Новости о хакерских взломах и атаках

[satvitek]

Госземкадастр перешел на Blockchain

Государственный земельный кадастр отныне будет работать на технологии Blockchain. Таким способом, надеются чиновники и эксперты, удастся уничтожить «на корню» коррупцию и рейдерство в земельной сфере.

– С утра убили одним нажатием Enter саму основу рейдерского бизнеса в Госгеокадастре на века вперед, переведя его на БЛОКЧЕЙН! Теперь у "черных нотариусов" нет даже чисто технической возможности переписать землю фермеров рейдерам и т. п.! – прокомментировал событие эксперт-экономист, советник «Держгеокадастра» по разработке программы будущей архитектуры земельной реформы в Украине Михаил Кухар.

Сегодня в Госземкадастре, как единой государственной геоинформационной системе сведений о землях, расположенных в пределах государственной границы Украины, зарегистрировано 18 миллионов 780 тысяч земельных участков. Ежедневно публичную кадастровую карту просматривают около 30 тысяч раз.

Внедрение технологии Blockchain, считают в Минагрополитики, позволит обеспечить надежную синхронизацию данных и сделает невозможным их подмену в результате внешнего вмешательства. Кроме того работа Госземкадастра на этой технология даст возможность осуществлять общественный контроль над системой.

– Для нашей страны Blockchain– это идеальный инструмент для обеспечения полной прозрачности и безусловного доверия населения к данным. А сегодняшняя техническая реализация - это общее видение лучших мировых экспертов и общественности, которое полностью соответствует украинским законодательным реалиям, – убежден глава Агентства е-правительства Александр Рыженко.

Обновленный Госземкадастр презентовали вчера, 3 октября, Министерство аграрной политики и продовольствия Украины совместно с Государственным агентством электронного правительства и общественной организацией Transparency International Украина. Последняя предоставляла экспертную помощь в реализации проекта и будет выступать в качестве внешнего аудитора корректности функционирования системы.

– В ближайшее время аукционы по аренде государственных земель также будут осуществлять в режиме онлайн на технологии Blockchain, – пообещал первый заместитель Министра аграрной политики и продовольствия Украины Максим Мартынюк.

Отметим, что земельный кадастр стал вторым проектом в государственном секторе Украины, где применена технология Blockchain. В начале сентября эту же технологию внедрили в систему электронных торгов арестованного имущества OpenMarket и с ее использованием проведены первые в мире электронные торги. До конца текущего года технологию Blockchain также начнет использовать Реестр имущественных прав.

[satvitek]

В Yahoo взломали 3 млрд аккаунтов

Хакерская атака – такая вещь, что ее последтсвия можно обнаружить спустя несколько лет.

К примеру, компанию Yahoo взломали в 2013 году, но обнаружилось это лишь в 2016-м. Более того: только сейчас стало понятно, что в результате взлома были затронуты 3 млрд аккаунтов, а не один миллиард, как предполагалось ранее.

В распоряжении хакеров могли оказаться такие персональные данные как имя и фамилия, дата рождения, адреса электронной почты, номера телефонов и пароли, сведения о платежных картах и другие банковские данные пользователей. Сразу же после того, как взлом был обнаружен, были усилены меры безопасности для защиты аккаунтов.

Теперь Yahoo предполагает, что за кибератакой могли стоять хакеры, действовавшие при поддержке «одного из государств».

В марте 2017 года Минюст США предъявил обвинения во взломе Yahoo трем гражданам России – Дмитрию Докучаеву, Алексею Белану и Кариму Баратову, также в причастности ко взлому заподозрили «начальника» хакеров - россиянина Игоря Сущина. Сущин и Докучев, по заявлению Минюста США – сотрудники ФСБ.

Но вообще-то на момент предъявления обвинений во взломе Yahoo Докучаев находился под стражей в России по делу о госизмене: его вместе с другими офицерами ФСБ обвиняют в том, что они передали американским спецслужбам информацию о российских хакерах.

Человек тут Yahoo взломал, а его судят. Дикие нравы.

[satvitek]

Хакеры активно эксплуатируют 0-day уязвимости в плагинах WordPress

Злоумышленники активно эксплуатируют уязвимости нулевого дня в плагинах для WordPress с целью установки бэкдоров на сайтах. Речь идет о плагинах Appointments, RegistrationMagic-Custom Registration Forms и Flickr Gallery. Все три дополнения подвержены уязвимостям, позволяющим внедрить PHP-объект.

Как пояснил специалист компании Wordfence Брэд Хаас (Brad Haas), проэксплуатировав проблему, атакующий может заставить уязвимый сайт загрузить файл с удаленного сервера (PHP бэкдор) и сохранить его в выбранной локации. Для эксплуатации уязвимости атакующему нужно всего лишь отправить специально сформированный HTTP POST–запрос на сайт жертвы. При этом авторизация на ресурсе не требуется. Для компрометации сайтов, использующих плагин Flickr Gallery, злоумышленнику потребуется отправить HTTP POST–запрос на корневой URL, в двух других случаях – на Мой хозяюшка-ajax.php.

Уязвимости были обнаружены в ходе расследования взломов ряда сайтов, которое проводила Wordfence. Хорошая новость заключается в том, что плагины Appointments, RegistrationMagic-Custom Registration Forms и Flickr Gallery не слишком популярны - в общей сложности число их загрузок оставляет всего 21 тыс. Но, как предупреждают исследователи, данные уязвимости просты в эксплуатации, и другие хакеры могут провести реверс-инжиниринг журнала изменений плагинов и разработать соответствующий эксплоит.

Разработчики дополнений уже исправили уязвимости с выпуском версий Appointments 2.2.2, Flickr Gallery 1.5.3, RegistrationMagic-Custom Registration Forms 3.7.9.3.

Appointments – плагин для WordPress, позволяющий принимать и управлять заказами на сайте. Плагин Flickr Gallery позволяет создавать галерею фотографий с Flickr, дополнение RegistrationMagic-Custom Registration Forms – создавать различные формы регистрации пользователей.

[satvitek]

Испания согласилась выдать США обвиняемого в хакерстве россиянина

Испанский суд принял решение об экстрадиции в США обвиняемого в хакерстве гражданина России Петра Левашова.

«Уголовный отдел Национального суда согласилась на выдачу гражданина России Петра Юрьевича Левашова в США, где он обвиняет в ряде преступлений — компьютерное мошенничество, причинение ущерба, кражи личных данных», — говорится в тексте решения суда.

[satvitek]

Клиенты сети ресторанов быстрого питания Sonic стали жертвами утечки данных

Американская сеть ресторанов быстрого питания Sonic стала жертвой хакеров. Как сообщает информагентство Reuters, киберпреступникам удалось получить данные банковских карт клиентов некоторых ресторанов сети. Компания, ведущая свой бизнес в 45 американских штатах, не уточняет количество пострадавших.

Об инциденте еще на прошлой неделе сообщил журналист Брайан Кребс. По его данным, в руках киберпреступников оказались номера миллионов банковских карт, которые теперь продаются на черном рынке.

Подозрения о возможной атаке появились в сентябре текущего года, когда финансовые организации стали замечать мошеннические транзакции с картами, использовавшимися в заведениях Sonic. Кребс посоветовал им обратить внимание на базу данных, появившуюся 18 сентября на подпольной торговой площадке Joker’s Stash и содержащую 5 млн записей. Представители двух организаций приобрели БД и убедились, что в ней содержатся данные карт, которыми расплачивались посетители Sonic.

Как именно были похищены данные, пока не уточняется. Вероятнее всего, злоумышленникам удалось внедрить вредоносное ПО в PoS-терминалы. Также неизвестно, содержится ли в БД информация только клиентов Sonic.

В настоящее время ведется расследование инцидента. Ввиду случившегося, Sonic намерена предложить всем пострадавшим бесплатную защиту от кражи личности.

[студент]

Взлом Equifax поставил крест на системе номеров социального страхования США

Номера социального страхования граждан и резидентов США отжили свой век и не являются более достаточно эффективными. Об этом заявил координатор проектов кибербезопасности Белого Дома Роб Джойс, выступая на конференции по вопросам информационной безопасности, организованной изданием Washington Post. Система номеров социального страхования действует в Соединенных Штатах с середины 1930-х годов и изначально служила для облегчения налогового и пенсионного учета. Но в последние годы уникальные девятизначные номера стали фактически цифровыми идентификаторами для всех американцев.

Однако в результате недавних крупных утечек персональных данных в руках хакеров оказалось огромное число номеров социального страхования граждан и жителей США, что открывает перед преступниками широкие возможности мошенничества. Последней каплей, стал, очевидно, взлом бюро кредитных историй Equifax, в результате которого хакеры похитили, в том числе, номера социального страхования 145,5 миллиона американцев – то есть, фактически половины всего населения страны. По словам Джойса, для идентификации граждан требуется более надежная и совершенная система, учитывающая реалии сегодняшнего дня и использующая самые современные средства криптографии.

[satvitek]

Хакеры взялись за чтение переписок жертв

Новая набирающая обороты фишинг-кампания FreeMilk позволяет злоумышленникам перехватывать электронные переписки пользователей со всего мира. Об этом сообщают исследователи Palo Alto Networks.

Хакеры атакуют почтовые ящики через фальшивые письма от якобы знакомых владельцев аккаунтов и заражают компьютеры вредоносными программами для последующего сбора личной информации.

Чтобы установить вредоносные приложения, FreeMilk перехватывает email-переписки, представляясь одной из сторон диалога. Хакеры берут под контроль активный разговор и предлагают жертве документы-приманки, созданные на основе предшествующей беседы.

Эксперты отмечают, что атака FreeMilk — хорошо продуманная кампания, которая подбирает качественное сообщение-приманку специально для каждой жертвы. При этом фишинговые сообщения не вызывают у жертв никаких сомнений в подлинности.

Атакующие заставляют компьютеры загрузить две вредоносные программы. Первая, PoohMilk, крадет учетные данные и запускает вторую программу — Freenki. Она собирает имена пользователей, MAC-адреса, данные о запущенных процессах и делает снимки экранов зараженных компьютеров.

От атаки FreeMilk уже пострадали несколько крупных корпоративных сетей, банковские структуры и ряд лиц, связанных с руководством Северной Кореи.

[satvitek]

Хакеры майнили биткоины на облачных мощностях Aviva и Gemalto

Облачные мощности, арендуемые двумя крупными бизнес-клиентами Amazon, были взломаны хакерами и использованы для добычи биткоина. Получить к ним доступ преступники смогли благодаря отсутствию паролей на консолях администрирования. Для управления майнингом использовался контейнер Kubernetes.

Как сообщает издание Business Insider, ссылаясь на недавнее сообщение фирмы по кибербезопасности RedLock, облачные сервисы Amazon Web Services, используемые компаниями Aviva и Gemalto оказались легкой добычей для хакеров.

Aviva - крупнейшая британская и четвертая по значимости в мире страховая компания. Нидерладская компания Gemalto - мировой лидер в производстве SIM-карт, специализирующийся к тому же на цифровой безопасности.

Подобно Deloitte и Equifax, где исследователи обнаружили, что конфиденциальная информация сотрудников и клиентов была защищена классической комбинацией паролей “Мой хозяюшка/Мой хозяюшка”, эти два гиганта также не смогли обеспечить необходимый уровень безопасности.

Доступ к Amazon Web Services хакеры смогли получить потому, что в обоих случаях консоли администрирования не были защищены паролями. Фирма по кибербезопасности сообщает, что значительное количество консолей в Amazon Web Services, платформа Google Cloud и облачное хранилище Microsoft Azure не были защищены паролями.

Как выяснили в RedLock, команды, направленные на добычу биткоинов, поступали из контейнера, размещенного в сервисе Kubernetes. Kubernetes - это технология с открытым исходным кодом, созданная Google и предназначенная для автоматического размещения, масштабирования и управления контейнерами приложений в кластерах хостов. Kubernetes облегчает разработчикам создание облачных приложений.

RedLock предупредила обе компании о происходящем. Хакеры не украли никаких корпоративных данных, поскольку их интересовало только использование арендуемых у Amazon облачных мощностей.

RedLock сообщает:

«Объект фактически превратился в паразитического бота, выполнявшего злодейскую деятельность через Интернет».

Международное сообщество теперь особенно настороженно относится к биткоин-вымогателям, особенно после крупномасштабных кибератак WannaCry в мае этого года.

Тем не менее, в нескольких отчетах были обнародованы предупреждения о вымогательстве и фишинговых письмах.

Бесспорно, если старые системы предлагают такой низкий уровень защиты, то хакеры имеют естественное преимущество. Однако, пока ни Aviva, ни Gemalto официально не прокомментировали этот инцидент.

[satvitek]

Кибератаки будут вызывать сбои в электроснабжении уже в ближайшие несколько лет

Согласно опросу , проведенному международной консалтинговой компанией Accenture, предприятия электроэнергетического сектора опасаются кибератак, которые, по их мнению, уже в течение следующих нескольких лет будут влиять на работу электростанций.

В опросе приняли участие более ста руководителей электроэнергетических компаний из двадцати стран Европы, Северной Америки, Азиатско-Тихоокеанского региона и т.д. Более трети респондентов уверены, что уже в течение следующих пяти лет хакеры будут вызывать сбои в электроснабжении. 57% опрошенных опасаются вмешательства посторонних в работу электроснабжения, тогда как 53% переживают за безопасность своих сотрудников и клиентов.

Почти половину респондентов волнуют возможные кражи конфиденциальной информации сотрудников и клиентов, корпоративных данных и интеллектуальной собственности. В числе главных угроз они также назвали атаки программ-вымогателей и уничтожение физических активов. Однако главной угрозой по-прежнему остаются кибератаки, осуществляемые по заказу правительства.

Помимо прочего, многие руководители предприятий электроэнергетического сектора в той или иной степени опасаются рисков, связанных с установленными в жилищах пользователей устройствами «Интернета вещей» (IoT).

Несмотря на вышеперечисленные угрозы, 40% респондентов признались, что их предприятия в полной мере не внедряют кибербезопасность в процесс управления рисками. Почти треть опрошенных уверены в том, что усилить киберзащиту помогут идентификация угроз и обмен данными о кибератаках между представителями отрасли.

[satvitek]

Кибербезопасность в Украине: наличие отсутствия

Тема безопасности стала ключевой на 8-м Украинском форуме по управлению Интернетом IGF-UA. Практически каждая секция форума тем или иным образом касалась вопросов безопасности в целом и кибербезопасности в частности.

Сегодня, когда страна находиться в состоянии необъявленной войны, кибервойны, мы, хотим этого или нет, как общество, сталкиваемся с этим. Я считаю, что одной из главных составляющих противодействия киберугрозе является сознательное общество, – отметил во время вступительного слова Глава Правления Интернет Ассоциации Украины Александр Федиенко.

Ожидаемо, что самой многолюдной и, пожалуй, самой дискуссионной стала первая секция форума – «Кибербезопасность», где рассматривали три вопроса: «Есть ли система кибербезопасности в Украине?», «Антивирус против Endpoint protection: борьба за рынок. Что дальше?» и «Высшее киберборазование в Украине».

Самые горячие споры вызвал первый вопрос секции.

Кибербезопасность, которой нет

Выводы, которые зачитал в конце форума IGF-UA модератор секции «Кибербезопасность», Глава Комиссии по вопросам науки и IТ УСПП Иван Петухов, понравились далеко не всем.

На резолюцию форума секция вынесла следующие пункты:

Скрытый текст

– В Украине очень низкий уровень подготовки законов и нормативно-правовых актов касательно кибербезопасности. В кабинетах власти не слышат других участников процесса и создают несистемный и некачественный законодательный продукт.

– Отсутствует координация в области кибербезопасности Украины, поэтому есть необходимость создания нового органа по вопросу координации мер кибербезопасности.

– Отсутствует государственно-частное партнерство в сфере кибербезопасности страны.

– Не смотря на состояние войны, в котором находится государство, специалисты государственных органов власти не имеют достаточной компетенции в сфере кибербезопасности и не понимают что нужно делать в этих условиях.

– Как вывод: в Украине отсутствует система кибербезопасности, – резюмировал Иван Петухов.

Недовольны выводами оказались в Госспецсвязи. Представитель этого ведомства, Даниил Мялковский назвал озвученные итоги работы секции «домашней заготовкой» и поинтересовался «целевой функцией такой резолюции».

«Новое украинское колесо»

Говорит один из спикеров форума, исполнительный директор Комиссии по науке и информационным технологиям Олег Гусев. – Ещё лет 5 назад даже в узком кругу специалистов законодательство Украины в вопросах кибербезопасности практически не обсуждалось. При этом Конвенция кибербезопасности государством была одобрена, но до этого времени не внедрена.

Гусев отметил, что только после вражеской агрессии на Украины, то есть, только с 2014 года, после того как элементы кибервойны развернулись в атаки против нашего киберпространства, в государственных кабинетах, заговорили о том, что нужно что-то делать.

– Первое, что у нас появилось, – это Стратегия. Которая, кстати, до сих пор не легитимизована в Украине. Документ, которым попробуют её легитимизовать, – это Закон «Об основных засадах…», заключительными положениями которого прописано, что Стратегия становится одним из документов национальной безопасности Украины, – объясняет Гусев.

– Мы достаточно долго работаем с экспертами Совета Европы, которые пытаются, за что им спасибо, внести предложения и рекомендации об имплементации в законодательство Украины Киберконвенции. При этом, те проекты, которые появляются, – это «новое украинское колесо», а не то, что предлагают эксперты. Это, по моему мнению, совсем не то, что необходимо украинскому обществу, – считает Олег Гусев.

Есть ли система в отсутствии системы?

Задал вопрос участникам форума глава совета ОО «Украинская группа информационной безопасности» Константин Корсун и сразу же дал ответ.

– Не существует никакой системы вообще. Но мы, наверное, собрались здесь не для того, чтобы констатировать какие-то очевидные вещи. Поэтому, немного о том, что сейчас есть. Есть Госпспецсвязи, у которого есть CERT-UA, полномочия, занимается лицензированием и многими аспектами, которые имеют непосредственное отношение к кибербезопасности. Есть Киберполиция, которая расследует преступления, определенные 16 разделом Криминального кодекса Украины. Есть СБУ, которая, согласно Криминально-процессуального кодекса, вообще не имеет права ничего расследовать, но она выполняет серьезные задачи в сфере контрразведки, противодействия терроризму, другие специфичные задачи. И есть СНБО, которое вроде бы координирует это всё. Но на сегодня системы никакой нет, ведь каждый из этих четырех основных игроков, по сути, работает «на себя».

Выход, считает Константин Корсун, – в создании нового обособленного государственного органа, занимающегося вопросами кибербезопасности. По мнению эксперта, новый орган должен создаваться по принципу Антикоррупционного бюро: прозрачный конкурс на должности, прозрачное финансирование и механизмы работы, межправительственные связи, необходимые полномочия и, соответственно, специальный закон.

Тезисы о том, что СБУ не должна так «перетягивать на себя одеяло» в вопросах кибербезопасности, не понравились представителю СБУ, принимавшему участие в форуме.

– В мире как раз кибертерроризм как новый вид терроризма все больше набирает оборотов, и именно Служба безопасности должна заниматься этим вопросом. Если взять недавние случаи кибердиверсий и кибертерроризма (это атаки на объекты энергетики в Украине, вирус Petya, центрифуги в Иране и т.д.) то, на мой взгляд, это очень важный вопрос и отстранять от его решения Службу безопасности с её возможностями – не очень полезно, – заявил представитель СБУ, на что получил вполне аргументированный ответ о том, что СБУ не должна координировать всю кибербезопасность страны, но должна, безусловно, быть вовлечена в процесс.

У представителя СБУ нашлись и контраргументы по поводу отсутствия специалистов с кибербезопасности в госструктурах:

– Сколько в среднем сейчас получает высококвалифицированный специалист и сколько он может получать на государственной службе? – задал риторический вопрос представитель Службы безопасности страны.

Достучаться к «лбам»

Как оказалось, инструментов и влияния на законодателя у общественности практически нет.

– Влияния нет, инструментов тоже нет, – заявил Константин Корсун. – Наша общественная организация имеет представителей в общественных советах при Госспецсвязи и Агентстве по вопросам е-правительства. Инструмента влияния на Верховную Раду на то, что пишется в проектах законов – не имеем. Это если кратко. Возьмем к примеру Конвенцию по киберпреступности. Она подписана Украиной в 2001 году, ратифицирована парламентом в 2004–2005 году, но до сих пор не имплементирована. Эти понятия, определения, которые там содержаться, должны были согласовываться с украинским законодательством, но этого до сих пор не случилось. Возможно, сама Конвенция уже устарела…

В то же время Глава Комиссии по вопросам науки и IТ УСПП Иван Петухов отметил, что УСПП уже почти 15 лет сотрудничает в Верховной Радой.

– Мы «нажимаем» теми путями, которые у нас есть, на смену законодательства, на принятие тех или иных постановлений. Не всегда на прямой вопрос можно получить прямой ответ. Иногда собирается сообщество и, скажем так, благодаря социальным технологиям, общению, это всё попадает к народным депутатам, – рассказал Иван Михайлович.

Поддержал Ивана Петухова и Александр Федиенко:

– Я уверен, что мы сможем достучаться к тем «лбам», которые находятся в Верховной Раде. Для того, чтобы они услышали общественность. У нас общественная организация, я не получаю зарплату, но в этих комитетах (ВР – Ред.) бываю чаще, чем некоторые депутаты, – сказал Александр Павлович. – Мы постоянно работаем. Мы лоббируем законы, сотрудничаем… Мы тоннами пишем эти письма – у нас уже бумагу, как говорят, грузовиками подвозят, но, к сожалению, политикум нас не слышит. Мы выбрали тех, кто вообще нас не слышит. Они делают всё, чтобы уничтожить вообще интернет в этой стране и в дальнейшем контролировать сеть, но мы всё-таки объемся своего.

Спикер секции «Кибербезопасность» Олег Гусев подытожил: единой государственной политики в сфере кибербезопасности нет. Более того, чиновники довольно часто формально подходят к этому вопросу. Зачастую, формально, подходят к выполнению своих обязанностей не только чиновники, но и силовики, добавляет Иван Петухов.

– Какая реакция Службы безопасности и МВД на те инциденты, которые происходят с инфраструктурой до сегодняшнего дня? У нас было уничтожено большое количество кабелей связи, произошло много инцидентов. Один из них – накануне президентских выборов был выжжен 300-метровый коллектор с кабелями связи, соединявший телевизионную антенну и главный центр, откуда идут телевизионные каналы. Присутствующие здесь мужественно помогали решать этот вопрос государству, – рассказал Иван Петухов. – Так вот. От одной из служб (я не буду уточнять от какой) мы получили ответ: пожар коллектора – это проблемы коммунальщиков Шевченковского района, то есть ЖЭКа… Одно из последних полученных нами писем по этому поводу, за подписью руководителя одного из подразделений департамента кибербезопасности СБУ, говорит о том, что этот инцидент – не их сфера деятельности, и голова должна болеть в Нацполиции. У нас ни один киберинцидент не был признан на уровне теракта, когда в стране идет война.

Смягчат ли формулировки

На данный момент официально результаты Восьмого Украинского форума по управлению Интернетом IGF-UA ещё официально не оглашены. Неизвестно, смягчат ли характеристику кибербезопасности Украины с «нет» на «не совсем нет», но то, что дальше кибербезопасность страны в таком состоянии находиться не может – согласны практически все участники форума.

[свернуть]

[satvitek]

Обнаружена группировка хакеров-«стукачей»

Киберпреступники освоили способ незаметного взлома корпоративных компьютеров, при котором логины и пароли подбираются в течение нескольких дней. Об этом пишет издание Bleeping Computer.

Во время проведения тихих атак, получивших название KnockKnock (в переводе на русский — «тук-тук»), пользователи не получают оповещений о неудачных попытках входа в систему.

Атаки KnockKnock нацелены на сотрудников организаций, использующих программный пакет Office 365. Специалисты по кибербезопасности из Skyhigh Networks установили, что атаки на ряд компаний начались в мае и продолжаются по сей день.

Сперва злоумышленники-«стукачи» получают доступ к системным учетным записям, используемым, например, для корпоративной рассылки. Сотрудники обычно не ожидают получения вредоносного контента с этих адресов и переходят по фишинговым ссылкам из писем.

Атакующие действуют крайне осторожно, чтобы остаться незамеченными. Они не запускают массовые атаки, которые появились бы на радаре любой системы безопасности, а создают небольшую сеть ботов. Попытки подбора паролей растягиваются во времени, а для взлома применяются комбинации имен пользователей с пропущенными паролями, поэтому неудачные попытки входа в систему остаются без внимания.

Злоумышленники, использующие метод KnockKnock, нацелены на долгое использование незаконно захваченных ресурсов компаний. Чаще всего это промышленный шпионаж. Поэтому «стучащиеся» хакеры не используют жесткие способы взлома, которые привели бы к блокировке учетных записей или активации других мер защиты.

[satvitek]

СБУ предупредила о возможной масштабной кибератаке

В Украине готовятся новые масштабные кибератаки на государственные структуры и частные компании. Об этом сообщается на официальном сайте СБУ.

"Основная цель - нарушить штатное функционирование информационных систем, которое может дестабилизировать ситуацию в стране", - говорится в сообщении.

СБУ стало известно, что атака может быть осуществлена с использованием обновлений, в том числе общедоступного прикладного программного обеспечения, а механизм ее реализации будет схож с кибератакой, проведенной в июне.

"Для предотвращения несанкционированного блокирования информационных систем необходимо придерживаться следующих рекомендаций: обновить сигнатуры антивирусного программного обеспечения на серверах и рабочих станциях; осуществить резервирование информации, обрабатываемой на компьютерном оборудовании; обеспечить ежедневное обновление системного программного обеспечения, в том числе OS Windows всех без исключения версий", – советуют в СБУ.

[satvitek]

Хакеры похитили секретные данные о военных самолетах у австралийского подрядчика

Хакерская группировка APT ALF взломала сеть австалийского военного подрядчика и похитила порядка 30 ГБ секретной военной документации о боевых самолетах, бомбах и военно-морских судах. О хищении данных стало известно из отчета Австралийского центра кибербезопасности (ACSC).

В ноябре 2016 года Управление радиотехнической обороны Австралии (Australian Signals Directorate, ASD) получило предупреждение от «партнерской организации» о взломе сети аэрокосмической инженерной компании, являющейся подрядчиком Министерства обороны страны.

Техническая информация о боевом истребителе F-35, патрульном противолодочном самолете P-8 Poseidon, транспортном самолете C-130, наборе «умных» бомб Joint Direct Attack Munition (JDAM), а также «нескольких австралийских военно-морских судах» была похищена у небольшой австралийской оборонной фирмы. Один из документов содержал чертежи «одного из новых кораблей флота».

Злоумышленники имели доступ к сети подрядчика по меньшей мере с середины июля 2016 года. Сама сеть была сравнительно небольшой. За все связанные с IT функции отвечал один сотрудник, работавший в компании всего девять месяцев. В системах компании не было защитной DMZ-сети, регулярного режима исправления уязвимостей, а на всех серверах стоял один и тот же пароль для учетной записи администратора.

Изначально доступ был получен за счет эксплуатации 12-летней уязвимости на портале техподдержки, обслуживавшем файловый сервер компании. Злоумышленникам удалось получить доступ к учетной записи администратора домена и в последствии к контроллеру домена, серверу удаленных рабочих столов, электронной почте, а также другой конфиденциальной информации.

Напомним, ранее северокорейским хакерам предположительно удалось похитить у южнокорейского оборонного ведомства порядка 235 ГБ секретных документов, включая оперативный план совместных военных действий США и Южной Кореи.

Также стало известно, что четыре из пяти крупнейших американских военных подрядчиков до сих пор не используют HTTPS-шифрование на своих официальных сайтах.

[satvitek]

«Все мы люди»: борцы с киберугрозами объяснили, как слили в сеть собственный пароль

Группа быстрого реагирования на киберугрозы CERT-UA Государственной службы специальной связи и защиты информации объяснила «неосторожностью» слив в открытый доступ пароля к собственному почтовому ящику.

Соответствующее объяснение появилось на странице CERT-UA в Facebook через три дня после инцидента, передает InternetUA.

Борцы с киберугрозами признали, что благодаря их ошибке на сайте в открытом доступе оказался файл cert.gov.ua/wp-content/themes/cert/ver в котором был пароль к почте ipguard@cert.gov.ua.

– Такой инцидент произошел по неосторожности одного из работников CERT-UA. При модернизации сайта ошибочно был сохранен файл с тестовым скриптом ver в директорию в которой его не должно было быть. На самом деле у нас четко настроенные политики доступа к директориям и файлам сайта, а в этой ситуации имел место только человеческий фактор. Все мы люди и все иногда ошибаемся, – заявили в CERT-UA.

В организации также объяснили, что почта ipguard@cert.gov.ua используется для тестирования программных средств и «не содержит никакой важной информации».

– Если бы электронная почта была скомпрометирована и из нее проводилась несанкционированная активность, мы бы сразу это заметили, – уверяют в CERT-UA. – Поэтому никакого вреда потеря этого пароля нам бы не вызвала.

В ведомстве также отметили, что работа их сайта на CMS Wordpress, которую довольно часто упрекают в «дырявости», за 4 года ни разу не была скомпрометирована – ни разу не было инцидентов с несанкционированным доступом или взломом сайта.

CERT-UA также не без сарказма отметили, что лица, которые афишируют данную информацию в сети, «преследуют собственные цели».

[satvitek]

Вымогатель WannaCry доступен на подпольных рынках всего за $50

Исследователи безопасности из Trend Micro обнаружили на одном из арабоязычных подпольных форумов предложение о продаже обновляемой версии вымогательского ПО WannaCry всего за $50. Данный лот был обнаружен 14 мая 2017 года - спустя два дня после серии масштабных кибератак с использованием программы-вымогателя.

По словам исследователей, относительно низкая цена на WannaCry отражает одну из уникальных особенностей ближневосточного и североафриканского киберподполья - чувство сплоченности. В отличие от торговых площадок в России и в Северной Америке, где продавцы вредоносного ПО стремятся получить как можно большую прибыль, на Ближнем Востоке и в Северной Африке трояны для удаленного доступа (RAT), кейлоггеры, а также инструменты для внедрения SQL-кода и распространения спама можно найти по сравнительно низкой цене.

Исследователи также отметили еще одну особенность киберпреступного подполья в данных регионах – связь с российскими хакерами. Например, вымогательское ПО CTB-Locker (также известное, как Critroni и Curve-Tor-Bitcoin) продавалось на турецком хакерском форуме русскоязычным киберпреступником под псевдонимом Fizik. Стоит также отметить, что в данном случае рекламное объявление было аналогично рекламе на российском хакерском форуме, где Fizik проявлял активность по меньшей мере с 2006 года.

По словам экспертов, российские киберпреступники иногда продают свои товары в ближневосточных и североафриканских торговых площадках, а также время от времени нанимают программистов и разработчиков из обоих регионов. Например, бэкдор LOST DOOR RAT (BKDR_LODORAT), созданный тунисским разработчиком, изначально продавался на российском подпольном форуме в 2016 году.

Подробнее с особенностями хакерских форумов в данных регионах можно ознакомиться здесь.

Напомним, 12 мая 2017 года была зафиксирована волна кибератак с использованием вымогательского ПО WannaCry. Вредонос шифровал файлы на системах жертв, добавляя к ним расширение .WCRY, из-за чего получил название WannaCry. Волна заражений вредоносным ПО захлестнула более 150 стран.

[satvitek]

DDoS-атаки нарушили работу транспортных агентств Швеции

Транспортные агентства Швеции стали жертвами DDoS-атак, нарушивших работу IT-систем организаций, что в ряде случаев привело к задержке поездов.

Первая атака, проведенная в среду, 11 октября, была направлена на Шведскую транспортную администрацию (Trafikverket). В результате инцидента произошли сбои в работе системы регулирования движения поездов, сервисе электронной почты и web-сайта администрации, которые привели к тому, что пассажиры не смогли забронировать билеты и получить информацию о причинах задержек или отмены поездов.

По словам представителей Trafikverket, атака была направлена на двух провайдеров агентства - TDC и DGC, но при этом затронула сервисы ведомства. Специалисты Trafikverket смогли восстановить работу всех систем в течение нескольких часов, однако из-за DDoS-атаки на протяжении всего дня поезда отправлялись с задержками.

Днем позже, 12 октября, похожим DDoS-атакам подверглись Транспортное управление Швеции (Transportstyrelsen) и транспортный оператор Västtrafik, предоставляющий транспортные услуги в Западной Швеции.

Как полагают эксперты, оба инцидента могли быть пробными атаками на различные части транспортной системы Швеции, цель которых заключалась в проверке, как страна отреагирует на кибератаки.

[satvitek]

Украинцев предупредили о новой атаке вируса Petya-A: названы даты

В ближайшие выходные на Украину может быть совершена новая волна кибератак.

Об этом говорится в сообщении команды реагирования на компьютерные чрезвычайные события Украины CERT-UA.

По их данным, возможность кибератак на информационные ресурсы Украины вероятна в срок с 13 по 17 октября.

"Существует вероятность, что отдельные признаки кибератаки могут совпадать с соответствующими признаками вредного воздействия компьютерного вируса Petya-A, который атаковал информационные ресурсы ряда стран, начиная с 26 июня", – говорится в сообщении.

На сайте CERT-UA содержатся рекомендации по снижению указанных рисков и предупреждению повторного поражения вирусом.

[satvitek]

Отели Hyatt второй раз за два года допустили утечку банковских данных своих клиентов

Руководство отелей класса «люкс» Hyatt предупредило своих клиентов об утечке данных кредитных карт, сообщает журналист Брайан Кребс. За последние два года это уже второй подобный инцидент, произошедший в стенах Hyatt.

Команда по кибербезопасности Hyatt обнаружила признаки неавторизованного доступа к данным платежных карт, использовавшихся в ряде отелей в период с 18 марта по 2 июля текущего года. Руководство компании незамедлительно инициировало расследование, в котором также принимают участие сторонние эксперты и правоохранительные органы. По заверению представителей Hyatt, утечка затронула лишь небольшой процент банковских карт, использовавшихся в указанный период.

В руках злоумышленников могли оказаться такие данные, как имена держателей карт, номера карт, даты истечения срока действия и внутренние проверочные коды. Утечка коснулась только карт, вводимых вручную на стойке регистрации в некоторых отелях.

Напомним, ранее об утечке данных банковских карт клиентов Hyatt сообщалось в конце 2015 года. Тогда в системе обработки платежей гостиниц был обнаружен вредоносный код.

[satvitek]

Хакеры попытаются вмешаться в Олимпиаду-2018

Олимпийские игры представляют собой чрезвычайно заманчивую цель для хакеров и других преступников, чьи действия могут оказаться разрушительными для одного из главных спортивных событий в мире. По мнению ученых Калифорнийского университета, в 2016 году злоумышленники уже предпринимали попытки вмешаться в выборы президента США, а значит, могут попытаться повлиять и на будущую Олимпиаду.

Как сообщается в отчете ученых, опубликованном за четыре месяца до начала Зимних Олимпийских игр в Пхенчхане (Южная Корея), для оптимизации тренировочного процесса, улучшения комфорта зрителей и подсчетов результатов соревнований в спорте все чаще используются цифровые технологии. Благодаря этому у киберпреступников открываются большие возможности. К примеру, они могут внедриться в сети стадиона или систему подсчета голосов, или даже похитить и обнародовать персональные данные спортсменов. Кроме того, жертвами хакеров могут стать транспортная система и болельщики.

Наибольшую угрозу представляют кибератаки, способные повлечь за собой физические травмы как участников соревнований, так и зрителей. Также опасны попытки вмешаться в систему подсчета результатов, что может привести к «потере доверия и иметь продолжительное влияние на спорт», говорится в отчете.

Как отметили исследователи, за последние несколько лет киберпреступники уже не раз атаковали спортивные мероприятия. К примеру, активисты Anonymous атаковали официальный сайт «Формулы-1», таким образом выразив протест против проведения соревнований в Бахрейне. Во время Чемпионата мира по футболу в 2014 году фишеры выуживали данные электронной почты организаторов мероприятия в Бразилии.

[satvitek]

Сеть Ethereum официально обновилась

Сегодня в 08.22 утра по киевскому времени в сети Ethereum официально состоялся апдейт под названием Византия.
По данным CoinMarketCap, цена на Ethereum сильно колебалась в преддверии хардфорка и на данный момент составляет $336.

Апдейт Византия является частью большего обновления под названием Metropolis, который состоит из двух частей: Византия и Константинополь. Обновление включает в себя несколько улучшений сети ethereum (ethereum improvement protocols или EIP). Все EIP, так или иначе, направлены на улучшение работы сети, результатом этих улучшений будет:

-Более быстрая обработка транзакций

-Усовершенствования Smart Contract

-Сокращение вознаграждения за майнинг

-Возможность приватных транзакций

Поскольку Византия была планируемым апдейтом, в сообществе практически не возникало разногласий и риск разделения сети на две и появления новой криптовалюты был минимальны. Тем не менее, это обновление по-прежнему примечательно тем, что это первая крупная модернизация сети Ethereum, после того как интерес к криптовалютам возрос в этом году.

В течение последних нескольких дней разработчики клиентов для сети спешно доделывали свои продукты, по скольку постоянно обнаруживались критические баги и уязвимости в двух самых популярных из них: Geth и Parity. На данный момент для обоих клиентов выпущены версии, которые корректно работают и в которых нет багов. Всем владельцам нод рекомендуется срочно обновится до последних версий

[satvitek]

Теперь большинство Wi-Fi в мире под угрозой взлома

Протокол шифрования WPA2, который защищал роутеры пользователей и подключенные к нему девайсы, по слухам, был взломан. Об этом сообщает Arstechnica.

Это означает, что хакер, находящийся недалеко от домашней или офисной сети Wi-Fi, может взломать пароль от него, просмотреть всю интернет-активность и перехватить незащищенные потоки данных (например, пароль, введенный на незащищенном сайте, или видео с домашней камеры).

Этого следовало ожидать, ведь WPA2 уже около 13 лет. Предполагается, что CVE, в котором излагаются недостатки протокола, будет опубликован в понедельник в восемь вечера по московскому времени, а сайт krackattacks.com, в котором появится больше информации, все еще «мертвый».

Что все это значит для пользователя? Немедленно никого взломать не смогут, но Wi-Fi сеть небезопасна до тех пор, пока производитель маршрутизатора не выпустит обновление. Также, просматривая большинство сайтов HTTPS (система шифрования и защиты), пользователь в порядке, но все, что отправлено с телефона или компьютера в обычном режиме, может быть перехвачено. Если есть возможность, стоит использовать VPN.

Кроме того, все «умные» домашние ***жеты, вроде смарт-замков, могут быть взломаны и использованы. Для них также стоит ожидать обновление.

[satvitek]

Преступники массово сканируют сайты в поисках закрытых SSH-ключей

Киберпреступники массово сканируют web-сайты под управлением WordPress в поисках директорий, содержащих закрытые SSH-ключи, с целью взломать их с помощью случайно скомпрометированных учетных данных.

Аутентификация по SSH может осуществляться как по классической модели (с использованием логина и пароля), так и с помощью ключей. Во втором случае администратор генерирует пару ключей (закрытый и открытый ключи). Закрытый ключ помещается на сервер, который нужно аутентифицировать. В свою очередь пользователь сохраняет его в локальном конфигурационном файле SSH.

17-18 октября эксперты американской ИБ-компании Wordfence зафиксировали неожиданный всплеск сканирований сайтов на предмет наличия папок с определенными названиями. Судя по названиям папок, тех, кто проводил сканирование, интересовали закрытые SSH-ключи. В частности, они искали директории с упоминанием "root," "ssh" или "id_rsa".

По словам основателя Wordfence Марка Мондера (Mark Maunder), это может свидетельствовать о том, что киберпреступники добились успехов в поисках закрытых ключей и усилили активность. Вероятно, существует уязвимость, или владельцы сайтов под управлением WordPress допускают операционную ошибку, из-за которой закрытые SSH-ключи становятся доступными третьим лицам.

Толчком к проведению сканирований мог послужить недавний отчет компании Venafi. Исследователи опросили 410 ИБ-экспертов и обнаружили повсеместное отсутствие адекватных мер по защите SSH. Как показал опрос, 61% респондентов не ограничивают и не следят за числом администраторов, управляющих SSH. Только 35% опрошенных применяют политики, запрещающие пользователям SSH конфигурировать свои ключи, оставляя организации в неведении о злоупотреблениях со стороны злоумышленников. Лишь 23% меняют ключи раз в квартал или чаще. 40% не меняют их совсем или делают это нерегулярно.

[gydrokolbasa]

Мощный вирус атаковал объекты в России, Украине и Германии

Хакеры вывели из строя системы агентства "Интерфакс", киевского метрополитена, министерства инфраструктуры Украины и аэропорта Одессы.Новый вирус Bad Rabbit поразил во вторник, 24 октября, серверы нескольких российских СМИ: "Интерфакс" и "Фонтанка" и еще одного, название которого сотрудники компании Group-IB, специализирующейся на кибербезопасности, в интервью DW отказались называть. Также хакеры атаковали несколько государственных учреждений, в частности системы киевского метрополитена, министерства инфраструктуры и аэропорта Одессы.
Злоумышленники требуют выкуп в биткоинах

При загрузке системы зараженного компьютера происходит активация вируса. Вместо привычного рабочего стола пользователь видит черный экран, на котором красными буквами написано о шифровании всех файлов компьютера. Чтобы их расшифровать, злоумышленники просят перейти на onion-адрес (который индексируется только при помощи браузера Tor), где получает номер биткоин-кошелька. На него злоумышленники требуют перевести 0,05 биткоина (около 17 тысяч рублей), чтобы дешифровать файлы. На данный момент на биткоин-кошелек не было переведено никаких средств.

Основатель компании Group-IB Илья Сачков на своей странице в Facebook заявил, что эти атаки можно считать началом новой эпидемии. Официальный блог "Лаборатории Касперского" уже зафиксировал атаки Bad Rabbit в Турции, Украине и Германии. Однако больше всего атаке подверглась Россия. В "Лаборатории Касперского" считают, что вирус распространяется методом, схожим с ExPetr (он же Petya). Предыдущие вирусы в основном пробирались через "дыру" в системе Windows, поэтому атаке подверглись компьютеры с этой операционной системой.
Вирус распространяется через софт Adobe

Сотрудник чешской компании ESET, которая производит антивирусное ПО, Иржи Кропак в своем аккаунте в Twitter сообщил о том, что вирус распространяется через фальшивый файл обновления для программы Adobe Flash, которая установлена практически на каждом компьютере с системой WIndows.

Евгений Гуков из Group-IB рассказал DW, что сравнивать вирусы между собой пока рано. Однако, имеются и схожие особенности. "На данный момент мы видели зараженные компьютеры на операционной системе Windows, на iOs пока заражений этим вирусом зафиксировано не было, но это не значит, что их нет", - сказал Гуков.

[satvitek]

Российские хакеры хотели значительно большего, чем просто повлиять на выборы в США

Хакеры, которые вмешались в американские выборы в прошлом году, имели амбиции намного большие, чем просто подпортить рейтинг Клинтон. Их целью были письма от украинских властей, российских оппозиционеров, подрядчиков министерства обороны США и тысячи других писем, которые могли бы послужить источником информации для Кремля, сообщает Fortune со ссылкой на Associated Press.

Список, который приводит АР, демонстрирует результаты расследования, которые доказывают связь российских хакеров и кремлевского руководства. Оглядываясь на ретроспективу, становится понятно, насколько широка их паутина - от представителя Папы в Киеве до Pussy Riot в Москве. Российские хакеры вторглись в 4,3 тыс почтовых ящиков от Google по всему миру.

“Это — «вишлист» , список тех, кто будет представлять интерес для России в дальнейшем», - говорит Кир Гайлс, директор Исследовательского центра по изучению конфликтов в Кембридже, Англия, и один из пяти внешних экспертов, которые оценили выводы AP. Он говорит, что это список тех, за кем Россия собирается следить, компрометировать или заставить замолчать.

Выводы AP основываются на 19 тыс. вредоносных ссылок, собранных фирмой из сферы кибербезопасности Secureworks, десятках писем со спам-рассылок и интервью с более чем 100 людей, которые стали жертвами хакерских атак.

Скрытый текст

Secureworks наткнулись на эти данные, когда хакерская группа, известная как Fancy Bear случайно слила информацию о своих фишинговых атаках в интернет. В отчете АР была указана прямая связь между хакерами и утечками, которые потрясли президентскую избирательную кампанию на ее заключительных этапах, в первую очередь частные электронные письма руководителя избирательной компании Клинтон Джона Подеста.

Вопрос о том, кто взломал демократов, снова оказался в центре внимания всей страны после того, как в понедельник прозвучало одно откровенное заявление. Участник компании Дональда Трампа Джордж Пападопулос, оказывается, был осведомлен о том, что у россиян было чем запятнать честь Клинтон, в том числе знал о «тысячах писем».

Пресс-секретарь Кремля Дмитрий Песков назвал обвинения в сторону России в том, что она будто бы вмешалась в выборы, «необоснованными». Но отчет, составленный AP, дает убедительные доказательства того, что это сделал именно Кремль.

«Это Кремль и генеральный штаб», - сказал Андраш Рач, специалист по вопросам политики безопасности России в Католическом университете им. Пазмани Питера в Венгрии, изучив данные."У меня нет сомнений."

Новые доказательства

Список Secureworks охватывает период с марта 2015 года по май 2016 года. Большинство выявленных целей были в Соединенных Штатах, Украине, России, Грузии и Сирии.

В Соединенных Штатах, которые во времена «холодной войны» были соперником России, Fancy Bear попытался взломать не менее 573 почтовых ящиков. Под атаку попали представители высших эшелонов дипломатических служб и служб безопасности страны: тогдашний госсекретарь Джон Керри, бывший госсекретарь Колин Пауэлл, тогдашний главнокомандующий НАТО, генерал ВВС США Филипп Бридлоу и один из его предшественников, генерал армии США Уэсли Кларк.
Список адресов, которые попали под удар, содержит большой перечень подрядчиков Министерства обороны США, таких как Boeing, Raytheon и Lockheed Martin или руководители разведки, эксперты по наблюдением за Россией.

Особенно большой удар пришелся по "демократам". Целями стали более 130 партийных работников, сотрудников кампании и сторонников партии, включая Подеста и других членов ближайшего окружения Клинтон.

AP также обнаружила, что несколько "республиканских" адресов тоже были скомпрометированы.
Подеста, Пауэлл, Бридлове и более десятка демократических целей, кроме Подеста, вскоре обнаружат, что их приватную переписке "слили" в Интернет. За большинством из них Fancy Bear следили более 3-7 месяцев, утверждает АР.

Пауэлл недавно признался, что он я всегда подозревал какую-то связь с Россией.

В Украине, которая воюет с пророссийскими сепаратистами, Fancy Bear пытались взломать как минимум 545 аккаунтов. Их целямы были почта Петра Порошенко и его сына Алексея. Также под раздачу попали нынешние и бывшие министры, в том числе Арсен Аваков, и около 20 депутатов ВРУ.

В списке также нашлось место для депутата от оппозиции Сергея Лещенко, который помог выявить "черную бухгалтерию", по которой якобы переводились деньги главе кампании Трампа Полу Манафорту, которому в понедельник в Вашингтоне были предъявлены обвинения.

В России "Fancy Bear" сосредоточился на противниках правительства и десятках журналистов. Среди мишеней были нефтяной магната Михаил Ходорковский, который провел 10 лет в тюрьме и теперь живет в изгнании, а также Мария Алехина из «Pussy Riot». Наряду с ними было еще 100 гражданских активистов, в том числе борец с коррупцией Алексей Навальный и его помощники.

«Список имейлов полностью соответствует действительности, - сказал Василий Гатов, российский медиа-аналитик, который сам был среди целей. Он сказал, что российские власти были бы особенно заинтересованы в Навальном, одном из немногих лидеров оппозиции, который пользуется поддержкой россиян.

Многи цели хакерских атак имели мало общего, за исключением того, что они "попали в поле видимости радара Кремля", как написали западные журналисты. Экологический активист в отдаленном российском портовом городе Мурманске; небольшой политический журнал в Армении; представитель Ватикана в Киеве; организация, предоставляющая образование для взрослых в Казахстане.«Просто трудно понять, какая другая страна в мире будет так сильно заинтересована в их деятельности», - сказал Майкл Кофман, эксперт по российским военным делам в Международном центре Вудро Вильсона в Вашингтоне. Он тоже был в списке. «Если ты не россиянин, то взламывание этих людей — это колоссальное расходование времени в пустую», - добавил он.

Работали с 9 до 18 по московскому времени

Утверждения о том, что Fancy Bear работают в России, не стали новость. Но "сырые" данные было трудно найти. Исследователи уже более десяти лет документируют деятельность группы, и многие обвиняют ее в том, что она является дополнением к российской разведке.

Ник «Прикольный медведь» - это не слишком тонкий намек на национальный символ России.

После выборов в 2016 году спецслужбы США публично пришли к консенсусу и заявили, что американские "призраки" (англ. spooks - так в Америке называют шпионов) давно заявляли поодиночке: «Fancy Bear» - это порождение Кремля.

Но у американских разведчиков было мало доказательств, и даже медийные компании, занимающиеся кибербезопасностью, обычно публикуют только сводки своих данных.

Это делает базу данных Secureworks ключевой частью публичных доказательств - тем более примечательной, что это результат неосторожной ошибки.

Secureworks эффективно сработал, наткнувшись на "слив". Исследователи пошли в обратном порядке - с сервера, привязанного к одной из частей вредоносного программного обеспечения Fancy Bear.

Он обнаружил гиперактивный Bitly аккаунт, который Fancy Bear использовал, чтобы скрывать тысячи вредоносных ссылок за фильтром спама Google. Поскольку Fancy Bear забыл сделать учетную запись "приватной", Secureworks провел следующие несколько месяцев, наблюдая за группой из-за плеча, спокойно копируя детали тысяч электронных писем, на которые он нацелился.

Недавно AP получила данные об 4700 отдельных адресов электронной почты, а затем связалась с примерно половиной к владельцев учетных записей. В AP подтвердили список, проверив образцы фишинговых писем, предоставленных жертвами атак, и сравнив их с аналогичными реестрами, собранными независимо другими компаниями кибербезопасности, такими как Trend Micro из Токио и словацкая фирма ESET.

Данные Secureworks позволили журналистам определить, что более 95% вредоносных ссылок были созданы в рабочие часы по московскому времени - с 9 до 18 часов. С понедельника по пятницу.

Выводы AP также отслеживаются с докладом, который впервые привлек внимание американских избирателей к Fancy Bear . В 2016 году компания кибербезопасности, известная как CrowdStrike, заявила, что Демократический национальный комитет был скомпрометирован российскими хакерами, в том числе и группой Fancy Bear.

Согласно списку Secureworks, Fancy Bear предпринимали отчаянные попытки взломать электронные письма сотрудников DNC в начале апреля 2016 года - именно тогда, когда CrowdStrike заявил о хакерских взломах.

Исходные данные позволили AP говорить напрямую с людьми, которые стали жертвами, многие из которых указали пальцем на Кремль.

«Мы не сомневаемся в том, кто стоит за этими атаками, - сказал Артем Торчинский, координатор Антикоррупционного фонда Навального, который три раза стал жертвой хакеров за один только 2015 год.«Я уверен, что это хакеры, контролируемые российскими спецслужбами ».

Миф о 400-фунтовом человеке

Даже если небольшая часть 4700учетных записей Gmail, на которые нацелились Fancy Bear, были взломаны успешно, данные, взятые из них, можно исчислять в террабайтах. Это самая крупная утечка в журналистской истории.

Хакеры понимали, что для того, чтобы разгрести эту гору сообщений - на английском, украинском, русском, грузинском, арабском и многих других языках - им понадобилась бы значительная команда аналитиков и переводчиков. Простое определение и сортировка целей потребовали от шести корреспондентов восьми недель работы.

Усилия AP помогают «немного почувствовать, сколько труда ушло на это», - сказал Томас Рид, профессор стратегических исследований в Школе перспективных международных исследований Университета Джона Хопкинса.

Он сказал, что расследование должно положить конец любым теориям.

В прошлом году Дональд Трамп, будучи еще кандидатом, заявил что "хакнуть" может любой тип весом в 400 фунтов, сидящий у себя дома на кровати.

[свернуть]

[satvitek]

Хакеры взломали iOS 11.1 и получили $195 тыс

Ежегодно сотни хакеров съезжаются на конкурс по взлому мобильных устройств, операционных систем и приложений Pwn2Own. В этом году хакером предстояло взломать сразу несколько смартфонов-флагманов:

— Huawei Mate 9 Pro;

— Google Pixel;

— Samsung Galaxy S8;

— iPhone 7.

Суммарный призовой фонд по всем устройствам составил свыше $500 000.

При взломе iOS 11.1, установленной на iPhone 7, хакеры воспользовались уязвимостью в беспроводном протоколе W-Fi. За взлом команде Tencent Keen Security Lab (TKSL) начислили призовые в размере $110 000.

Вторая дыра в безопасности iOS 11.1 была обнаружена в браузере Safari. Она принесла программистам еще $60 000. Всего же было найдено четыре крупных уязвимости, с помощью которых хакерам удалось установить вредоносное приложение.

Самым уязвимым местом iOS 11.1 оказался браузер. Его удалось взломать и еще одному хакеру Ричарду Жу, за что он получил премиальные $25 000.

Впрочем, эксплойты были найдены и в Samsung Galaxy S8, и в Huawei Mate 9 Pro. На взломе этих устройств участникам конкурса удалось заработать $350 000.

Apple сотрудничает с представителями конкурса Pwn2Own, поэтому все обнаруженные уязвимости будут переданы программистам компании. В течение 90 дней Apple обязана устранить дыры в безопасности iOS 11.1. В противном случае Pwn2Own обнародует информацию о процедуре взлома.

[satvitek]

Слежка и прослушка телефонов обойдется всего в несколько тысяч долларов

Получить доступ к глобальной сети, используемой для отслеживания телефонных звонков и перехвата сообщений, можно всего за несколько тысяч долларов, выяснили журналисты издания Daily Beast в рамках проведенного расследования.

Имея в наличии один лишь номер телефона, злоумышленник с доступом к ОКС-7 (Signaling System 7, SS7) может прослушивать разговоры, рассылать и перехватывать сообщения и выполнять другие действия. Журналисты издания Daily Beast решили выяснить, насколько легко обычные пользователи могут получить доступ к данной системе. Журналисты зарегистрировали домен smsrouter.co и под видом потенциальных клиентов связались с подразделением крупного поставщика телекоммуникационных услуг в Западной Европе, позиционируя себя как сервис по маршрутизации текстовых сообщений.

После обмена электронными письмами в течение недели компания предложила журналистам подключение к ОКС-7 по цене $2 650 с 50% предоплатой и последующей ежемесячной платой в размере $6 600 за обслуживание адреса Global Title, использующегося для определения маршрутов доставки сообщений. Компания также предложила подключить фиктивную компанию по протоколу SIGTRAN.

Далее телекомкомпания предложила журналистам подписать соглашение о неразглашении для дальнейшего сотрудничества, однако репортеры приняли решение прервать эксперимент.

В целом доступ к ОКС-7 обошелся бы журналистам в 9 250 долларов. Это сравнительно небольшая сумма для большинства киберпреступников. Цена, указанная The Daily Beast, соответствует цифрам из других источников. К примеру, в электронном письме итальянской компании Hacking Team, опубликованном WikiLeaks в 2015 году, фирма CleverSig предложила Hacking Team шпионское ПО на базе ОКС-7. Согласно письму, ежемесячная плата за данное ПО составляла от $14 тыс. до $16 тыс.

Доступ к ОКС-7 можно получить и на черном рынке. Согласно источнику из компании, занимающейся защитой ОКС-7, на рынке существует несколько теневых игроков, предлагающих получить доступ к ОКС-7 за небольшую плату. В большинстве своем такие продавцы связаны с восточноафриканскими телекоммуникационными компаниями.

В последнее время наблюдается стремительный рост числа компаний, предлагающих технологии для удаленной слежки за мобильными устройствами посредством эксплутации уязвимостей в ОКС-7.

ОКС-7 (общий канал сигнализации № 7) — набор сигнальных телефонных протоколов, используемых для настройки большинства телефонных станций по всему миру на основе сетей с канальным разделением по времени. В основе ОКС-7 лежит использование аналоговых или цифровых каналов для передачи данных и соответствующей управляющей информации.

Global Title (GT) - адрес, использующийся на уровне SCCP модели SS7 в сигнальных сообщениях, для определения маршрутов доставки в телекоммуникационных сетях.

SIGTRAN - название группы телекоммуникационных протоколов, созданных для взаимодействия традиционной телефонии и VoIP. SIGTRAN протоколы - расширение семьи протоколов ОКС-7.

[satvitek]

Хакеры в течение 4 лет имели доступ к доменному аккаунту Trump Organization

Хакеры зарегистрировали по меньшей мере 250 доменных имен от имени компании Trump Organization. Об этом сообщило издание Mother Jones со ссылкой на собственные источники.

По словам собеседника издания, хакерам удалось получить доступ к учетной записи компании на сервисе GoDaddy, которую Trump Organization использует для регистрации доменных имен. Получив доступ, хакеры зарегистрировали множество теневых поддоменов в дальнейшем используя данные адреса в кампаниях по рассылке вредоносного ПО. Большинство адресов были зарегистрированы в августе 2013 года и представляют собой набор случайных символов с поддоменом, принадлежащим Trump Organization, например, btydf.donald-trump-ei.com. С полным списком зарегистрированных доменов можно ознакомиться на ресурсе Pastebin.

Зарегистрированные доменные имена были связаны с российскими IP-адресами. Трафик множества поддоменов направлялся на серверы в Санкт-Петербурге, дополнительно проходя по цепочке серверов, расположенных в Италии, Москве и на востоке России. Поддомены находились в диапазоне IP-адресов 46.161.27.184 - 46.161.27.200. Данный блок принадлежит провайдеру HostKey.ru (ООО «Мир Телематики»).

Поддомены и связанные с ними IP-адреса неоднократно были замечены в различных кампаниях по распространению вредоносного ПО. Большинство теневых поддоменов оставались активными до текущей недели. Не исключено, что Trump Organization не знала об их существовании и потому не предпринимала меры по их отключению.

По словам представителей Trump Organization, учетные записи компании не были скомпрометированы. Компания не имеет никакого отношения к зарегистрированным теневым поддоменам, а указанные сайты не проявляют активность и не содержат никакой контент. Служба безопасности Trump Organization не обнаружила вредоносное ПО ни на одном из указанных доменов, следует из заявления компании.

[satvitek]

Хакеры «отравляют» ссылки в выдаче Google

Хакерская группировка, распространяющая банковский троян Zeus Panda, использует методы поисковой оптимизации, чтобы «отравить» результаты поиска Google и обеспечить появление принадлежащих им вредоносных сайтов в верхних строчках поисковых результатов.

SEOна службе сил зла

Злоумышленники, стоящие за появлением банковского трояна Panda Zeus, приняли на вооружение весьма нестандартный способ распространения своего вредоноса — поисковую оптимизацию (SEO). Случай можно считать уникальным; до сих пор ничего подобного эксперты по безопасности не наблюдали. Детальное техническое описание кампании Panda Zeus подготовлено специалистами Talos.

Поисковая оптимизация — это комплекс мер по изменению содержания сайта для поднятия его позиций в результатах выдачи поисковых систем по определенным запросам пользователей. Конечной целью этих мероприятий является увеличение сетевого трафика и привлечение новых пользователей.

В рассматриваемом случае тщательно подобранные ключевые слова и фразы интегрируются в старые и новые вредоносные сайты, тем самым эксплуатируя особенности поисковика Google и выводя вредоносные ресурсы на верхние позиции в поисковых результатах по специфическим запросам.

Слабое место схемы

Пользователей, имевших неосторожность перейти по вредоносным ссылкам, будут перенаправлять через целую серию разных сайтов к одному конкретному, на котором жертве будет предложено скачать файл Word с вредоносной начинкой.

Для ее активации понадобится включение макросов в Microsoft Office. По умолчанию они отключены и только с помощью социальной инженерии пользователей можно на это сподвигнуть.

«В целом атаки на конечных пользователей становятся сложнее и хитроумнее, по мере того как усложняются сами технологии, — отмечает Олег Галушкин, эксперт по безопасности компании SEC Consult Services. — С другой стороны, некоторые методы остаются неизменными: при всей изобретательности данной схемы "традиционное" использование макросов является ее самым слабым местом. Хотя нельзя отрицать, что и этот прием остается весьма эффективным».

[satvitek]

У потребителей нет уверенности в безопасности интернета вещей

Компания Gemalto, работающая в области цифровой безопасности, поделилась исследованием пользователей интернета вещей (Internet of Things или IoT): 90% потребителей не доверяют безопасности таких устройств. Вот почему более двух третей потребителей и почти 80% организаций поддержали правительства, принимающие меры по обеспечению безопасности IoT.

«Понятно, что не только отдельные потребители, но и предприятия серьезно обеспокоены безопасностью интернета вещей; они не вполне уверены, что поставщики IoT-услуг и производители устройств смогут защитить устройства Интернета вещей и, что еще важнее, целостность данных, созданных, сохраненных и передаваемых этими устройствами, − сказал Джейсон Харт (Jason Hart), технический директор отдела по защите данных в компании Gemalto. − Благодаря такому законодательству, как «Общие положения о защите данных» (GDPR), показывающему, что правительства начинают осознавать угрозы и длительный ущерб, который могут причинить кибератаки в повседневной жизни, теперь им необходимо активизировать свою деятельность, касающуюся безопасности интернета вещей. До тех пор, пока предприятия и потребители не будут уверены в интернете вещей, он не получит широкого и повсеместного применения».

Основные опасения потребителей (мнение 2/3 респондентов) касаются хакеров, которые могут установить контроль над их устройством. Фактически, это вызывает большее беспокойство, чем утечка данных (60 и доступ хакеров к личной информации (54. Несмотря на то, что устройствами IoT владеет более половины (54 потребителей (в среднем, по два устройства на человека), только 14% считают себя хорошо осведомленными о безопасности этих устройств. Такая статистика показывает, что как потребителям, так и предприятиям, необходимо дополнительное образование в данной сфере.

Что касается уровня инвестиций в безопасность, то опрос показал, что производители устройств IoT и поставщики услуг тратят всего 11% своего общего IoT-бюджета на обеспечение безопасности устройств Интернета вещей. Исследование показало, что эти компании действительно признают важность защиты устройств и данных, которые они генерируют или передают, а 50% компаний обеспечивают безопасность на основе проектного подхода. 2/3 (67 организаций сообщают о применении шифрования в качестве основного метода защиты активов IoT с 62%-ным шифрованием данных сразу по достижении IoT-устройства, а 59% − при выходе из устройства. 92% компаний наблюдали увеличение продаж или использования продукта после внедрения мер по обеспечению безопасности IoT.

Согласно опросу, компании поддерживают положения, дающие понять, кто несет ответственность за обеспечение безопасности устройств и данных IoT на каждом этапе их применения (61 и каковы последствия несоблюдения безопасности (55. Фактически, почти каждая организация (96 и каждый потребитель (90 испытывают необходимость в правилах по обеспечению безопасности интернета вещей, принятых на уровне правительства.

К счастью, компании постепенно осознают, что им нужна поддержка в понимании технологии IoT и обращаются к партнерам за помощью, отдавая наибольшее предпочтение провайдерам облачных услуг (52 и поставщикам услуг IoT (50. В качестве главной причины для такого обращения они чаще всего называют отсутствие опыта и навыков (47, а затем − помощь и ускорение развертывания интернета вещей (46.

Несмотря на то, что такие партнерские отношения могут принести пользу бизнесу при внедрении интернета вещей, организации признают, что они не имеют полного контроля над данными, собираемыми продуктами или сервисами интернета вещей, когда эти данные переходят от партнера к партнеру, что потенциально оставляет их незащищенными.«Недостаток необходимых знаний как со стороны компаний, так и со стороны потребителей, вызывает тревогу: это приводит к пробелам в экосистеме IoT, которые могут быть использованы хакерами, − продолжает Харт (Hart). − В рамках этой экосистемы задействованы четыре группы − потребители, производители, поставщики облачных услуг и третьи стороны, и все они несут ответственность за защиту данных. «Безопасность на основе проектного подхода» является наиболее эффективной стратегией, позволяющей свести возможность взлома к минимуму. Кроме того, устройства IoT являются порталом для более широкой сети, и поэтому оставить их без защиты – то же самое, что распахнуть дверь перед хакерами. До тех пор, пока обе стороны не расширят свои знания о том, как защитить себя и внедрить стандартные для данной отрасли подходы к защите безопасности, интернет вещей будет настоящей сокровищницей для хакеров, предоставляющей им многие возможности».

[satvitek]

Google защитит своих пользователей от хакеров с помощью донгла

Парольная защита уже доказала свою ненадежность, поэтому технологические компании ищут новые способы аутентификации пользователей. К примеру, компания Google намерена предложить своим клиентам специальный аппаратный ключ (донгл) для авторизации в учетных записях.

Донгл представляет собой миниатюрное устройство, которое можно прицепить к связке обычных ключей. В набор входят два устройства – одно можно носить с собой в кармане или сумке, а второе хранить в надежном месте в качестве запасного. Стоимость каждого ключа составляет $20.

Донглы являются одной из ключевых составляющих программы Google Advanced Protection Program по усиленной защите пользователей, представляющих особый интерес для хакеров. Каждый раз в процессе авторизации пользователь должен будет подключать донгл в качестве второго этапа двухфакторной аутентификации. Достаточно просто подключить устройство через USB-порт или по Bluetooth, и пользователь авторизуется в своей учетной записи.

Подписаться на программу Advanced Protection Program может каждый, однако Google в первую очередь будет отдавать предпочтение пользователям, представляющим интерес для правительственных хакеров и спецслужб. Поэтому в приоритете будут политики, журналисты, общественные деятели и бизнесмены, а вот остальным придется подождать.