"Мир интернета"

[душман]

Обзор инцидентов безопасности за прошлую неделю

Похоже, перед зимними праздниками киберпреступники активизировали свою деятельность.

Только на прошлой неделе ИБ-эксперты фиксировали различные виды атак, обнаруживали новое вредоносное ПО, предназначенное как для настольных, так и для мобильных платформ, и т.д. Предлагаем ознакомиться с кратким обзором инцидентов безопасности за период с 5 по 11 декабря 2016 года.
Согласно уведомлению ФСБ, 5 декабря иностранные спецслужбы должны были начать атаки на финансовые организации в России с целью дестабилизировать российскую экономику. Тем не менее, никаких масштабных атак в указанный день зафиксировано не было. Как сообщает «Ростелеком», 5 декабря пять крупных отечественных банков, в том числе ВТБ, действительно подверглись DDoS-атакам, однако они были успешно отражены и не сказались на пользователях.
Хакерским атакам на прошлой неделе подверглись не только российские, но и украинские финансовые организации. Тем не менее, на этот раз хакеры не обошлись DDoS-атакой, а пошли гораздо дальше. Атака на Министерство финансов и Государственную казначейскую службу Украины стала причиной блокировки всей финансовой системы страны, продолжавшейся два дня. Злоумышленники предположительно использовали аналог вредоносного ПО BlackЕnergy, в прошлом году инфицировавшего сети «Прикарпатьеоблэнерго» и аэропорта Борисполь.
Не обошлось также без инцидентов на рынке криптовалют. Взлом электронных кошельков венчурного капиталиста Бо Шэня привел к похищению больших объемов криптовалют Ether и Augur и как следствие к падению их курса.
На прошлой неделе стало известно о хакерской атаке на один из крупнейших в Германии концернов ThyssenKrupp. Целью злоумышленников являлись промышленные секреты компании.
Если в случае с немецким концерном хакеров интересовала промышленная тайна, то злоумышленники, атаковавшие внутреннюю сеть министерства обороны Южной Кореи, похитили военную информацию. По данным южнокорейских военных, ответственность за инцидент лежит на КНДР.
Неизвестный хакер предположительно взломал и похитил учетные записи пользователей видеохостинга DailyMotion. Похищенная информация включает 85,2 млн уникальных логинов и адресов электронной почты. Порядка в 20% случаев (около 18,3 млн) учетные записи содержали пароль, хешированный с помощью алгоритма BCrypt.
Нашумевший ботнет Mirai снова дал о себе знать. Согласно заявлению хакера BestBuy, ему удалось настроить сервер, который автоматически подключился к уязвимым маршрутизаторам и разослал им вредоносное обновление прошивки. Таким образом злоумышленник получил постоянный доступ к устройствам и возможность отключать доступ к ним их владельцам, интернет-провайдерам и даже производителям.
Исследователи компании Proofpoint сообщили о новом семействе вредоносного ПО August, предназначенном для похищения информации с зараженных компьютеров. Злоумышленники распространяют August с помощью целенаправленного фишинга, а их жертвами становятся сотрудники торговых предприятий, занимающиеся связями с клиентами. Такой же тактики придерживается известная киберпреступная группировка Carbanak.

[душман]

«Доктор Веб» обнаружил троянцев в прошивках популярных Android-устройств

Вирусные аналитики компании «Доктор Веб» объявили о выявлении новых троянцев, которых злоумышленники внедрили в прошивки десятков моделей мобильных устройств под управлением ОС Android.

Как рассказали в компании, обнаруженные вредоносные приложения располагаются в системных каталогах и незаметно для пользователей загружают и устанавливают программы.
Один из этих троянцев, который получил имя Android.DownLoader.473.origin, находится в прошивках множества моделей популярных Android-устройств, работающих на аппаратной платформе MTK. На момент публикации этого материала он был найден на 26 моделях смартфонов, среди которых MegaFon Login 4 LTE, Irbis TZ85, Irbis TX97, Irbis TZ43, Bravis NB85, Bravis NB105, SUPRA M72KG, SUPRA M729G, SUPRA V2N10, Pixus Touch 7.85 3G, Itell K3300, General Satellite GS700, Digma Plane 9.7 3G, Nomi C07000, Prestigio MultiPad Wize 3021 3G, Prestigio MultiPad PMT5001 3G, Optima 10.1 3G TT1040MG, Marshal ME-711, 7 MID, Explay Imperium 8, Perfeo 9032_3G, Ritmix RMD-1121, Oysters T72HM 3G, Irbis tz70, Irbis tz56 и Jeka JK103.
Однако количество моделей Android-устройств, инфицированных этим троянцем, может оказаться гораздо больше.
Android.DownLoader.473.origin представляет собой троянца-загрузчика, который начинает работу при каждом включении зараженного устройства. Вредоносная программа отслеживает активность Wi-Fi-модуля и после обнаружения сетевого подключения соединяется с управляющим сервером, откуда получает конфигурационный файл с заданием. В этом файле содержится информация о приложении, которое троянцу необходимо скачать. После загрузки указанной программы Android.DownLoader.473.origin незаметно ее устанавливает.
По команде злоумышленников троянец способен скачивать на зараженные устройства любое ПО. Это могут быть как безобидные, так и нежелательные или даже вредоносные программы. Например, Android.DownLoader.473.origin активно распространяет рекламное приложение H5GameCenter, которое было добавлено в вирусную базу Dr.Web как Adware.AdBox.1.origin. После установки оно показывает поверх всех работающих программ небольшое изображение коробки, которое невозможно убрать с экрана. Оно представляет собой ярлык, при нажатии на который Adware.AdBox.1.origin открывает встроенный в нее каталог ПО.
Кроме того, эта нежелательная программа показывает рекламные баннеры.
На различных форумах владельцы Android-устройств отмечают, что вскоре после удаления приложение H5GameCenter устанавливается в систему вновь, и значок коробки опять отображается поверх всех программ. Это происходит потому, что Android.DownLoader.473.origin повторно скачивает и устанавливает Adware.AdBox.1.origin, если программа удаляется с устройства.
Другой троянец, обнаруженный в прошивках ряда Android-устройств, получил имя Android.Sprovider.7. Он был найден на смартфонах Lenovo A319 и Lenovo A6000. Эта вредоносная программа встроена в приложение Rambla, которое предоставляет доступ к одноименному каталогу ПО для ОС Android.
Основной функционал Android.Sprovider.7 сосредоточен в отдельном программном модуле (детектируется Dr.Web как Android.Sprovider.12.origin), который в зашифрованном виде хранится в ресурсах основного приложения. Каждый раз, когда пользователь выводит устройство из режима блокировки экрана, троянец проверяет, работает ли этот вспомогательный компонент. Если он неактивен, Android.Sprovider.7 извлекает его из своих ресурсов и запускает. Модуль Android.Sprovider.12.origin обладает широким набором функций.
Например, он может скачать apk-файл и попытаться установить его стандартным способом с запросом разрешения у пользователя, запустить установленное приложение, открыть в браузере заданную злоумышленниками ссылку, позвонить по определенному номеру с помощью стандартного системного приложения, запустить стандартное системное телефонное приложение, в котором уже будет набран определенный номер, показать рекламу поверх всех приложений, показать рекламу в панели уведомлений, создать ярлык на домашнем экране и обновить основной вредоносный модуль.
За накрутку установок приложений, искусственное повышение их рейтингов, а также за распространение рекламного ПО интернет-жулики получают прибыль. Поэтому вероятнее всего вредоносные программы Android.DownLoader.473.origin и Android.Sprovider.7 попали в прошивки мобильных устройств по вине недобросовестных субподрядчиков, которые участвовали в создании образов ОС и решили заработать за счет пользователей.
Компания «Доктор Веб» уведомила производителей зараженных смартфонов о возникшей проблеме. Владельцам таких устройств рекомендуется обратиться в службу поддержки производителей смартфонов и планшетов, чтобы получить обновление исправленного системного ПО, как только оно будет готово.
Антивирусные продукты Dr.Web для Android обнаруживают все известные версии троянцев Android.DownLoader.473.origin и Android.Sprovider.7.

[душман]

Роскомнадзор случайно заблокировал адрес 127.0.0.1

Роскомнадзор по ошибке заблокировал сам себя, пишет проект «Роскомсвобода».

Как указывается в соответствующих записях реестра запрещенных ресурсов, надзорная служба заблокировала данный адрес по решению Мосгорсуда № 3-1115/2016 от 19 октября 2016 года. Однако, в данном постановлении указано только название подлежащего блокировке домена (karaoke-besplatno.ru), но не IP-адрес.Вместе с указанным Роскомнадзором доменом в реестр был включен IP-адрес 127.0.0.1 (localhost). Исходя из этих данных, представители «Роскомсвободы» предположили, что внесение IP локалхоста - инициатива самих сотрудников Роскомнадзора, отвечающих за обработку судебных решений. Адрес был заблокирован 10 декабря, но сотрудники ведомства оперативно исправили ошибку.Как пояснил представитель Роскомнадзора Вадим Ампелонский, попытка надзорной службы заблокировать IP-адрес 127.0.0.1 является «проделкой» хостинг-провайдера.«Хостинг-провайдер подменил IP-адрес заблокированного сайта на localhost. Это сделано с одной целью: чтобы СМИ написали, что Роскомнадзор заблокировал сам себя», - отметил представитель Роскомнадзора.Ампелонский не раскрыл информацию, о каком хостинг-провайдере идет речь, или о мерах, которые будут предприняты Роскомнадзором по отношению к «шутнику».Использование адреса 127.0.0.1 для блокировки домена регистратором является стандартной практикой при блокировке сайтов. Случившаяся ситуация и комментарии представителя Роскомнадзора лишь показывают некомпетентность и отсутствие элементарных знаний у людей, работающих в ведомстве.

[душман]

Новая версия браузера Opera пополнилась конвертером валют

Opera Software представила новую версию браузера Opera с встроенным конвертером валют.

Как рассказали в компании, Opera стала первым крупным браузером, встроившим данную функцию в свой интерфейс. Благодаря этому, большое количество пользователей, предпочитающих совершать покупки онлайн, смогут видеть стоимость товара в интересующей их валюте.
Трансграничная онлайн-торговля переживает бум по всему миру, и ее объем к 2020 г., по прогнозам Accenture и AliResearch, должен достигнуть $1 трлн. Согласно этому же прогнозу, через четыре года почти половина онлайн-покупателей по всему миру будут приобретать товары в онлайн-магазинах, расположенных за пределами их стран.
Все эти тренды свидетельствуют о том, что пользователям приходится все чаще прибегать к помощи онлайн-калькуляторов для расчета стоимости товара в своей родной валюте.
Чтобы воспользоваться конвертером валют, достаточно навести курсор мыши на стоимость, которую необходимо конвертировать, после чего в появившемся окошке отобразится стоимость в предпочитаемой валюте.
Список всех доступных валют доступен в настройках браузера. На сегодняшний день, новый браузер Opera поддерживает конверсию 32 валют, для чего используются ежедневно обновляющиеся курсы валют Европейского центрального банка.
Интеллектуальный механизм быстрого запуска браузера теперь учитывает порядок вкладок для определения приоритетного запуска некоторых из них при следующем открытии Opera, запоминает, какие вкладки использовались непосредственно перед закрытием Opera.
«Еще в начале года мы собрались, чтобы подумать о том, что действительно необходимо людям в сети. И мы быстро поняли, что современные браузеры не уделяют должного внимания потребностям пользователей. Люди хотели бесплатный VPN-сервис, и чтобы их браузер помогал им по-новому взаимодействовать с любимыми веб-сайтами», – отметил Кристиан Колондра, руководитель браузера Opera.
Список улучшений в браузере Opera в 2016 г. включает в себя: встроенный блокировщик рекламы, функцию экономии заряда батареи, возможность «выноса» видео в отдельное окно, персональную новостную ленту, более быстрый старт браузера и теперь еще и встроенный конвертор валют.

[душман]

Reg.ru создал Whois-бота в Telegram

Российский регистратор доменов и хостинг-провайдер Reg.ru создал собственного Telegram-бота.

Он позволяет проверить статус домена и получить информацию в сервисе Whois через интерфейс мессенджера, сообщили в Reg.ru.Регистратор доменов создал бота в Telegram, основываясь на своём API. Бот даёт возможность определить статус домена — занят он или нет, а также получить сводную информацию о домене через серфис Whois. Для занятого домена автоматически выдаётся базовая информация о нём и его нынешнем владельце (за исключением случаев, когда данные администратора скрыты, согласно политике конфиденциальности регистратуры или в связи с использованием услуги Privat Person).
Если же домен свободен, пользователь имеет возможность перейти на сайт и зарегистрировать его. Для покупки желаемого домена, выставленного на продажу на специализированной площадке, например, в магазине доменов Reg.ru, пользователь сможет обратиться к продавцу напрямую, а в остальных случаях — заказать услугу «Доменный брокер».
Для установки Whois-бота от Reg.ru достаточно перейти по адресу telegram.me/whoisdombot/ и нажать кнопку подтверждения. После этого, он появится в списке контактов. Найти бота также можно через поиск в Telegram, введя @WhoisDomBot.
«Использование ботов в мессенджерах — один из интереснейших трендов в современном digital-мире. Они позволяют пользователям делать рутинную работу гораздо быстрее, экономя тем самым время. Создание Telegram-бота Reg.ru — это шаг навстречу нашим пользователям. Whois-бот даёт возможность клиентам проверять статус домена прямо в мессенджере, не заходя на сайт, что особенно удобно для тех пользователей, которые всегда находятся в движении, и под рукой есть только мобильное устройство», — отметил генеральный директор Reg.ru Алексей Королюк.

[душман]

Adobe исправила 0day-уязвимость в Flash Player

Компания Adobe выпустила обновления безопасности, устраняющие 30 уязвимостей в продуктах Adobe Flash Player, Adobe Animate, AEM, Adobe DNG Converter, InDesign, ColdFusion и пр.

В частности, в обновлениях Adobe Flash Player для Windows, Macintosh, Linux и Chrome OS исправлено 17 уязвимостей. 16 из них позволяют удаленное выполнение кода, еще одна - обход защиты.В числе прочих, устранена CVE-2016-7892, позволяющая полностью скомпрометировать целевую систему. По информации компании, данная проблема активно эксплуатируется злоумышленниками в атаках на браузер Internet Explorer.Уязвимость затрагивает Adobe Flash Player Desktop Runtime (версия 23.0.0.207 и ниже), Adobe Flash Player для Google Chrome (23.0.0.207 и ниже), Adobe Flash Player для Microsoft Edge и Internet Explorer 11 (23.0.0.207 и ниже), а также Adobe Flash Player для Linux (11.2.202.644 и более ранние версии).Производитель рекомендует установить обновления как можно скорее.

[душман]

Microsoft выпустила плановые обновления безопасности

13 декабря, Microsoft выпустила плановые ежемесячные обновления безопасности для своих продуктов.

Всего было выпущено 12 бюллетеней, шесть из которых являются критическими и исправляют уязвимости, позволяющие удаленно выполнить код.Рекомендуется не откладывать установку патчей, поскольку три уязвимости (CVE-2016-7282, CVE-2016-7281 и CVE-2016-7202) уже были публично раскрыты. Вышеупомянутые проблемы безопасности затрагивают браузер Internet Explorer. Первая из них позволяет раскрыть информацию, вторая – обойти механизмы безопасности, а третья затрагивает скриптовый движок и позволяет вызвать повреждение памяти.
Согласно заявлению Microsoft, CVE-2016-7282, CVE-2016-7281 и CVE-2016-7202 не эксплуатировались злоумышленниками. Данные уязвимости наряду с пятью другими исправляет кумулятивное обновление MS16-144, обозначенное производителем как критическое.
MS16-145 представляет собой критический патч для браузера Edge. Обновление исправляет пять уязвимостей в скриптовом движке, позволяющие вызвать повреждение памяти, две уязвимости, позволяющие вызвать повреждение памяти, три уязвимости, позволяющие раскрыть информацию и одну, с помощью которой можно обойти механизмы безопасности. Согласно заявлению Microsoft, они не эксплуатировались хакерами.
Еще одним критическим обновлением является MS16-146, предназначенный для графических компонентов Microsoft. Обновление исправляет две уязвимости, позволяющие удаленно выполнить код, и одну проблему, позволяющую раскрыть информацию.
Критическое обновление MS16-147 исправляет уязвимость в Microsoft Uniscribe. С ее помощью атакующий мог удаленно выполнить код. MS16-148 также является критическим и устраняет 16 уязвимостей в Microsoft Office (некоторые из них могут быть проэксплуатированы для удаленного выполнения кода).
Критический патч MS16-154 предназначен для Adobe Flash. Обновление исправляет 7 уязвимостей использование памяти после высвобождения, способные привести к удаленному выполнению кода, четыре уязвимости переполнения буфера, пять уязвимостей повреждения памяти, позволяющие ужалено выполнить код, и одну уязвимость, с помощью которой можно обойти механизмы безопасности.

[душман]

Eset: хакеры нашли слабое звено в российских банках

Eset подготовила отчет о направленных атаках на финансовые учреждения России.

Как рассказали в компании, эксперты Eset проанализировали деятельность крупных кибергрупп, схемы атак и уязвимые банковские системы.
С 2015 г. Eset отмечает в России рост числа таргетированных атак на финансовый сектор. Большая часть атак построена на человеческом факторе – социальной инженерии и старых уязвимостях ПО. Основные «игроки», атакующие российские банки, – кибергруппы Corkow, Carbanak и Buhtrap.
Перечисленные группы используют схожую тактику. Большинство атак начинается с фишингового письма с вредоносным документом во вложении – как правило, файлом Word с эксплойтом. Открытие файла в уязвимой системе запускает загрузку другого вредоносного ПО, позволяющего хакерам установить контроль над компьютером жертвы.
Одно из вложений-приманок, обнаруженное экспертами ESET, имитирует официальную рассылку «ФинЦЕРТ» Банка России – центра мониторинга и реагирования на кибератаки в кредитно-финансовой сфере. В документе хакеры предупреждают о возможной компрометации банковских систем.
Получив доступ к системе банка, хакеры пытаются вывести средства. Среди методов, изученных специалистами ESET, атаки на АРМ КБР (автоматическое рабочее место клиента Банка России), банкоматы, межбанковскую систему SWIFT и торговые терминалы для трейдеров.
В частности, по данным обзора финансовой стабильности Центробанка РФ, в начале 2016 г. зафиксированы целевые атаки на АРМ КБР, в результате которых были совершены покушения на кражу 2,87 млрд руб.
Похожие схемы атак на финансовый сектор используются и в других странах мира. Например, в 2016 г. из Банка Республики Бангладеш было выведено через сеть SWIFT $950 млн, а в Тайване крупная атака на банкоматы привела к краже $2 млн.
По оценке Eset, атаки на финансовый сектор эффективны из-за низкой осведомленности организаций об опасности и векторах заражения. Снизить риски позволит доступ ИТ и ИБ-специалистов к информации о новейших угрозах, обучение персонала, своевременное обновление ПО и использование двухфакторной аутентификации.

[душман]

Взломавший JP Morgan Chase хакер вернулся из России в США

Гражданин США, обвиняемый в организации крупнейшей за всю историю кибератаки на Уолл-стрит, прибыл из России на родину после семи месяцев переговоров между властями обеих стран.

В США 32-летний Джошуа Аарон обвиняется во взломе баз данных крупных финансовых организаций, в том числе банка JP Morgan Chase.
Как сообщает Bloomberg, Аарон был задержан в аэропорту Джона Кеннеди в Нью-Йорке в среду, 14 декабря, сразу же после прилета рейсом из Москвы. По словам адвоката обвиняемого, его клиент избежал процедуры экстрадиции и добровольно решил вернуться.
Во второй половине дня 14 декабря Аарон предстал перед судом Манхеттена, однако вину свою не признал. По данным следствия, обвиняемый совместно с двумя гражданами Израиля в 2007-2015 годах осуществлял то, что прокурор Прит Бхара назвал «мошенничеством с безопасностью на киберстероидах».
За указанный период злоумышленники похитили данные свыше 100 млн клиентов JP Morgan Chase и других банков и с их помощью осуществляли мошеннические операции на бирже и другие преступные схемы, заработав таким образом миллионы долларов.
«Джошуа Сэмюэл Аарон предположительно взломал сети десятков американских компаний, что привело к крупнейшему за всю историю похищению персональных данных клиентов финансовых институтов в США», - заявил Бхара.

[душман]

Microsoft объявил о прощании с Flash

Компания Microsoft начнет блокировать Flash-контент в новой версии веб-браузера Edge и продолжит отключать от устаревшей технологии пользователей Windows.

Компания Microsoft присоединилась к Google, Apple и Mozilla, заявив об отказе от использования Adobe Flash player. В следующей версии своего веб-браузера Edge компания будет автоматически блокировать Flash-контент при посещении пользователями сайтов с таким содержимым.
«Adobe Flash был неотъемлемой частью интернета на протяжении десятилетий, включая красочную анимацию еще до того, как появился протокол HTML5. В современных браузерах, к разработке которых приложили руку Microsoft, Adobe, Google, Apple, Mozilla и многие другие, всем этим можно наслаждаться без Flash, с более высокими стандартами производительности и безопасности», — сообщается в корпоративном блоге создателей Edge.
Разработчики пояснили, что уже «потренировались» в отключении Flash, начиная с юбилейного выпуска Windows 10. Microsoft позволила пользователям прерывать показ такого контента, включая отдельные рекламные баннеры. В дальнейшем в Microsoft пообещали продолжить переход на HTML5-альтернативу.
Первыми проститься с Flash смогут инсайдеры Windows (участники программы тестирования Windows 10 Insider) в новых сборках. Их критика и пожелания будут учтены в готовящемся к выходу весной 2017 г. знаковом для компании обновлении Windows 10 Creator’s Update. «Сайты, по умолчанию поддерживающие HTML5, будут загружаться в чистом виде. Для сайтов же, которые все еще содержат Flash-контент, пользователи смогут сами решать, хотят ли они его загружать, и система запомнит это решение», — разъяснили алгоритм в компании.
В Microsoft также порекомендовали веб-разработчикам в ближайшие месяцы перевести контент на расширения под JavaScript, Canvas или HTML5.
Напомним, ранее от поддержки Adobe Flash player отказались ряд разработчиков. К примеру, в начале декабря компания Google начала избавлять свой браузер Chrome от Flash-зависимости, запустив переход на HTML5. Нововведение стало доступно примерно половине пользователей бета-версии Chrome 56. Ожидается, что стабильная версия Chrome 56 станет доступна в феврале 2017 г., после чего поддержку Flash заменят на HTML5 уже для всех пользователей.
Поводом для прощания с устаревшей технологией стала ее уязвимость. К примеру, в апреле 2016 г. Adobe в экстренном порядке выпустил обновление для Flash player, который стал мишенью хакеров. Злоумышленники использовали его для распространения вируса-вымогателя, блокировавшего компьютеры пользователей и шифруя на них данные.

[душман]

Apple устранила свыше 150 уязвимостей в своих продуктах

Компания Apple представила обновления безопасности, исправляющие множественные уязвимости в программных продуктах iOS, iTunes, macOS, Safari, и iCloud.

В общей сложности производитель устранил более 150 уязвимостей. Обновление iOS 10.2 устраняет 12 уязвимостей, в том числе проблемы, позволяющие получить доступ к фотографиям и контактам на заблокированном iPhone, отключить функцию «Найти iPhone», вызвать отказ в обслуживании устройства, а также разблокировать смартфон.
С выходом обновления macOS Sierra 10.12.2 производитель устранил 71 уязвимость в ОС macOS, включая 17 критических. Остальные проблемы позволяют вызвать отказ в обслуживании, повысить привилегии на системе в том числе до уровня суперпользователя, а также вызвать утечку информации пользователя.
Обновление Safari 10.0.2 исправляет в общей сложности 24 уязвимости, включая 17 критических. В числе прочих устранены проблемы, позволяющие скомпрометировать данные пользователя и вызвать утечку информации.
В связи с высокой степенью опасности значительного количества уязвимостей пользователям устройств Apple рекомендуется установить новые версии ПО как можно скорее.

[душман]

Хакеры управляют бэкдором через Telegram

Вирусная лаборатория Eset обнаружила кибератаку на украинские финансовые компании.

Хакеры управляют вредоносным ПО через Telegram и оставляют на зараженных компьютерах отсылки к сериалу «Мистер Робот», сообщили сегодня в Eset.
Атака начинается с фишингового письма с документом-приманкой — файлом Excel с вредоносным макросом. Исполнение макроса приводит к запуску даунлоадера, который загружает с удаленного сервера основную программу — бэкдор Python/TeleBot.
TeleBot «общается» с атакующими при помощи Telegram. При этом у каждого образца бэкдора есть свой аккаунт в мессенджере. Хакеры отправляют бэкдору команды: загрузить в чат изображения и другие файлы с зараженного компьютера, сообщить информацию о системе и пр.
Кроме того, бэкдор сохраняет в своей папке файлы, полученные от атакующих — так в систему переправляются другие вредоносные программы.
Помимо Telegram, бэкдор может использовать другие каналы связи. Например, аналитики Eset изучили образец, который использовал в качестве командного сервера ящик на outlook.com.
После заражения компьютера атакующие перехватывают нажатия клавиш, собирают сохраненные пароли из большинства браузеров и учетные данные Windows. Данные позволяют компрометировать другие устройства внутри локальной сети.
Вредоносный инструмент BCS-server открывает доступ к внутренней сети организации. Он позволяет атакующим взаимодействовать с внутренними серверами и открывает доступ к незараженным пока компьютерам. Инструкция к BCS-server написана на русском.
На финальном этапе атаки используется деструктивный компонент KillDisk. Программа удаляет важные системные файлы, после чего компьютер перестает загружаться, а также переписывает файлы некоторых типов. Изученные в Eset образцы «знали», в частности, форматы .doc, .docx, .xls, .xlsx, .zip, .rar и др.
KillDisk может создавать новые небольшие файлы взамен удаленных. Новые содержат одну из двух строк: mrR0b07 или fS0cie7y — вместо исходного содержимого. Это не единственная отсылка к сериалу «Мистер Робот» — изученная версия KillDisk отображает соответствующую картинку.
По информации Eset, малварь не хранит изображение. Код рисует картинку в режиме реального времени при помощи Windows GDI.
Как указали в компании, цель киберпреступников, стоящих за этими атаками — саботаж. Для реализации намерения они изобретают вредоносные программы и схемы, в частности, Telegram Bot API вместо командного сервера.

[душман]

«Доктор Веб» исследовал установщик нежелательного ПО и «неудаляемой» рекламы

«Доктор Веб» представил отчет об исследовании троянца-установщика Trojan.Ticno.1537, предназначенного для несанкционированной установки других приложений.

Как рассказали в компании, в интернете действует множество так называемых «партнерских программ», выплачивающих вознаграждение за установку ПО, чем и пользуются вирусописатели.
Trojan.Ticno.1537 скачивается на атакуемый компьютер другой вредоносной программой. После запуска троянец пытается определить наличие виртуального окружения и средств отладки, проверяя имена запущенных процессов и соответствующие ветви системного реестра Windows.
Trojan.Ticno.1537 также проверяет идентификатор продукта Windows (Product ID), имя пользователя и компьютера, количество вложенных папок в директории Program Files, наименование производителя BIOS и присутствие в системе работающих процессов perl.exe или python.exe. Если проверка завершилась успешно, вредоносная программа запускает Проводник и завершает свою работу.
Если троянец не обнаружил ничего подозрительного, он сохраняет на диск файл с именем 1.zip. В открывающемся нестандартном диалоговом окне сохранения файла Microsoft Windows в левом нижнем углу располагается ссылка «Дополнительные параметры», при нажатии на которую Trojan.Ticno.1537 покажет список программ, которые он собирается установить на компьютере.
При нажатии кнопки Save Trojan.Ticno.1537 начинает загрузку и установку этих программ.
Среди приложений, которые Trojan.Ticno.1537 устанавливает на компьютер жертвы — браузер Amigo и программа [email protected] разработки компании Mail.Ru, а также троянцы Trojan.ChromePatch.1, Trojan.Ticno.1548, Trojan.BPlug.1590, Trojan.Triosir.718, Trojan.Clickmein.1 и Adware.Plugin.1400.
Упомянутый выше Trojan.ChromePatch.1 — это рекламный троянец, который проникает в систему вместе с приложением TrayCalendar, созданным в 2002 году. Сама программа и троянец упакованы в единый установочный пакет.
Одновременно с копированием на диск TrayCalendar инсталлятор сохраняет и устанавливает расширение для Google Chrome. Наиболее интересная особенность Trojan.ChromePatch.1 заключается в том, что он умеет заражать файл ресурсов браузера Chrome, — resources.pak. Злоумышленники используют этот прием как минимум с весны 2015 г., чтобы в Chrome реклама отображалась даже после того, как троянец будет удален с компьютера.
При заражении размер этого файла не меняется, поскольку Trojan.ChromePatch.1 ищет в нем строки с комментариями и заменяет их собственным кодом. Назначение Trojan.ChromePatch.1 — показ в окне браузера Chrome нежелательной рекламы.
Все упомянутые троянцы обнаруживается и удаляются «Антивирусом Dr.Web».

[душман]

Скомпрометирована база данных обучающего сайта LinkedIn

Администрация образовательной платформы Lynda.com (принадлежит LinkedIn), специализирующейся на предоставлении online-видеоуроков, сообщила о несанкционированном доступе к своей базе данных.

В результате инцидента была скомпрометирована контактная информация и сведения о пройденных курсах порядка 9,5 млн пользователей ресурса, сообщает The Register.
Компания уже начала рассылать соответствующие уведомления, в которых указывает, что скомпрометированная БД не включала пароли пользователей. В настоящее время не обнаружено свидетельств публикации данных в открытом доступе, однако в качестве превентивной меры компания рекомендует пользователям переустановить пароли.
Напомним, в мае нынешнего года на одном из подпольных форумов была выставлена на продажу база данных, содержащая учетную информацию, в том числе адреса электронной почты и пароли 117 млн пользователей ресурса LinkedIn, похищенную в результате взлома в 2012 году.

[душман]

Обзор инцидентов безопасности за прошлую неделю

Прошедшая неделя ознаменовалась рядом утечек данных, кибератаками на финансовый и промышленный секторы, а также сообщениями о вредоносном ПО.

Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 12 по 18 декабря.Наиболее резонансным событием на прошлой неделе стало сообщение об утечке данных 1 млрд пользователей Yahoo!. Беспрецедентная по своим масштабам утечка является крупнейшей в истории. Хакеры могли получить доступ к именам, адресам электронной почты, номерам телефонов, датам рождения, хэшированным паролям и в некоторых случаях к незашифрованным секретным вопросам и ответам.
Жертвами утечки данных также стали порядка 9,5 млн пользователей принадлежащей LinkedIn платформы Lynda.com. К настоящему времени каких-либо свидетельств открытой публикации похищенной информации зафиксировано не было.
ИБ-эксперты Record Future обнаружили выставленные на продажу учетные данные американского ведомства, занимающегося тестированием и сертификацией оборудования для голосования. По словам продавца (русскоговорящего хакера), с их помощью ему удалось проникнуть в сети Комиссии по содействию выборам США (Election Assistance Commission) и получить доступ к результатам тестирования оборудования и ПО для голосования.
На время исчезнувшие из вида хакеры Fancy Bears снова дали о себе знать на прошлой неделе. Группировка опубликовала документы, свидетельствующие о предположительном сговоре Американского антидопингового агентства (USADA) и Канадского центра по вопросам этики в спорте (CCES) против Международного олимпийского комитета (МОК).
На прошлой неделе снова появились неутешительные новости о международной межбанковской системе SWIFT. Руководство компании в очередной раз предупредило своих клиентов о растущей угрозе кибератак. В частности, о хакерской атаке на свои системы сообщил турецкий банк Akbank.
Помимо финансового сектора, киберпреступники также атаковали промышленные предприятия. В ночь на 18 декабря в результате возможной хакерской атаки обесточенной оказалась «Северная» НЭК «Укрэнерго», в результате чего часть Киева лишалась электроснабжения.
Традиционно не обошлось без сообщений о новом вредоносном ПО. К примеру, исследователи компании Proofpoint сообщили о новой кампании по распространению набора эксплоитов DNSChanger. Примечательно, данный набор инфицирует вредоносным ПО не браузеры, а маршрутизаторы с целью внедрить рекламу в каждый посещаемый пользователями сайт.
Эксперты компании «Доктор Веб» обнаружили в прошивках десятков моделей Android-устройств несколько образцов вредоносного ПО - Android.DownLoader.473.origin и Android.Sprovider.7. Трояны сохраняются в системных каталогах и устанавливают сторонние приложения без ведома пользователя.
Внимание ИБ-экспертов на прошлой неделе привлекло устройство, позволяющее за полчаса получить полный контроль над Mac. С помощью разработанного шведским исследователем Ульфом Фриском гаджета под названием PCILeech можно обойти шифрование FileVault 2, реализованное в продуктах Apple.

[душман]

Турецкие власти заблокировали Tor

Турецкие власти заблокировали анонимную сеть Tor и возможность скачать одноименный браузер.

Об этом сообщается в специализированном техническом блоге Turkey Blocks.По словам авторов записи, доступ к Tor был ограничен в рамках стартовавшей в ноябре масштабной кампании по борьбе с сервисами обхода блокировок.
Тогда правительство потребовало от всех интернет-провайдеров заблокировать Tor и более десятка популярных VPN-приложений.
Представители Turkey Blocks отмечают, что с 5 декабря жители Турции лишились прямого доступа к Tor, однако войти в анонимную сеть все еще можно через так называемые «мосты» obfs3 и obfs4 — входные узлы Tor, специально предназначенные для обхода блокировок.
Их адреса не публикуются на официальном сайте проекта.В ноябре Turkey Blocks сообщил о блокировке в стране мессенджера WhatsApp, видеохостинга YouTube и социальных сетей Facebook и Twitter. По данным блогеров, доступ к сервисам был ограничен методом троттлинга — работу веб-сайтов замедлили до такой степени, что ими стало невозможно пользоваться.

[душман]

За распространения трояна GozNym хакеру грозит 100 лет тюрьмы

Правоохранительные органы США предъявили 44-летнему гражданину Болгарии Красимиру Николову обвинения в распространении вредоносного ПО GozNym.

GozNym представляет собой сравнительно новый банковский троян, совмещающий в себе функционал трояна Gozi и дроппера/вымогателя Nymaim. Впервые информация о нем была опубликована в апреле текущего года, однако атаки с использованием GozNym были зафиксированы в США еще в конце 2015 года. За короткий период времени троян быстро эволюционировал и стал применяться хакерами в Великобритании, Канаде, Бразилии, Германии, Польше, Испании и Японии.
Только в США GozNym атаковал 22 финансовые организации – от банков и до кредитных союзов.Как сообщает Bleeping Computer со ссылкой на материалы следствия, с помощью трояна Красимир Николов похищал банковские данные жертв и использовал их в попытках осуществить нелегальные транзакции. В сентябре 2016 года эксперты Cisco Talos пресекли деятельность распространявшего вредонос ботнета, однако GozNym просто так не сдался.
Как оказалось, Николов распространял троян с помощью ботнета Avalanche, ликвидированного только в конце прошлого месяца.
В настоящее время обвиняемый уже экстрадирован из Болгарии в США. За все преступления, в которых обвиняется Николов, ему грозит наказание в виде лишения свободы на срок до 100 лет и штрафа на сумму до $3,5 млн.

[душман]

Более 16 тыс. человек стали жертвами мобильного трояна-шифровальщика личных данных

Эксперты «Лаборатории Касперского» обнаружили новую модификацию мобильного банковского трояна Faketoken, которая способна не только блокировать экран устройства, вымогая деньги, но и шифровать с этой же целью файлы пользователя.

Под видом разных игр и программ, включая AdobeFlash Player, зловред крадет информацию из более чем 2 тыс. финансовых приложений для Android, сообщили в «Лаборатории Касперского». По данным компании, жертвами Faketoken стали свыше 16 тыс. человек в 27 странах. В основном это пользователи из России, Украины, Германии и Таиланда.
По мнению специалистов «Лаборатории Касперского», способность зашифровывать информацию нетипична для банковского трояна. Большинство мобильных зловредов-вымогателей блокируют само устройство, а не данные на нем, потому что те обычно хранятся еще и в «облаке». Faketoken же зашифровывает именно данные, причем как документы, так и медиафайлы (изображения, музыку и видео).
Троян использует алгоритм симметричного шифрования AES, что оставляет пользователю шанс на расшифровку данных без уплаты выкупа.
«Дело в том, что в этом алгоритме для кодирования и декодирования информации применяется один и тот же криптографический ключ, который остается на устройстве после шифрования. К тому же, из-за популярности AES существует большое количество программ для зашифровки и расшифровки с его помощью», — пояснили в компании.
При заражении устройства троян запрашивает права администратора, право перекрывать окна других приложений или стать приложением по умолчанию для работы с SMS. В случае отказа диалоговое окно перезапускается снова и снова, поэтому часто пользователь просто вынужден согласиться.
Троян крадет данные практически на любом языке: после того, как права получены, зловред загружает базу с фразами на 77 языках для разных локализаций устройства. Faketoken использует эти фразы, чтобы генерировать фишинговые сообщения и воровать пароли от аккаунтов Gmail. Также он способен перекрывать окно Google Play Store для кражи данных банковской карты жертвы.
«Последняя модификация Faketoken интересна тем, что некоторые из новых возможностей не дают ощутимой выгоды для злоумышленника. Выигрыш от функции шифрования сомнителен, потому что обычно у пользователя есть резервная копия данных в “облаке”. Это не значит, что стоит пренебрегать такими изменениями: возможно, они рассчитаны на неопытных пользователей, которые готовы не задумываясь заплатить выкуп.
К тому же, модификация может быть базой для будущего усовершенствования трояна, этапом на пути развития постоянно эволюционирующего и успешного семейства зловредов. Рассказывая об угрозе, мы помогаем людям сохранить свои устройства и данные в безопасности», — прокомментировал ситуацию антивирусный эксперт «Лаборатории Касперского» Роман Унучек.
«Лаборатория Касперского» обнаружила несколько тысяч установочных пакетов Faketoken, способных шифровать данные. Самый ранний из них относится к июлю 2016 г. Защитные продукты компании распознают и блокируют все модификации троянов семейства Faketoken.

[душман]

Правительственные сайты Таиланда подверглись DDoS-атаке

Активисты Anonymous атаковали по крайней мере шесть сайтов правительства Таиланда в качестве протеста против поправок в закон «О компьютерных преступлениях», сообщает издание Bangkok Post.

Согласно поправкам, правительство может без суда блокировать сайты, «нарушающие моральные устои общества».
По данным ресурса, в числе пострадавших оказались общественные web-сайты Министерства обороны, Министерства цифровой экономики и общества, а также портал Совета национальной безопасности Таиланда. О подробностях хакерской атаки не сообщается.
По словам пресс-секретаря Минобороны Таиланда генерал-майора Конгчипа Тантраванича, ущерб, причиненный сайту ведомства был незначительным. На момент написания новости сайт министерства (www.mod.go.th) продолжал оставаться недоступным.
Напомним, в августе текущего года участники движения Anonymous временно заблокировали сайты министра финансов Чехии миллиардера Андрея Бабиша. Таким образом активисты выразили протест против закона, позволяющего государству закрывать нелегальные сайты с азартными играми.

[душман]

Предъявлены обвинения операторам Bayrob

Троим мужчинам из Румынии были предъявлены обвинения в online-мошенничестве на сумму около $35 млн.

Мошенничество осуществлялось с помощью вредоносной программы Bayrob, позволяющей генерировать криптовалюту. За время активности группы было отправлено более 11 млн вредоносных писем и заражено свыше 300 тыс. компьютеров.
Обвиняемыми являются Богдан Николеску, Данет Тибериу и Раду Миклаус. Ранее мужчины были арестованы в Румынии и экстрадированы в США. Компания Symantec, которая участвует в расследовании с 2011 года, сообщает, что преступникам предъявлены обвинения в мошенничестве, краже персональных данных, отмывании денег и торговле контрафактными товарами и услугами.
Изначально группа была связана с мошенничеством на eBay и подобных сайтах, где публиковались ложные объявления о продаже автомобиля. Заинтересованным людям отправлялись письма с подтверждением покупки. Согласно следующему сообщению, сделка не состоялась, но клиент все еще может приобрести машину. Письмо содержало вложение, зараженное трояном Bayrob, способным отображать поддельные страницы eBay.
Жертвы мошенничества, решившие купить на таком аукционе транспортное средство, отправляли тысячи долларов через «денежных мулов» на счета злоумышленников. Преступная группа даже создала фальшивую транспортную компанию, связывавшуюся с покупателями и сообщавшую о задержке доставки. Такая схема позволяла преступникам получить деньги до раскрытия потерпевшими обмана.
Хотя сначала группа ориентировалась на мошенничество на аукционах, вскоре преступники начали похищать данные кредитных карт с зараженных компьютеров. Позже они перешли на генерирование криптовалюты.
Группа смогла действовать в течение такого длительного времени за счет повсеместного использования шифрования online-сообщений. «Электронная почта шифровалась с помощью PGP, а мгновенные сообщения – протокола Off-The-Record (OTP)» – сообщает Symantec. Преступники также применяли двойной слой прокси-серверов, однако именно слабое место в их использовании позволило раскрыть злоумышленников.

[душман]

Kaspersky Software Updater устранит уязвимости в программах

«Лаборатория Касперского» объявила о выпуске бесплатной программы для компьютеров под управлением Windows — Kaspersky Software Updater.

Как рассказали в компании, программа позволяет обновлять установленное на устройстве ПО. Таким образом продукт устраняет потенциальные «дыры» в безопасности до того, как ими воспользуются киберпреступники.
Всегда существует вероятность того, что в программном коде присутствуют непредвиденные ошибки. Некоторые из них позволяют использовать программу не по назначению: такие ошибки принято называть уязвимостями. Чем популярнее приложение, тем активнее преступники ищут в нем уязвимости, с помощью которых вредоносная программа может незаметно проникнуть на устройство.
Разработчики программ относятся к этому серьезно и регулярно закрывают найденные бреши, выпуская свежие версии своих приложений. Однако не у всех пользователей хватает времени на то, чтобы систематически проверять наличие обновлений и устанавливать их. К тому же на современном компьютере обычно установлено столько программ, что проверка каждой по отдельности становится непосильной задачей.
Заботясь об удобстве и безопасности пользователей, «Лаборатория Касперского» разработала Kaspersky Software Updater. Этот инструмент прошел проверку на 800 тыс. пользователей в виде бета-версии, и сегодня компания представляет программу официально.
Решение «Лаборатории Касперского» сканирует устройство в поисках популярных программ, нуждающихся в обновлении, и предоставляет владельцу отчет о них. По желанию пользователя, Kaspersky Software Updater может самостоятельно загрузить свежие программы с сайтов производителей и единовременно заменить устаревшие версии.
«Наша основная задача — повысить уровень безопасности пользователей от киберугроз, — сказал Вячеслав Закоржевский, руководитель отдела антивирусных исследований «Лаборатории Касперского».Уязвимости в программном обеспечении сегодня — одна из ключевых проблем, так как они позволяют преступнику незаметно получить контроль над чужим ПК. Мы уверены, что лучше предотвращать угрозу, чем бороться с ее последствиями, поэтому призываем всех пользователей регулярно обновлять операционную систему и установленные приложения».
Kaspersky Software Updater доступен на многих языках, включая русский, на сайте free.kaspersky.com/ru или в составе Kaspersky Security Scan — приложения для проверки ПК под управлением Windows на заражение вредоносными программами и наличие опасных настроек.

[душман]

Банкоматы будут приоритетом у хакеров в 2017 году

В 2017 году хакеры сосредоточат усилия на краже средств из банкоматов.

По прогнозам экспертов, в будущем году размер хищений с помощью банкоматов может превысить 2,5 млрд рублей (на 25-30% больше по сравнению с 2016 годом).
Согласно оценкам специалистов, в 2017 году число кибератак на банки возрастет на 30%. Подобная тенденция будет обусловлена растущей изобретательностью злоумышленников и недостаточными инвестициями кредитных организаций в собственную кибербезопасность. Вместе с тем, хакеры усилят атаки не только на банки, но и на их клиентов, в частности, через банкоматы (АТМ).
Существует два способа хищения средств через АТМ. Первый метод заключается в подключении хакерских устройств к диспенсеру банкомата (через внешнюю панель) и выводе имеющихся в нем денег. Второй способ предполагает проникновение во внутреннюю сеть банков для управления сетями банкоматов: злоумышленник получает доступ к серверу управления АТМ, запускает вредоносное ПО и затем с поддельных карт снимает средства.
В случае инфицирования банкомата вредоносным ПО, потери понесут граждане, а доказать сам факт кражи будет довольно сложно.
Как пояснил руководитель аналитического центра Zecurion Владимир Ульянов, наиболее уязвимыми являются банкоматы без современного ПО, а также устройства, которые находятся на улицах и никак не охраняются.

[душман]

В Украине ликвидирован ещё один пиратский портал

В Запорожской области прекращена деятельность очередного сайта, распространяющего пиратский контент, сообщает сайт Киберполиции Украины.

Работа ресурса была прекращена силами отдела противодействия киберпреступлениям Запорожской области.
Сайт mega-cinema.pp.ua стал очередным веб-сайтом, потерпевшем ликвидацию в связи с серьёзными обвинениями в пиратстве и нарушениями авторских прав.
Сообщается, что из-за деятельности портала правообладатели понесли убытки в целом на 1,2 млн грн.
Как стало известно, управлял сайтом 18-летний житель Запорожья, которому уже предъявили подозрение в совершении правонарушения.

[душман]

Мошенники маскируют вредоносное ПО под игру Super Mario Run

Специалисты компании Trend Micro предупредили о появлении фальшивых Android-версий популярной игры Super Mario Run, содержащих вредоносное ПО, позволяющее получить контроль над устройством.

Эксперты обнаружили ряд таких программ в сторонних магазинах приложений. Одна из них под названием Super Mario требует разрешение пользователя на установку обновления 9Apps, которое, в свою очередь, запрашивает дополнительные разрешения на запись аудио, получение доступа к SD-карте, изменение записей в календаре и пр.
Данное приложение также предлагает ограниченную версию легитимной игры Super Mario Bros. По данным Trend Micro, фальшивое приложение Super Mario отображает ненужные иконки, всплывающие рекламные баннеры, устанавливает дополнительные программы и выполняет другие действия без разрешения пользователя.
При переходе по ссылке в рекламном объявлении Super Mario перенаправляет пользователя на вредоносные интернет-страницы или сайты «для взрослых», устанавливающие дополнительные вредоносные приложения на устройство жертвы. Некоторые из таких приложений могут запрашивать права администратора на устройстве.
В 2016 году специалисты Trend Micro обнаружили в общей сложности 90 тыс. вредоносных программ, маскирующихся под игру Super Mario. Наибольшее число загрузок подобных приложений зафиксировано в Индонезии (41%), Индии (33%), Мексике (8%) и Японии (4%).

[душман]

Азербайджанские хакеры взломали электронную почту около 5 тыс. армян

Участники азербайджанской кибергруппировки Anti-Armenia Team заявили о взломе учетных записей электронной почты порядка 5 тыс. армян.

Хакеры не сообщили о подробностях взлома, уточнив лишь, что доступ к данным был получен при помощи фишинговых атак. В качестве доказательства группировка предоставила фрагмент БД, включающий логины и пароли пострадавших в результате взлома.
По словам хакеров, в их распоряжении оказалась «важная информация». В ближайшем будущем Anti-Armenia Team пообещала опубликовать 450 ГБ данных, полученных в результате взлома.
Напомним, в начале сентября нынешнего года группировка Anti-Armenia Team взломала используемые правительством Армении серверы, похитила и опубликовала паспортные данные въехавших в страну иностранных граждан. В начале текущего года хакеры атаковали 47 армянских сайтов, в том числе ресурс Министерства иностранных дел Армении.
Жертвами атаки также стали сайты посольств и консульств Армении в США, России, Аргентине, Австрии, Беларуси, Бельгии, Бразилии, Болгарии, Канаде, Китае.

[душман]

В 2016 году большинство интернет-ресурсов самостоятельно ограничивали доступ к противоправной информации

В 2016 г. в Единый реестр запрещенной информации внесено 87 тыс. интернет-страниц с противоправной информацией.

Количество веб-страниц, с которых противозаконные материалы по требованиям Роскомнадзора были удалены администрациями интернет-ресурсов, составило около 52 тыс. При этом 34,5 тыс. адресов (40%) были заблокированы операторами связи, сообщили в Роскомнадзоре.Веб-адреса принимаются в обработку по обращениям граждан и общественных организаций. В 2016 г. на «горячую линию» Роскомнадзора поступило 127 тыс. сообщений о наличии в Сети запрещенной информации. Эта цифра на 30% выше прошлогодней. Около 40 тыс. обращений были отклонены экспертами в связи с тем, что наличие противоправной информации не подтвердилось.Количество поступивших в ведомство решений суда о признании информации запрещенной выросло в три раза в сравнении с 2015 г. (24 тыс. судебных решений). На основании этих решений в Единый реестр было внесено около 43 тыс. интернет-страниц. Всего судебные решения выносились по 22 категориям информации, связанной с совершением административных правонарушений или преступлений.
Таким образом, Единый реестр запрещенной информации является универсальным инструментом профилактике правонарушений в интернете, отметили в Роскомнадзоре.Кроме того, в уходящем году были заблокированы 20 мобильных приложений, распространявших экстремистские материалы.

[душман]

Обзор инцидентов безопасности за прошлую неделю

В последние недели уходящего года весь мир готовится к зимним праздникам, и киберпреступники не являются исключением. Прошедшая неделя оказалась сравнительно спокойной в отношении инцидентов безопасности. Предлагаем вашему вниманию краткий обзор главных событий в мире ИБ за период с 19 по 25 декабря 2016 года.
Одним из наиболее резонансных сообщений на прошлой неделе стала новость о слежке хакеров из Fancy Bear (APT 28) за украинской артиллерией. Как сообщают исследователи CrowdStrike, киберпреступники, предположительно связанные с правительством РФ, использовали шпионское ПО для Android-устройств, способное перехватывать телекоммуникации и геолокационные данные.
На прошлой неделе Литва обвинила Россию в кибератаках на свои системы. По словам руководителя национального центра кибербезопасности при литовском министерстве обороны Римтаутаса Черняускаса, шпионское ПО (предположительно российское) периодически обнаруживается на правительственных компьютерах как минимум с 2015 года.
Продолжается кибервойна между армянскими и азербайджанскими хакерами. Участники азербайджанской кибергруппировки Anti-Armenia Team заявили о взломе учетных записей электронной почты порядка 5 тыс. армян. Хакеры не сообщили подробности, уточнив лишь, что доступ к данным был получен при помощи фишинговых атак.
Хакер, известный под псевдонимом Le4ky, заявил об успешном взломе сайта ФБР США, однако пока никто не подтвердил его слова. Согласно последним публикациям злоумышленника в Twitter, ему удалось обнаружить и проэксплуатировать ранее неизвестную уязвимость в системе управления контентом (CMS) Plone, на базе которой работает сайт.
Не обошлось на прошлой неделе без сообщений о ботнетах. Исследователи ESET обнаружили растущую ботсеть из устройств «Интернета вещей» (IoT) и Linux-серверов, инфицированных новым вредоносным ПО Rakos. В настоящее время вредонос лишь заражает все новые устройства, превращая их в боты, однако сам ботнет пока бездействует.
Эксперты Trend Micro обнаружили новое семейство вредоносного ПО, позволяющее злоумышленникам с физическим доступом к портам банкомата заставить устройство выдавать наличные. По словам исследователей, Alice используется по крайней мере с 2014 года.
Специалисты «Лаборатории Касперского» обнаружили новый вариант банковского Android-трояна Faketoken, способный шифровать хранящиеся на смартфоне файлы. К настоящему времени его жертвами стали порядка 16 тыс. пользователей в 27 странах, включая Россию, Украину и Германию.
Эксперты White Ops опубликовали подробности о деятельности российской киберпреступной группировки, зарабатывающей $5 млн в день на «накрутке» посещаемости сайтов. За мошеннической схемой, получившей название Methbot, стоит группировка, которую эксперты называют Ad Fraud Komanda или «AFK13».

[душман]

Microsoft признала агрессивной свою политику обновления до Windows 10

Microsoft подвергается постоянной критике за свою агрессивную политику в продвижении бесплатного обновления до Windows 10.

По словам некоторых пользователей, новая версия ОС устанавливалась на их компьютеры, даже если они отказывались от обновления.
Дело в том, что Microsoft изменила функцию кнопки X в приложении Get Windows 10. Нажатие на «крестик» больше не отменяло процесс установки обновления, а, наоборот, подготавливало к нему в фоновом режиме. В новом выпуске передачи Windows Weekly старший директор по маркетингу Microsoft Крис Капоссела признал, что здесь компания действительно перегнула палку.
По его словам две недели между изменением функции кнопки Х и выпуском исправления были «очень болезненными».
«Мы хотим, чтобы люди использовали Windows 10 из соображений безопасности. Способность найти баланс и не пересечь черту, будучи слишком агрессивными – это то, чего мы пытались добиться большую часть года, и мне кажется, нам это удалось. Однако был один спорный момент, когда красный Х в диалоговом окне, который обычно означает отмену, выполнял другую функцию», - отметил Капоссела.
После того, как Microsoft завалили жалобы пользователей, компания решила вернуть кнопке ее обычное предназначение, однако на это потребовалось некоторое время. По словам директора по маркетингу, техногигант извлек из сложившейся ситуации ценный урок.

[душман]

Роскомнадзор массово блокирует анонимайзеры

В последнее время Роскомнадзор усилил борьбу с сервисами, позволяющими обходить блокировку сайтов.

Как сообщалось ранее, с начала прошлого месяца регулятор заблокировал 27 анонимайзеров.В настоящее время в РФ использование анонимайзеров не противоречит закону. Сервисы по обходу блокировки, скрывающие реальный IP-адрес пользователей, стали популярными у россиян после того, как в 2012 году Роскомнадзор создал реестр сайтов с запрещенной информацией.
Ведомство и раньше блокировало подобные ресурсы, однако эти случаи были единичными. Как правило, блокировался доступ к сайту с нелегальным контентом, а заодно и вход на него через определенные анонимайзеры. В 2012 году Роскомнадзор лишил возможности посещать сайт с детской порнографией через сервис Hangonet.dyndns.org.Спустя три года Генпрокуратура заблокировала выходы через Netzamku.ru и Vkho.ru для экстремистской группы в соцсети «ВКонтакте». Тем не менее, с лета 2016 года региональные суды по искам местных прокуроратур стали принимать решения о блокировке анонимайзеров целиком, и если ранее блокировке подвергались единицы, то теперь можно говорить о массовой тенденции.Причиной блокировки является возможность с помощью подобных сервисов посещать ранее запрещенные сайты с экстремистскими материалами, а также информацией о наркотических веществах и азартными играми, лидерами по количеству решений о блокировках доступа к анонимайзерам являются Железнодорожный суд Красноярска и Учалинский районный суд Уфы (Башкортостан).
Ведомства вынесли десять и шесть вердиктов по данному вопросу соответственно. Одно решение Октябрьского районного суда Ставрополя обязало заблокировать сразу 17 сервисов по обеспечению анонимности в Сети.

[душман]

Microsoft позволит пользователям Windows 10 ставить обновления «на паузу»

Компания Microsoft предоставит пользователям Windows 10 больший контроль над установкой обновлений.

По данным издания Softpedia, в неофициальной сборке Windows 10 Creators Update под номером 14997 производитель реализовал функцию, позволяющую пользователю отложить установку обновлений Microsoft.Пользователи Windows 10 уже не раз сообщали о проблемах с установкой кумулятивных обновлений. К примеру, только в ноябре текущего года Microsoft выпустила два неустанавливаемых обновления, а месяцем позже пользователи из Великобритании столкнулись с проблемами с выходом в Интернет после установки обновлений для операционных систем Windows 8 и 10.Как пояснили в Microsoft, пользователи смогут «временно откладывать установку обновлений на период до 35 дней». Будет ли такая возможность доступна для критических обновлений, не сообщается.