При этом, что именно от нас требуют удалить, в письме указано не было, в отличие от более ранних случаев», — пояснили представители администрации на форуме трекера.
Судя по цитируемому здесь же письму надзорного ведомства, в единый реестр сайтов, содержащих запрещенную в РФ информацию, внесены не отдельные страницы Pornolab, а ресурс целиком. На внесении сайта в «черный интернет-список» ранее настаивали прокуроры. Администраторы трекера ссылаются на вынесенное 25 августа 2016 г. решение Тольяттинского городского суда, удовлетворившее иск прокуратуры, потребовавшей санкций в отношении Pornolab.
В соответствии с вердиктом было признано, что размещенный на порно-трекере видеоконтент «воздействует на сознание и волю неопределенного круга лиц».
На обжалование решения служителей фемиды давался месяц, была ли апелляция, администрация сайта не сообщает. «Несмотря на всю комичность и абсурдность ситуации, вероятность того, что нас заблокируют — почти 100%», — резюмировали в администрации сайта, не забыв при этом упомянуть традиционные в таких случаях обходы блокировки для пользователей из РФ, приводя в качестве примера ранее заблокированный Rutracker.
Также в руководстве трекера сообщили о подготовке его «зеркал» на доменах .biz и .cc. Пользователей Pornolab новость расстроила. « Уже все позакрывали! Даже в ВК порно не осталось!», — негодует один из участников интернет-сообщества.
Сайт Pornolab был открыт в 2008 г., отделившись от Torrents.ru . По открытым данным, на трекере зарегистрировано более 350 тыс. раздач, суммарный размер которых составляет более 600 терабайт. Сайт насчитывает более 1,7 млн учетных записей пользователей. Владельцем сайта является офшорная компания WTF Corp.
Напомним, борьба регуляторов с торрент-трекером Pornolab ведется с 2010 г. В 2011 г. из дата-центра хостера изымались серверы, обслуживающие трекер. В январе 2013 г. делегирование домена Pornolab.net было приостановлено по инициативе регистратора, спустя несколько дней домен разблокировали.
Позже, в апреле 2013 г. сайт был недоступен в течение 12 часов, хотя на раздаче торрентов это не сказалось. Как пояснял тогда технический директор группы компаний Hosting Community Павел Васильев, причиной недоступности Pornolab стала именно блокировка IP-адреса.

[душман]

Хакеры атаковали Steam в день рождения его основателя

Группа хакеров Phantom Squad взяла на себя ответственность за взлом серверов сервиса цифрового контента Steam.

Об этом представители группировки рассказали на своей странице в Twitter.DDoS-атака была приурочена ко дню рождения главы компании Valve Гейба Ньюэлла 3 ноября. Спустя полчаса хакеры прекратили атаку и передали Ньюэллу свои поздравления.
При этом перед обрушением серверов Phantom Squad заявляли, что атака будет проходить весь день.
Команда Phantom Squad уже не в первый раз устраивает атаки на серверы различных компаний в преддверии важных событий и праздников. Так, команда в декабре 2015 года взломала серверы Xbox Live, из-за чего сервис долгое время был недоступен.
Цифровой магазин Steam выполняет функции службы активации, загрузки через интернет, автоматических обновлений и новостей для игр как самой Valve, так и сторонних разработчиков по соглашению. База сервиса насчитывает более 6,5 тысяч игр.

[душман]

Linux-червь Moose возобновил активность

Компания Eset предупредила о возвращении Moose — вредоносной программы для Linux.

Moose заражает домашние Wi-Fi-роутеры и публичные точки доступа, перехватывает трафик и получает доступ к аккаунтам в соцсетях пользователей, подключающихся к интернету, сообщили в Eset.
Украденные данные Moose использует для мошенничества в соцсетях — рекламной накрутки с последующей монетизацией. Зловред может, в частности, раскрутить группу в Facebook, искусственно увеличить число просмотров видео на YouTube, нагнать подписчиков в Twitter и Instagram.
Опасность Moose — в том, что скомпрометированные аккаунты теоретически могут использоваться для распространения в соцсетях ссылок на загрузку других вредоносных программ, включая банковские трояны и шифраторы.
В мае 2015 г. Eset выпустила результаты первого исследования червя Moose. После публикации отчета активность управляющего сервера снизилась, и здовред исчез с радаров. Но примерно к сентябрю операторы доработали Moose и запустили новую версию, рассказали в компании.
Главное изменение Moose — маскировка местоположения управляющего сервера. Операторы усложнили структуру кода (и задачу исследователей), задав новый IP-адрес сервера в виде зашифрованного аргумента командной строки.
Moose по-прежнему распространяется путем подбора паролей к роутеру. Но если в прежней версии было «зашито» примерно 300 логинов и паролей, то новая ограничивается десятью самыми популярными.
В обновленном Moose можно активировать или выключать функции локального или внешнего сканирования, перехвата данных, аннулирования процесса.
«Операторы Moose проделали большую работу, исправляя недостатки предыдущей версии. Тем не менее, червь остается резидентной угрозой — чтобы избавиться от заражения, достаточно перезагрузить роутер. Для профилактики новых заражений рекомендуется установить на роутер сложный пароль»,- отметили в Eset.

[душман]

В России заработал «антихакерский центр»

При российской государственной корпорации «Ростех» заработал Корпоративный центр обнаружения, предупреждения и ликвидации последствий компьютерных атак (КЦПКА).

Как сообщает издание «Известия», главной задачей центра является противодействие кибершпионажу. 24 часа в сутки ИБ-эксперты КЦПКА будут осуществлять мониторинг систем оборонных предприятий на предмет аномалий и в случае обнаружения таковых блокировать хакерам доступ к важным данным.
Сведения о попытках взлома и координаты злоумышленников будут передаваться ФСБ. Центр создан на базе IT-службы «Ростеха», компании «РТ-Информ».
Как сообщает представитель компании Александр Евтеев, приказ о начале работы КЦПКА бы подписан в конце прошлого месяца. До подписания приказа центр работал в тестовом режиме и уже успел хорошо себя зарекомендовать, предотвратив не один десяток реальных попыток хищения важных данных.
По словам Евтеева, каждый месяц ИБ-эксперты сталкивались как минимум с одной угрозой безопасности. «Общее же количество аномальных активностей, которые нужно было проанализировать, исчислялось тысячами. Это очень серьезный объем работы», - заявил исследователь.
Оборонные предприятия будут подключены к новой системе в несколько этапов при участии квалифицированных специалистов по ИБ, умеющих отражать кибератаки на местах. В первую очередь к системе подключатся критически важные предприятия «Ростеха», выполняющие гособоронзаказ.