Новые вирусные угрозы

[satvitek]

Обнаружена новая угроза для Mac OS X

Эксперты ESET сообщают об обнаружении бэкдора Keydnap, котрый крадет пароли из сервиса Apple «Связка ключей iCloud» (iCloud Keychain) и открывает злоумышленникам доступ к зараженному компьютеру.

Предположительно, Keydnap распространяется «по старинке» – в ZIP-архиве, приложенном к фишинговому письму. В архиве находится исполняемый файл Mach-O, замаскированный под текстовый файл или картинку в формате JPEG.
Keydnap притворяется картинкой.

Если пользователь попытается открыть файл из архива, Keydnap покажет картинку или текстовый документ. Тем временем на макбуке исполняется вредоносный код, и происходит скачивание и установка бэкдора.

После установки Keydnap собирает и фильтрует информацию о зараженном компьютере. Вредоносная программа использует права текущего пользователя, но пытается получить root-доступ, для чего открывает окно ввода пароля Mac-пользователя.

Получив расширенные права в системе, Keydnap копирует содержимое менеджера паролей «Связка ключей iCloud». Информация отправляется на управляющий сервер злоумышленников посредством Tor2Web. Специалисты ESET отследили два сервера, к которым обращается вредоносная программа.
Помимо этого Keydnap может устанавливать обновления, скачивать и запускать другие исполняемые файлы, запрашивать для них права администратора.

[студент]

Мобильный зловред блокирует звонки в банк

Исследователь компании Symantec Динеш Винкатесан сообщил о новой разновидности вредоносного ПО для мобильных устройств Android.Fakebank.B. Зловред не только похищает данные банковских карт пользователей, но и препятствует совершению звонков в службу поддержки клиентов банка с целью блокировки скомпрометированной карты. Специальный модуль отслеживает и блокирует исходящие вызовы на номера горячих линий нескольких банков. Это дает возможность киберпреступникам выиграть время, опустошая счет жертвы, прежде чем та сумеет сообщить о несанкционированных транзакциях.

К сожалению, в числе номеров, подлежащих блокировке Android.Fakebank.B, есть и номер горячей линии Сбербанка РФ, а потому российским пользователям Android-устройств следует проявить особую осторожность. Пользователям, подвергшимся атаке зловреда, рекомендуется срочно блокировать свои карты не с инфицированного устройства, а воспользовавшись каким-либо другим телефоном.

[vladimir59]

«Одноклассники» выплатили хакерам более 1 млн рублей за найденные уязвимости

Социальная сеть «Одноклассники» подвела итоги первого года участия в международной программе по поиску уязвимостей HackerOne, сообщается в официальном блоге компании.

В конце июля 2015 года социальная сеть запустила программу вознаграждений за уязвимости, найденные как на основной, так и на мобильной версии сайта. К середине июля 2016 года компания выплатила пользователям более 1 млн руб. за найденные ошибки.

В течение года команде сервиса поступило 1328 сообщений об уязвимостях, но только 167 из них были признаны действительными. Всего в программе приняли участие 140 хакеров.

В соответствии с политикой «Одноклассников» поощрительная премия участникам HackerOne выплачивается при обнаружении серьезных ошибок, угрожающих безопасности сайта или сохранности данных пользователя. Вознаграждение получили только те специалисты, которые первыми обнаружили ту или иную уязвимость. Средняя стоимость ошибки в соцсети составила 20 тыс. руб.

[студент]

Новый троян перехватывает контроль над камерой Mac и отправляет видео в сеть Tor

Программа-вредитель OSX/Eleanor-A выдает себя за утилиту EasyDoc Converter и подключает Mac к анонимной сети Tor, через которую хакер может полностью контролировать компьютер, включая встроенную веб-камеру.

Программа-вредитель под видом популярной утилиты

Операционная система компьютеров Mac, привыкшая к относительной безопасности, столкнулась с серьезным врагом – вредоносной программой OSX/Eleanor-A. Программа выдает себя за утилиту EasyDoc Converter, предназначенную для конвертации под Mac файлов Windows.

Эту утилиту можно найти на достойных доверия сайтах, однако она не проверялась Apple и не имеет их цифровой подписи. Чтобы упаковать себя под EasyDoc Converter, вредоносная программа использует бесплатный инструмент Platypus.

Как работает троян Eleanor

В фоновом режиме OSX/Eleanor-A создает скрытую папку. После того, как сам вредитель уже выявлен и удален, эта папка остается на компьютере. Ее содержимое – различные фолдеры и скрипты, которые по отдельности выглядят как инструменты, имеющиеся в свободном доступе. Из этих вроде бы безобидных компонентов OSX/Eleanor-A при помощи системных утилит собирает опасную конфигурацию OS X LaunchAgents. Загрузка OS X LaunchAgents тоже происходит в фоновом режиме, поэтому пользователь может ее проигнорировать или вообще не заметить. Никаких прав администратора на запуск система не запрашивает.

Подключение к Tor

После установки на компьютере начинают действовать три фоновых программы. Одна подключает ваш Mac к анонимной сети Tor, делая компьютер видимым в «глубоком» интернете. Этот скрытый сервис соединяет вас с локальным сервером, который действует как C&C центр. Tor также устанавливает связь с криптографическим сервисом SSH, с которого ваш компьютер можно достать даже за фаерволом. Параллельно этому действует вторая фоновая программа – PHP-скрипт, открывающий доступ к файлам через браузер.

Вместе эти две программы полностью передают ваш Mac под контроль злоумышленника. Ему достаточно знать лишь имя скрытого сервиса, уникальное для каждого зараженного компьютера. Чтобы его выяснить, нужна третья программа, которая загружает произвольное 16-значное имя в профиль Pastebin. Открыв преступнику доступ к вашим файлам, программа автоматически удаляется.

Что OSX/Eleanor-A делает с компьютером

Одна из интереснейших обнаруженных функций трояна - это перехват им контроля над iSight - встроенной камерой компьютеров Mac.

Доступ к веб-камере позволяет OSX/Eleanor-A круглосуточно наблюдать за пользователем. За пересылку данных на компьютер хакера отвечает утилита Netcat, за работу с веб-камерой – компонент Wacaw. Работу со снимками, скрыто сделанными камерой, облегчает программа просмотра изображений, написанная на PHP. Как полагают эксперты из Bitdefender, изучающие проблему, отследить, куда отправляются данные, невозможно.

[satvitek]

Исследователь нашёл метод кражи денег в Instagram, Google и Microsoft

Бельгийский исследователь в сфере информационной безопасности Арне Свиннен нашёл способ вытягивания денег из Facebook через сервис Instagram, у Google и Microsoft с применением голосовой системы распределения токенов при двухфакторной аутентификации (2FA).

Большинство использующих 2FA компаний отправляют своим пользователям короткие коды через сообщения СМС. Если пользователь пожелает, то вместо СМС он может получать голосовой звонок, во время которого автоматизированный оператор говорит код вслух. Звонок выполняется на привязанный к учётной записи номер телефона.

Свиннен сумел создать аккаунты в Instagram, Google и Microsoft Office 365, а потом привязать их к премиальному номеру телефона вместо обычного. Звоня на этот номер, компании получают за это счёт на оплату. C применением скриптов хакеры могут запрашивать метки аутентификации у всех аккаунтов и зарабатывать на телефонных звонках.

Подсчёты показывают, что за год теоретически можно заработать 2.066.000 евро на Instagram, 432.000 евро на Google и 669.000 евро на Microsoft. Технические подробности отличаются для каждого сервиса. Информация была отправлена в программы поиска багов соответствующих компаний. От Facebook за это была получена награда в $2000, в Microsoft - $500, в Google - упоминание в зале славы компании.

Ранее Свиннен нашёл баг в учётных записях Facebook и помог Instagram защитить механизм входа в систему от инновационных атак перебора.

[satvitek]

Поддельное приложение Pokemon GO на Android блокирует экран


Популярность игры Pokemon GO сделала её весьма востребованной среди злоумышленников. Технически подкованные граждане распространяют через неё трояны в сторонних магазинах приложений, а предпочитающие действовать в реальном мире преступники заманивают жертв в укромные места и грабят. После доклада от компании ESET Google убрала из своего магазина несколько приложений с вредоносным кодом, претендующих на связь с Pokemon GO.

Приложение Pokemon GO Ultimate обещало доступ к игре даже в тех странах, где её официальный релиз ещё не состоялся - то есть за пределами США, Австралии, Новой Зеландии, Германии и Великобритании. Желающих скачать эту программу нашлось межу 500 и 1000 человек.

Установив приложение, никакой игры пользователи не получают. Вместо этого ставится программа PI Network, иконка которой появляется на домашнем экране. При нажатии на неё экран блокируется появившимся окном, убрать которое позволяет только перезагрузка. Зачастую перезагрузка невозможна по причине начавшейся вредоносной деятельности приложения, так что потребуется вынуть батарею или применить Android Device Manager.

Само собой, так просто от трояна отделаться не удастся. Иконка с домашнего экрана пропадёт, но программа будет работать в фоновом режиме, открывая сайты для взрослых и нажимая по рекламным баннерам. Программу нужно удалить в настройках системы.

Двумя другими опасными приложениями являются Guide & Cheats for Pokemon Go и Install Pokemongo. Они обещают читы для игры, но вместо этого доставляют рекламу и подписывают на платные сервисы. Первую установили 100-500 человек, вторую намного больше - 10000-50000 пользователей.

[vladimir59]

Найден способ обнаруживать зловреды в зашифрованном трафике

Группа исследователей компании Cisco сообщила о найденном ими способе обнаружения вредоносного трафика внутри защищенных шифрованием TLS соединений. Примечательно то, что их метод не требует расшифровки данных, основываясь лишь на анализе поведения потоков. Исследователи проанализировали миллионы пакетов зашифрованных данных и смогли с высокой степенью точности выявить поведение зловредов 18 распространенных семейств, включая такие популярные у киберпреступников как Bergat, Deshacop, Dridex, Dynamer, Virlock, Virtob, Yakes, Zbot и Zusy. Вероятность обнаружения и определения семейств зловредов в зашифрованном потоке трафика в ходе экспериментов превысила 90 процентов.

Работа под названием Deciphering Malware's use of TLS (without Decryption), подробно описывающая методику обнаружения зловредов, опубликована на сайте arxiv.org. К сожалению, сами авторы исследования признают, что метод не может быть использован интернет-провайдерами. Зато вполне может быть взят на вооружение крупными компаниями для защиты своих корпоративных сетей от вредоносного трафика.

[студент]

Взломан главный сайт Linux Ubuntu

Компания Canonical сообщила о взломе сайта Ubuntu с помощью инъекции SQL-кода. Хакеры узнали логины, адреса электронной почты и IP примерно 2 млн пользователей.

Как Canonical узнала об атаке на форумы

Компания Canonical, разработчик Ubuntu, одной из самых популярных ОС, основанных на ядре Linux, продолжает ликвидировать последствия атаки на сайт Ubuntu Forums. О взломе стало известно вечером 14 июля 2016 г., когда пользователи сайта сообщили, что у неизвестного лица есть копия баз данных форумов.

Предварительная проверка подтвердила утечку данных, и Ubuntu Forums прекратил работу из соображений безопасности. Дальнейшее исследование проблемы выявило внедрение SQL-кода в дополнение Forumrunner к форумному движку vBulletin. Компании было известно об уязвимости Forumrunner, но, несмотря на это, она не была исправлена.

К каким данным получили доступ хакеры

Инъекция SQL-кода на сервере баз данных открыла злоумышленникам доступ ко всем базам данных форума, но Canonical утверждает, что компрометации подверглась только часть этих данных. Злоумышленники скачали адреса электронной почты, логины и IP-адреса примерно 2 млн его пользователей.

В результате взлома к хакерам попали логины, адреса электронной почты и IP примерно 2 млн пользователей Ubuntu
Действующие пароли в руки взломщиков не попали, поскольку хранились в хэшированном виде.

Canonical ручается, что злоумышленники не имели доступа к другим сервисам сайта. Они не смогли вмешаться в работу репозитория кода Ubuntu и механизмов обновления, и не смогли получить права записи в базах данных.

Ликвидация последствий взлома

Устраняя последствия взлома, компания скопировала, почистила и перестроила с нуля все серверы, работающие с vBulletin. Форумный движок vBulletin был обновлен, а административные пароли ко всем системам и базам данных были изменены.

Для предотвращения дальнейших атак Canonical установила защитное приложение ModSecurity, а также реорганизовала систему наблюдения за vBulletin. Компания принесла пользователям извинения за неудобства.

[satvitek]

Хакеры пообещали уничтожить Pokemon GO в начале августа


Хакеры из группировки Poodlecorp пообещали «уничтожить» популярную игру Pokemon GO с помощью массовых DDoS-атак. Об угрозах злоумышленников сообщает The Next Web.

«Мы положим их сервера, и никто нас не остановит. Мы сделаем это, потому что можем, и нам нравится нести хаос», — отметил один из участников группировки. По его словам, злоумышленники выбрали для атаки дату 1 августа, чтобы у них «было время расслабиться и ничего не делать».

Хакер также подчеркнул, что атака на Pokemon GO станет самой серьезной в истории группировки и несет цель «уничтожить» игру минимум на 20 часов. Для вывода из строя серверов компании-разработчика Niantic будет использован ботнет из 600 тысяч устройств.

Poodlecorp известны своими атаками на известные онлайн-игры и интернет-звезд. Они неоднократно взламывали сервера MMORPG League of Legends и нескольких блогеров-миллионников на YouTube.

Pokemon GO — игра с элементами дополненной реальности, в начале июля вышедшая на iOS и Android. Ее суть заключается в поимке покемонов с помощью смартфона. Чтобы найти покемона, игроки должны перемещаться по городу в реальности, используя геолокацию. За короткое время игра приобрела широкую популярность по всему миру.

[студент]

Хакеры признались в любви к Xbox от имени президента Sony


Хакеры из группировки OurMine взломали Twitter президента Sony Worldwide Studios и Sony Interactive Entertainment Шухея Йошиды (Shuhei Yoshida). Сообщения об этом были опубликованы на его странице в сервисе микроблогов.

От имени Йошиды киберпреступники написали несколько постов. В одном из них они заявили, что получили доступ к аккаунту и рассказали президенту Sony Worldwide Studios, как он может с ними связаться, чтобы получить свою страницу обратно.

— Shuhei Yoshida (@yosp) 20 июля 2016, 09:38

Кроме того, члены OurMine опубликовали сообщение с хэштегом #Xbox4Ever («Xbox навсегда»), однако затем признались, что пошутили. «Извините, ребята, твит "#Xbox4Ever" был шуткой, на самом деле нам нравится и Playstation, и Xbox», — написали они.

— Shuhei Yoshida (@yosp) 20 июля 2016, 10:55

В июне хакеры из OurMine взломали аккаунты основателя Facebook Марка Цукерберга в социальных сетях Instagram, Twitter, LinkedIn и Pinterest.

OurMine — хакерская группировка, члены которой утверждают, что взламывают аккаунты известных людей в соцсетях, чтобы помочь им обеспечить безопасность своих страниц. Как правило, после получения доступа к чужому профилю взломщики предлагают его владельцу связаться с ними, после чего обещают вернуть страницу. Таким образом они стараются обратить внимание пользователей на недостаточную защищенность их профилей.

[студент]

Oracle побил рекорд по уязвимостям

Корпорация Oracle выпустила очередной ежеквартальный пакет обновлений своих программных продуктов. Июльский пакет устраняет сразу 276 уязвимостей, обнаруженных в 84 программах. Это абсолютный рекорд, никогда прежде в ПО Oracle не обнаруживалось за 3 месяца столь большого числа проблем, требующих устранения. При этом 159 уязвимостей могут эксплуатироваться дистанционно, не требуя авторизации пользователя. Значительное число уязвимостей имеют рейтинг 9 и выше по шкале Common Vulnerability Scoring System (CVSS), являясь, таким образом, критическими. А 19 и вовсе получили рейтинг 9,8 из 10 возможных.

Уязвимости выявлены во множестве популярных программных продуктов корпорации. Среди них – Fusion Middleware range, GlassFish, WebLogic, Oracle Secure Global Desktop, Oracle Supply Chain, Oracle MySQL и Oracle Java SE. Эксперты сходятся на том, что обновления следует установить незамедлительно, и выражают обеспокоенность большим числом выявленных уязвимостей. Разумеется, Oracle является одной из крупнейших компаний на рынке ПО, и забота о безопасности программных продуктов не может не вызывать уважения. И все же 276 обнаруженных уязвимостей за 3 месяца – это, определенно, много. Особенно если учесть, что предыдущий пакет обновлений от Oracle, вышедший в апреле, устранял лишь 136 уязвимостей.

[студент]

В большинстве антивирусов нашли дыры, которые упрощают взлом


Исследователи из компании enSilo нашли шесть серьёзных проблем с безопасностью, свойственных пятнадцати продуктам таких компаний, как AVG, «Лаборатория Касперского», McAfee, Symantec, Trend Micro, Bitdefender, Citrix, Webroot, Avast, Emsisoft, Microsoft и Vera Security. Все они напрямую связаны с методами перехвата вызывов других процессов, которые используют антивирусы и средства виртуализации.

В enSilo обнаружили уязвимости, когда изучали, каким образом различные приложения используют технологию под названием hooking и внедряют свой код в другие процессы, чтобы перехватывать, отслеживать и модифицировать выполняемые ими системные вызовы.

Эта технология широко применяется антивирусами для того, чтобы следить за вредоносным поведением приложений. Кроме того, hooking используют для защиты от эксплойтов, виртуализации, мониторинга производительности и сэндбоксинга.

Некоторые дыры, найденные enSilo, позволяют полностью обойти средства защиты Windows и других программ от эксплойтов. В результате злоумышленники получают возможность эксплуатировать такие уязвимости, которые в другом случае были бы труднодоступны, а то и недоступны вовсе.

Другие дыры могут привести к тому, что вредоносная программ останется незамеченной или сможет внедрять собственный код в любые программы, запущенные на компьютере жертвы.

Некоторые компании, упомянутые в отчёте enSilo, уже устранили замеченные ошибки, но рассчитывать на скорое решение всех проблем не приходится.

Поскольку в список уязвимых продуктов входит Microsoft Detour, в enSilo полагают, что под удар попали сотни тысяч пользователей. Уязвимость в Detour остаётся неисправленной по меньшей мере восемь лет. Ожидается, что её устранят в августе.

[vladimir59]

Шифровальщики заматерели

Компания Symantec опубликовала специальное исследование Ransomware and Businesses, посвященное тенденциям развития кибератак, использующих зловреды-шифровальщики. Оно анализирует данные за период с начала 2015 по март 2016 года, и выводы его не слишком утешительны. По мнению специалистов Symantec, шифровальщики вступили в период зрелости, а киберпреступники, стоящие за их созданием и распространением, стали намного опытнее, увереннее в себе – и потому опаснее.

За прошедший год было обнаружено ровно 100 новых семейств вредоносного ПО, предназначенного для зашифровки данных на инфицированных компьютерах. Число зафиксированных атак с использованием этих зловредов составляло в среднем 23-35 тысяч в месяц, а пик пришелся на март нынешнего года, когда было выявлено сразу 56 тысяч атак. Причиной тому стал «дебют» опасного шифровальщика Locky.

В 57 процентах случаев жертвами шифровальщиков становятся индивидуальные пользователи. Однако авторы исследования подчеркивают, что киберпреступники все активнее атакуют именно корпоративные сети. При этом он нередко используют тактику, характерную для высокоточных постоянных атак (APT). Злоумышленники проникают в корпоративные сети и долгое время скрывают свое присутствие, тщательно изучая направление и интенсивность информационных потоков и выявляя слабые места и критически важные узлы, по которым впоследствии и наносится удар. Эффективность таких атак вполне убедительно подтверждается тем, что с конца 2015 по апрель 2016 года средняя сумма выкупа, требуемая киберпреступниками за разблокировку зашифрованных данных, выросла более чем вдвое – с 294 до 679 долларов.

Среди стран, чьи индивидуальные пользователи, предприятия и организации чаще всего подвергаются атакам шифровальщиков, с большим отрывом лидируют Соединенные Штаты. На их долю приходится 38 процентов всех зафиксированных атак. Второе и третье место делят Италия и Япония – по 8 процентов.

[студент]

Хакерская команда Pangu выпустила джейлбрейк для новой iOS

Хакеры отслеживают все движения специалистов Apple. Вышел новый джейлбрейк для устройств под управлением iOS 9.3.3 для Windows.

Команда уделила внимание в первую очередь 64-х битным устройствам. Данный хак недоступен для iPhone 5С и ниже. Также ограничение этой модификации распространяется на доступ к сервису Cydia. Взломщики не считают своё произведение полноценным джейлбрейком, так как для полноценной его работы надо запустить приложение Pangu.

Также для удовлетворительной работы эксплойта требуется Windows, рабочая версия для Мас выйдет позднее. К сожалению, хакеры не озаботились локализацией программы, поэтому сейчас она доступна только на китайском языке. Для знатоков и любителей это не составит проблем. В ближайшее время планируется выход версии с английским языком интерфейса. Также планируется выпуск инструкции по работе с этой программой. Нарушение авторских прав, как всегда, хакерами игнорируется.

[satvitek]

Через рекламу в браузере загружается вредоносное расширение для Chrome

В последнее время зачастили сообщения от пользователей о том, что реклама на сайтах стала активнее использоваться в мошеннических целях. Через нее злоумышленники стали намного чаще подписывать людей на платные услуги и загружать на их устройства вредоносные программы и расширения для браузеров. Одно из последних таких сообщений касается плагина Chrome Malware Removal.

Согласно сообщению бельгийского исследователя по безопасности Барта Блэйза, злоумышленники начали использовать новый способ для навязывания вредоносного расширения посетителям сайтов. В то время, когда человек заходит на сайт с соответствующей рекламой, ему демонстрируется уведомление о том, что на его ПК установлено вредоносное программное обеспечение, которое может нанести большой вред. Чтобы избавиться от зараженных программ, предлагается установить дополнительное расширение. Конечно же, пользователи ведутся на такие сообщения и устанавливают себе указанный плагин, вот только на самом деле именно таким образом они заражают свой компьютер.

Специалист по безопасности сам наткнулся на такой способ введения в заблуждение пользователей совершенно случайно. Во время веб-серфинга он зашел на один из сайтов, название которого он не уточнил. Тут же ему показалось окно с предупреждением о заражении ПК и необходимостью установить соответствующее расширение. Ниже человеку предлагается либо согласиться с установкой плагина, либо отказаться. В первом случае пользователь перенаправляется в Chrome Web Store, где содержится Chrome Malware Removal.

Исследователь принялся изучать исходный код сайта, чтобы выяснить, не был ли тот взломан или специально заражен. Но ничего подозрительного ему выявить не удалось. Позже он установил, что между этим сайтом и некоторыми другими заключен договор, согласно которому ресурс обязуется размещать у себя всплывающие окна с сайтов партнеров.

Многие пользователи, которые тоже столкнулись с подобными уведомлениями, считают, что само расширение Chrome Malware Removal может быть вредоносным, поэтому не советуют устанавливать его в свой браузер. В то же время эксперты советуют веб-разработчикам не размещать на своих ресурсах скрипты, предоставленные третьими сторонами.

[студент]

Осторожно: обнаружены фальшивые приложения, которые крадут данные и деньги

Восемь фальшивых приложений, которые якобы увеличивают количество подписчиков в социальных сетях, обнаружили в Google Play специалисты компании ESET. Приложения занимались кражей личных данных, подпиской на платные сервисы, рассылкой спама.

Это не то, что вы думаете

Фальшивые приложения запрашивали у пользователя модель устройства, логин в социальной сети и количество подписчиков, которое он хочет «накрутить». После этого пользователь проходил множество проверок: ему якобы предлагали бесплатные сервисы, купоны на скидки и подарки, однако для этого требовалось вводить дополнительную информацию (ФИО, домашний адрес, номер телефона, e-mail).

Фальшивые приложения крадут личные данные и деньги со счета

Собранные данные использовались для пополнения баз спамеров. Кроме того, пользователя заставляли согласиться на прием рекламных SMS и звонков. Стоимость услуги составляла 4,8 евро в неделю (357 рублей по курсу).


Как распознать фальшивку

Эксперты утверждают, что приложения-фальшивки обычно имеют низкий рейтинг и негативные отзывы на Google Play. Кроме того, они запрашивают больше данных, чем требовалось бы для корректной работы.

Приложения, обнаруженные специалистами ESET, уже удалены из Google Play. Но это не исключает, что в официальном магазине приложений вскоре не появятся их аналоги, поэтому стоит проверять оценки и отзывы перед установкой и использовать надежный антивирус.

[студент]

Официально: вирус атаковал сети 20 правительственных организаций РФ

Сети порядка 20 организаций в России были заражены вредоносным программным обеспечением, сообщает ФСБ. Атаке хакеров подверглись ресурсы органов государственной власти и управления, научных и военных учреждений, предприятий оборонно-промышленного комплекса и иные объекты критически важной инфраструктуры страны.

Как атаковали

Программное обеспечение, обнаруженное сотрудниками ФСБ, использовалось для кибершпионажа. Вирус распространялся целенаправленно, атаку спланировали и осуществили профессоналы.

Специалисты утверждают, что вредоносное ПО похоже на те версии, которые ранее уже обнаруживались и в России, и за границей. Для каждой сети комплект программ создавался индивидуально – в соответствие с уникальными характеристиками техники.

Вирус модифицировали для каждой системы

Чтобы заразить систему, злоумышленники отправляли электронное сообщение с вредоносным вложением. Если пользователь открывал его, сеть заражалась вирусом. Он перехватывал и прослушивал сетевой трафик, мог делать скриншоты экрана, включать камеру и микрофон, отслеживать нажатия клавиш.

В ФСБ утверждают, что все жертвы хакерской атаки в российских ведомствах выявлены. Угроза локализована, последствия работы вируса минимизированы.

[студент]

Популярная клавиатура для iPhone оказалась шпионским ПО


Виртуальная клавиатура Swiftkey для мобильных устройств допустила утечку персональных данных пользователей, отправив на устройства чужие подсказки, включая имена друзей, адреса электронной почты и другие данные.

Утечка данных

Сторонняя клавиатура Swiftkey для iPhone, iPad и Android раскрывает персональные данные пользователей без спроса и без их ведома, сообщает The Telegraph. Так, один из владельцев смартфона с удивлением увидел, что Swiftkey подставляет ему незнакомый адрес электронной почты при вводе текста. Другой пользователь начал получать подсказки на иностранном языке, на котором он никогда не общался прежде.

Клавиатура Swiftkey

Приложение Swiftkey было разработано тремя выпускниками Кембриджского университета. В феврале 2016 г. Microsoft объявила о приобретении компании Swiftkey за $250 млн.

SwiftKey запоминает, что пользователь вводит, и затем, после определенного периода обучения, пытается у***ать следующие слова при вводе очередного текста, в том числе имена и названия, адреса электронной почты и телефонные номера. Клавиатура продолжает обучаться для того, чтобы повысить точность у***ывания.

Чужие адреса и телефоны

Вводимые данные SwiftKey хранит в базе данных, информация из которой затем служит для подстановки. Возникший сбой привел к тому, что пользователи начали получать чужие подсказки.

Swiftkey раскрыла персональные данные третьим лицам

Один из пользователей SwiftKey рассказал, что ему на электронный ящик написал незнакомец. Тот рассказал, что только что купил новый смартфон, установил SwiftKey, и клавиатура предложила ему ввести чужой электронный адрес, поэтому он решил написать по нему и предупредить.

В своем письме незнакомец перечислил все, что предлагала ему клавиатура SwiftKey. Это был целый список подстановок с именами друзей и адресами частных серверов, используемых в работе.

Реакция SwiftKey

В компании SwiftKey сообщили The Telegraph о том, что изучают проблему. А также сказали, что отключили функцию синхронизации базы данных с сервером 29 июля 2016 г. Это привело к некоторым трудностям. Пользователи теперь не могут на новом устройстве получить накопленные ранее подсказки.

Разработчики добавили, что планируют убрать подстановку адресов электронной почты для большей безопасности.

В блоге компании сообщается, что проблема не затронула основную часть пользователей.

[satvitek]

155 приложений с троянцем из Google Play скачало более 2 800 000 пользователей

Специалисты компании «Доктор Веб» обнаружили в каталоге Google Play троянца, который показывает надоедливую рекламу, а также крадет различную конфиденциальную информацию. Эта вредоносная программа встроена в более чем 150 приложений, которые в общей сложности загрузило не менее 2 800 000 пользователей.

Троянец, получивший имя Android.Spy.305.origin, представляет собой очередную рекламную платформу (SDK), которую создатели ПО используют для монетизации приложений. Специалисты компании «Доктор Веб» выявили как минимум семь разработчиков, встроивших Android.Spy.305.origin в свои программы и распространяющих их через каталог Google Play. Среди них — разработчики MaxMitek Inc, Fatty Studio, Gig Mobile, TrueApp Lab, Sigourney Studio, Doril Radio.FM, Finch Peach Mobile Apps и Mothrr Mobile Apps.

[satvitek]

Обнаружено Android-приложение, которое крало фото и видео

Команда компании Symantec обнаружила в официальном магазине Google Play Android-приложение, ворующее фото и видео пользователей.
Данное ПО было разработано компанией Sunuba Gaming. Symantec уже сообщила Google об обнаружении вредоносной программы и она удалена с официального магазина приложений.

Вредоносное ПО успешно скачивалось пользователями в течение года, на момент обнаружения вредоносных свойтсв программу скачали более 5000 раз. Кража снимков и видео происходила в тот момент, когда пользователь делал их при помощи своего ***жета.

Программа-шпион с названием HTML Source Code Viewer маскировалась под видом инструмента для веб-разработчиков. Злоумышленникам удалось создать огромный архив с личными фото и видео тысяч людей. Сервер, на котором расположена база краденых фото и видео, расположен в Азербайджане.

[satvitek]

Обещавшие уничтожить Pokemon GO хакеры сами оказались жертвой взлома

Пообещавшая провести масштабную DDoS-атаку на популярную онлайн-игру Pokemon GO хакерская группировка PoodleCorp сама оказалась жертвой взлома. Об этом свидетельствуют данные из базы утечек LeakedSource.

В середине июля PoodleCorp пообещали 1 августа «повалить» сервера Pokemon GO и уничтожить игру, но никакой атаки так и не произошло. Позже LeakedSource сообщили в своем Twitter, что к ним в руки попали данные с сервера злоумышленников, а также копия контрольной панели, с помощью которой те управляют своим ботнетом.

Кроме того, эксперты сумели идентифицировать четверых членов группы и теперь собираются передать всю найденную информацию представителям правоохранительных органов.

Группировка PoodleCorp известна своими атаками на ряд звезд YouTube, в том числе Pewdiepie, а также серверы Stream и игры League of Legends. В июле злоумышленники пообещали «уничтожить» Pokemon GO с помощью массовых DDoS-атак. «Мы положим их сервера, и никто нас не остановит. Мы сделаем это, потому что можем, и нам нравится нести хаос», — отметил один из участников группировки.

[студент]

Власти Казахстана подсаживают шпионское ПО прессе и политикам

По мнению организации EFF, правительство Казахстана проводит кибератаку на оппозиционеров и журналистов, чья работа его не устраивает. При этом не имеет значения, находится жертва атаки внутри государства или за его пределами.

Атаки на журналистов и оппозиционеров

Журналисты и политические активисты, не угодные действующему правительству Казахстана, члены их семей, правозащитники и их партнеры, в том числе живущие в иностранных государствах, стали жертвами кибератаки, заказчиком которой, по всей видимости, стало действующее правительство государства. Об этом заявила в своем докладе организация Electronic Frontier Foundation (EFF), отстаивающая свободу распространения информации и гражданские права в интернете.

Казахстанская киберкампания включает рассылку жертвам фишинговых электронных писем, в которых предлагается открыть вредоносный документ. При открытии документа происходит скрытая установка трояна в систему пользователя. Этот троян собирает данные с жесткого диска, считывает нажатия клавиш на клавиатуре, записывает изображение с веб-камеры и отправляет все эти данные злоумышленникам.

Некоторые компоненты трояна можно свободно приобрести в интернете по цене от $40.

Индийский и швейцарский след

Казахстанскую киберкампанию в EFF назвали операцией «Манул». И в ней нашелся индийский след. Согласно данным аналитиков, к атаке причастна индийская компания Appin Security Group. Есть также свидетельства, что она руководит несколькими кампаниями одновременно. Это подтверждено шведской полицией.

Кроме того, большое количество электронных материалов указывает на причастность к атаке частной разведывательной организации Arcanum Global Intelligence, штаб-квартира которой находится в Цюрихе. В докладе EFF прямо говорится о том, что данная организация стала исполнителем заказа правительства Казахстана на проведение кибератаки.

Некоторые из жертв атаки

В список жертв атаки вошли Александр Петрушов и Ирина Петрушова — издатели независимой газеты «Республика», которая была закрыта властями после нескольких лет публикаций материалов о коррупции в органах власти. Ныне это издание продолжает существовать в электронном виде.

Также список включает Мухтара Аблязова, предпринимателя, основателя и лидера оппозиционной партии «Демократический выбор Казахстана» и его жену и дочь. Атака на них была совершена тогда, когда они находились в добровольном изгнании в Италии. Предполагается, что благодаря хакерам удалось установить точное местонахождение жены и дочери. После чего в 2013 г. они были депортированы в Казахстан. Позже власти Италии признали эту депортацию незаконной.

Практика с растущей популярностью

«Использование вредоносных программ для шпионажа и запугивания оппозиционеров за пределами государства становится популярным методом работы деспотичных режимов», — прокомментировала Ева Гальперин (Eva Galperin), аналитик EFF по глобальной политике и один из авторов доклада.

«Журналисты и лидеры оппозиционных движений в таких странах, как Сирия и Вьетнам, становятся жертвами атак в реальном и виртуальном мирах. Правительства занимаются скрытой установкой программного обеспечения для слежки, устрашения и прекращения деятельности людей, чья работа посвящена освещению коррупции и информированию общественности о правах человека. И особенно правительствам не нравится, когда такие люди выходят за пределы их контроля», — добавил она.

«Казахстан — бывшая советская республика, в которой действуют серьезные ограничения на свободу слова», — заявили в EFF. В списке из 180 стран, составляемом организацией «Репортеры без границ», Казахстан занимает 160 место по свободе слова и журналистской деятельности, добавили представители организации.

[gydrokolbasa]

Новый Android-вирус сам покупает и устанавливает приложения

Ведущие антивирусные организации то и дело сообщают о новых изощренных вирусах для операционной системы Android.



Новый зловред умудряется самостоятельно приобретать приложения в официальном магазине Google Play и устанавливать их на зараженные устройства.

Троян получил название Android.Slicer. Он маскируется под утилиту для оптимизации ***жетов. В его функции входит очистка памяти Android-устройств, включение и выключение Wi-Fi и Bluetooth.

Вирус может, как устанавливаться пользователем вручную, так и попасть на ***жет путем установки другими вредоносными приложениями. После чего он отправляет на свой сервер IMEI зараженного устройства, MAC-адрес Wi-Fi-адаптера, имя производителя и версию ОС.

С сервера зловред получает различные задания. Он осуществляет непроизвольные показы рекламы, добавляет ярлык на домашний экран, устанавливает рекламные баннеры, открывает вредоносные ссылки и так далее.

[студент]

Развенчан популярный миф о паролях

Частая смена пароля для доступа к ящику электронной почты или странице в социальной сети отнюдь не способствует повышению уровня безопасности, а наоборот— снижают его, одновременно увеличивая риск взлома учетной записи злоумышленниками.

Об этом заявила Лори Кранор, эксперт по технологиям Федеральной торговой комиссии США.

Как пишет Business Insider, Кранор уверена, что требование компаний к сотрудникам о необходимости менять пароли раз в месяц негативно влияет на уровень безопасности, потому что сотрудники не могут каждый раз придумывать сложный пароль. Вместо этого они вынуждены использовать более простые сочетания символов, и это играет на руку взломщикам.

Точку зрения Кранор поддерживает и известный эксперт в области информационной безопасности Брюс Шнайер. В своем блоге он пишет, что частая смена паролей приводит к тому, что они становятся более «слабыми». «Я говорил об этом на протяжении многих лет», — подчеркивает он.

В то же время Шнайер отмечает, что пароли менять все же следует — например, если они были скомпрометированы или похищены злоумышленниками в результате взлома.

[студент]

Британия показала максимальный рост мошенничеств с банковскими картами

Компании Euromonitor International и FICO представили данные исследования кредитных и финансовых рисков, включающие и информацию о незаконных операциях с банковскими картами в 2015 году. Максимальный рост среди 19 затронутых исследованием европейских стран продемонстрировала Великобритания. За год объем мошеннических списаний средств с банковских карт вырос здесь сразу на 18 процентов, в абсолютных цифрах этот рост составил 88 миллионов фунтов. Еще 9 европейских стран, включая Россию, также показали рост, но куда меньший – в пределах 5 процентов.

При этом атаки на банкоматы и терминалы оплаты стали причиной лишь незначительного числа мошеннических транзакций. А львиная их доля – свыше 75 процентов – происходит «без физического участия банковских карт» – вследствие утечек данных карт в сеть и при совершении онлайн-покупок на ресурсах, не требующих ввода CVС-кода подтверждения.v Эксперт FICO Мартин Уорвик, комментируя эти результаты, отмечает, что преступники всегда следуют основным экономическим трендам. И чем популярнее становится тот или иной вид платежей, тем выше оказывается и риск связанных с ним мошеннических операций. Например, в России объем платежей с использованием банковских карт за период с 2010 по 2015 год вырос на 500 процентов. Значительная их часть пришлась на онлайн-платежи, соответственно, и число мошенничеств с этими платежами также показало внушительный рост в 130 процентов.

[студент]

«Око Саурона» приспособили для шпионажа

Специалисты компании Symantec сообщили об обнаружении ранее неизвестной кибершпионской группировки Strider. По данным Symantec, киберпреступники как минимум с октября 2011 года ведут целенаправленные высокоточные атаки (APT) на ряд организаций и частных лиц в России, Швеции, Бельгии и КНР. В числе названных объектов кибершпионажа фигурируют дипломатическое представительство в Бельгии и китайская авиакомпания, всего же жертвами атак стали 36 компьютеров, принадлежащих 7 организациям и группе частных лиц.

Для осуществления атак их организаторы используют чрезвычайно изощренное вредоносное ПО, получившее название Remsec. Инфицируя компьютеры, этот зловред открывает бэкдор, используемый в частности, для перехвата вводимых с клавиатуры команд и похищения файлов. Кроме того, Remsec имеет модульную структуру, и при необходимости хакеры могут подгружать дополнительные модули, расширяя функционал зловреда. Часть этих модулей написана на языке программирования Lua, ранее использованном для создания зловреда Flame, жертвами атак которого стали в 2012 году Иран и ряд других государств Ближнего Востока.

Примечательно также, что члены группировки Strider оказались, судя по всему, поклонниками творчества Джона Толкиена. В одной из строк кода Remsec содержится имя Саурона – темного властелина из эпоса «Властелин колец». Специалисты Symantec отмечают, что сложность и продолжительность атак могут свидетельствовать, что за их организаторами стоят государственные спецслужбы.

[студент]

Добывающая промышленность становится одной из ключевых целей киберпреступников

Компания Trend Micro Incorporated, мировой разработчик программного обеспечения и решений для информационной безопасности, открывает цикл отраслевых исследований, в которых анализирует, почему и каким образом различные сегменты экономики подвергаются кибератакам. В первом отчете «Киберугрозы в добывающей отрасли» (Cyber Threats to the Mining Industry) говорится о том, что в связи с растущим уровнем автоматизации процессов и зависимости экономики от природных ресурсов добывающая промышленность сегодня становится крайне привлекательной мишенью для киберпреступников, сообщили CNews в Trend Micro.

Скрытый текст

Если раньше основной целью киберпреступников были банки, финансовые и медицинские учреждения, то теперь злоумышленники нацелены и на совершенно другие сферы, в частности, на предприятия добывающей промышленности. При этом проблема кибератак в этой отрасли также тесно связана с возрастающей степенью автоматизации ее процессов, отметили в компании. На смену ручному труду и простым механизмам пришли электронные устройства, которые контролируются централизованно с помощью специального программного обеспечения. Сегодня на подобных предприятиях используются операционные технологии (Operational Technology, OT) — аппаратное и программное обеспечение, которое обнаруживает изменения в производственном процессе и управляет ими. При этом во многих организациях OT в лучшем случае слабо защищены от возможных кибератак. А все большее проникновение в отрасль облачных вычислений, систем бизнес-аналитики и интернета вещей приводит к сращиванию ИТ и OT, что дает злоумышленникам широкий доступ к компонентам систем и критически важным процессам, пояснили в Trend Micro.

Важным фактором является и то, что большинство промышленных систем управления (Industrial Control Systems, ICS), которые используются сегодня, были разработаны десятилетия назад. В связи с новыми требованиями подключения к корпоративной сети и использования удаленного доступа, разработчики ICS, как правило, адаптируют соответствующие ИТ-решения для упрощения интеграции и снижения затрат на разработку. Однако это приводит к возникновению целого ряда новых уязвимостей.

Компания привела примеры некоторых крупных кибератак в добывающей промышленности. Так, в апреле и мае 2015 г. канадская золотодобывающая компания Detour Gold Corp. подверглась атаке хакерской группировки, которая называла себя Angels_Of_Truth. В результате злоумышленниками было украдено более 100 ГБ ценной информации. При этом 18 ГБ из этих данных были размещены на торрент-трекере.

В феврале 2016 г. Департамент промышленности, ресурсов и энергетики Нового Южного Уэльса также подвергся атаке хакеров. Злоумышленники безуспешно пытались получить доступ к конфиденциальной информации, касающейся разрешения на добычу полезных ископаемых.

В апреле 2016 г. в канадской золотодобывающей компании Goldcorp произошла крупная утечка данных. Злоумышленники обнародовали 14,8 ГБ данных, разместив соответствующий документ на Pastebin, сайте для хранения и общего использования данных, с ссылкой на его скачивание. Архив содержал персональные данные работников и финансовую информацию.

«Кибератаки в промышленности совершаются, в основном, для того, чтобы получить определенные технические знания для конкурентного преимущества, ослабить экономику другого государства, заполучить определённые данные (личную информацию (PII), финансовую составляющую или учетные записи) или даже с целью протеста против компаний в добывающей отрасли как источника загрязнения окружающей среды, — указали в Trend Micro. — При этом среди тех, кто является инициатором таких атак, можно выделить иностранные государства, организованные киберпреступные синдикаты, конкурентов компаний, хактивистов».

Как отмечается в отчете, кибератаки способны оказывать большое влияние на бизнес компании, например, приводить к ухудшению финансовых показателей, краже интеллектуальной собственности, потере конкурентного преимущества и т.д. Все это становится возможным из-за способности киберпреступников получить доступ к необходимой информации. При этом в добывающей промышленности злоумышленников интересуют, прежде всего: данные по ценообразованию на металлы и минералы; интеллектуальная собственность, например, способ производства, обработки сырья, химических формул, программное обеспечение и т. д.; информация о государственной политике, решениях и процессах принятия решений руководителями корпораций; данные о новых потенциальных месторождениях; информация о запасах руды и производственном процессе; данные систем мониторинга шахт, которые используются для контроля производства, безопасности и мониторинга состояния окружающей среды в режиме реального времени.

Кибератаки в добывающей промышленности не только могут быть причиной потерь из-за простоев на производстве, но и оказать негативное влияние на стоимость акций компании, а также нанести ущерб экономике страны или региона, если она сильно зависит от подобного предприятия, подчеркнули в компании.

Наиболее часто используемыми методами совершения кибератак на сегодняшний являются: фишинг и социальная инженерия; эксплуатация уязвимостей; заражение сайта, который сотрудники предприятия посещают чаще всего; неправильная конфигурация системы эксплуатации; скрытая загрузка; вредоносная реклама; компрометация сторонних вендоров; атака «человек посередине» (MitM); заражение оборудования; инсайдеры.

Сегодня большинство предприятий добывающей промышленности не осознают важность защиты от кибератак, а тем временем в их деятельности обнаруживаются все новые уязвимости, которыми могут воспользоваться злоумышленники. По мнению специалистов Trend Micro, отдельное внимание специалистам по кибербезопасности стоит уделить крупным добывающим компаниям, чья деятельность напрямую связана с состоянием экономики отдельных регионов или стран — им прежде всего необходимо внедрять передовые методы защиты на всех уровнях управления предприятием.

[свернуть]

[студент]

Иран опасается кибератак на нефтяную отрасль

Высший совет по киберпространству Ирана расследует серию недавних инцидентов на нефтегазоперерабатывающих предприятиях страны. 6 июля мощный взрыв, сопровождавшийся выбросом облака токсичных веществ, произошел на нефтехимическом заводе Bou Ali Sina на юго-западе страны. Уже 8 июля последовал взрыв на газопроводе компании Marun Oil and Gas Production. Наконец, 29 июля возник мощный пожар на нефтехимическом предприятии Bisotoon в городе Керманшах. Все три происшествия нанесли серьезный ущерб иранской экономике.

Как заявил секретарь Высшего совета по киберпространству Адулхассан Фирузабади, специальные группы дознавателей отправятся на места инцидентов, чтобы выяснить, не были ли они спровоцированы враждебной киберактивностью. Исключать этого нельзя, поскольку Иран не раз становился объектом кибератак, нацеленных на ключевые объекты промышленности и оборонной сферы. Так, в 2010 году иранские установки по обогащению урана были выведены из строя вирусом Stuxnet, а в 2012 вирусная атака парализовала работу крупнейшего нефтяного терминала страны.

«Опасения иранской стороны вряд ли беспочвенны, – полагает глава специализирующейся в области кибербезопасности компании Nation-E Идан Уди Эдри, слова которого приводит портал SCMagazine. – То, что взрывы и пожары произошли с интервалом в несколько недель и даже дней, трудно считать случайным совпадением».

[студент]

Хакеры выставили на аукцион шпионские инструменты АНБ

Ранее неизвестная группа хакеров, называющая себя Shadow Brokers, заявила о том, что им удалось взломать серверы и похитить данные группировки Equation Group. Эта группировка была обнаружена специалистами «Лаборатории Касперского» и, по оценкам экспертов, является наиболее технически оснащенной и продвинутой в мире. Существуют обоснованные предположения, что Equation Group тесно связана с Агентством национальной безопасности США и выполняет кибершпионские атаки по заказу этой организации.

Shadow Brokers уверяют, что смогли похитить ряд наиболее опасных эксплойтов, имеющихся на вооружении Equation Group. Они выставили свою добычу на аукцион, заявив при этом, что если сумеют собрать в общей сложности миллион долларов в криптовалюте биткоин, то опубликуют все шпионские инструменты и безвозмездно, для всеобщего пользования. В подтверждение своих слов хакеры выложили фрагменты похищенных данных. Эксперты, оценивающие этот материал, пока затрудняются сказать, являются ли опубликованные материалы действительно фрагментами уникальных эксплойтов или же речь идет о попытке Shadow Brokers привлечь к себе всеобщее внимание. В частности, среди опубликованных данных есть упоминания ряда уязвимостей роутеров, но большая их часть известна уже достаточно давно. Кроме того, упоминается и ряд эксплойтов, об использовании которых в работе АНБ рассказывал Эдвард Сноуден.

Специалисты полагают, что хакерам пришлось проделать серьезную работу – если не по взлому Equation Group, то хотя бы по компиляции материалов для придания правдоподобности своему заявлению. Так или иначе, до миллиона долларов им пока очень далеко. По данным на минувшую ночь, максимальная ставка в объявленном ими аукционе не превышала 21 доллара.

[студент]

Предупреждения компьютерных систем безопасности почти бесполезны

Важность соблюдения правил компьютерной и информационной безопасности признается и декларируется повсеместно. Однако на уровне каждого отдельного пользователя декларации почти постоянно расходятся с реальностью. И дело не только в людской беспечности, но и в фундаментальных особенностях психики. Об этом свидетельствует исследование, проведенное специалистами Университета Бригама Янга (США). Его авторы задались целью выяснить, насколько адекватно и оперативно пользователи реагируют на предупреждения компьютерных систем безопасности.

Эти предупреждения в массе своей несут чрезвычайно важную и срочную информацию – о необходимости продления антивирусной защиты, обновления устаревшего ПО и т.д. Тем не менее, вероятность того, что пользователь своевременно отреагирует на них оказалась крайне мала. В экспериментах исследователей добровольцы-студенты выполняли привычные и несложные действия на компьютерах, получая периодически предупреждения безопасности, а специальные сенсоры фиксировали активность мозга участников. Как оказалось, даже такое простое занятие как просмотр видео требует от пользователей серьезного сосредоточения, и возникающие в момент просмотра предупреждения безопасности, скорее всего, будут проигнорированы или отложены «до лучших времен».

Ученые объясняют свои результаты феноменом, известным как «интерференция психических процессов». Он означает неспособность одновременно и в полной мере заниматься несколькими действиями, требующими когнитивных усилий и объясняет, почему истинная многозадачность для подавляющего большинства людей невозможна. Эксперименты, например, показали, что если предупреждение безопасности появляется в момент, когда пользователь закрывает просмотренную веб-страницу, оно остается без внимания в 74 процентах случаев. Если же пользователь занят более важным делом – например, вводит пароль или код подтверждения, то вероятность того, что появившееся предупреждение безопасности будет проигнорировано составляет почти 90 процентов.