Новости о хакерских взломах и атаках

[satvitek]

ЦРУ связало распространение вируса Petya в Украине с российским ГРУ – СМИ

По данным Центрального разведывательного управления США, Главное разведывательное управление России организовало кибератаку на Украину, замаскировав ее под действия обычных хакеров, пишет The Washington Post.

За кибератакой "вируса-вымогателя" Petya.A летом 2017 года с "высокой вероятностью" стояло российское Главное разведывательное управление (ГРУ). Об этом сказано в секретных отчетах Центрального разведывательного управления США (ЦРУ), пишет The Washington Post.

По данным газеты, хакеры воспользовались тактикой watering hole, когда хакеры заражают вирусом сайт, который чаще всего посещают сотрудники компаний подвергающихся атаке. По мнению основателя фирмы по кибербезопасности Rendition Infosec Джейка Уильямса, целью атаки вируса Petya был "подрыв финансовой системы Украины".

В ЦРУ считают, что ГРУ использовало "вирус-вымогатель", чтобы скрыть участие государства в нападении, сделав вид, что за атакой стоят обычные хакеры.

"На протяжении многих дней люди классифицировали Petya.A как реального вымогателя. Потребовалось некоторое время, чтобы люди поняли, что он делает", – отметил основатель компании по кибербезопасности Comae Technologies Мэтт Суйче.

The Washington Post отмечает, что больше половины жертв вируса – украинские объекты. От атаки также пострадали компьютерные системы Дании, Индии и США.

В ЦРУ официально отказались комментировать эту информацию.

27 июня 2017 года в Украине была зафиксирована масштабная кибератака. "Вирус-вымогатель" парализовал работу компьютерных сетей в банках, СМИ, торговых организациях, почтовых службах, государственных учреждениях. Название вируса, шифрующего файлы на жестком диске всех компьютеров в зараженной сети, – Petya.A.

[satvitek]

Хакеры похищают пароли через рекламу

Пользователям уже давно известно, что реклама на сайтах используется для распространения вирусов. Но хакеры стали все чаще использовать ее еще для одной цели — похищения логинов и паролей.

Американским экспертам удалось обнаружить еще один способ, позволяющий с помощью рекламы получить доступ к личным данным пользователя, а потом еще и к его аккаунтам. Специалисты заметили, что в последнее время участились случаи похищения личных данных пользователей. Подробное изучение этого вопроса подтолкнуло экспертов к выводу, что для похищения логинов и паролей хакеры могли использовать скрипт, который обычно содержится в рекламных сообщениях. Каким-то образом злоумышленники внесли в него изменения, которые вынудили его выполнять нужные хакерам действия.

Как только пользователь начнет заполнять в браузере форму, необходимую для авторизации на том или ином сайте, скрипт обнаружит это и перехватит вводимые данные, после чего отправит их злоумышленнику. Во время изучения такого способа похищения личных данных стало известно, что хакеры в основном охотятся не столько за логинами и паролями, сколько за адресами и данными банковских карт.

Специалисты установили, что этот способ похищения очень простой, и они вообще недоумевают, почему он не возник раньше.

Чтобы обезопасить пользователей от такого способа похищения личных данных, специалисты предлагают производителям браузеров избавиться от функции автоматического сохранения паролей и личных данных пользователей. Хотя это не гарантирует пользователям полную безопасность.

[satvitek]

Eset: группа Turla распространяет бэкдор с установщиком Flash Player

Специалисты Eset обнаружили новый метод компрометации рабочих станций, который использует кибергруппа Turla. Техника применяется в атаках, нацеленных на сотрудников посольств и консульств стран постсоветского пространства.

Группа Turla специализируется на операциях кибершпионажа. Ее жертвами становились крупные организации из Европы и США, в 2016 году хакеры провели атаку на швейцарский оборонный холдинг RUAG. Характерные для Turla методы – атаки типа watering hole и целевой фишинг. Как показало новое исследование Eset, группа совершенствует инструментарий.

Хакеры Turla объединили в пакет собственный бэкдор и программу-установщик Adobe Flash Player, а также внедрили специальные техники, чтобы домены и IP-адреса загрузки поддельного софта внешне напоминали легитимную инфраструктуру Adobe. Данные меры заставляют потенциальную жертву поверить, что она скачивает подлинное ПО с сайта adobe.com, хотя это не соответствует действительности – подмена легитимного установщика вредоносным производится на одном из этапов пути от серверов Adobe к рабочей станции.

Специалисты Eset предполагают, что подобная атака может производиться следующими способами. Одна из машин в корпоративной сети жертвы может быть взломана, чтобы использоваться в качестве плацдарма для локальной атаки Man-in-the-Middle (MitM). Далее в ходе атаки трафик компьютера жертвы будет перенаправлен на скомпрометированную машину в локальной сети. Атакующие могут скомпрометировать сетевой шлюз организации для перехвата входящего и исходящего трафика между корпоративной сетью и интернетом.

Перехват трафика может производиться на уровне интернет-провайдера (ISP) – тактика известна из недавнего исследования Eset, посвященного кибершпионажу. Известные жертвы находятся в разных странах и, по данным Eset, используют услуги минимум четырех провайдеров. Хакеры могут выполнить атаку на BGP-маршрутизаторы (Border Gateway Protocol hijacking) для перенаправления трафика на контролируемый ими сервер, хотя эта тактика, скорее всего, привлекла бы внимание систем мониторинга.

После запуска поддельного инсталлятора Flash Player на компьютер жертвы будет установлен один из бэкдоров группы Turla. Это может быть одна из версий Windows-бэкдора Mosquito, вредоносный файл JavaScript или неизвестный файл, загруженный с фиктивного и несуществующего URL-адреса Adobe.

Далее выполняется основная задача – эксфильтрация конфиденциальных данных. Атакующие получают уникальный идентификатор скомпрометированной машины, имя пользователя, список установленных продуктов безопасности и ARP-таблицу.

На финальной стадии процесса поддельный инсталлятор загружает и запускает легитимное приложение Flash Player.

Новый инструмент используется в атаках минимум с июля 2016 года. Связь с Turla установлена на основании нескольких признаков, включающих использование бэкдора Mosquito и нескольких IP-адресов, ранее отнесенных к данной кибергруппе.

В Eset исключают сценарии, связанные с компрометацией Adobe. Вредоносные программы группа Turla не были внедрены в какие-либо легитимные обновления Flash Player и не связаны с известными уязвимостями продуктов Adobe. Практически исключена также компрометация веб-сайта загрузки Adobe Flash Player.

[satvitek]

Кибератаки могут стать причиной ядерной войны

Достаточно хитрая кибератака против Великобритании или любой другой ядерной страны может привести к тому, что ошибочно будет нанесен ядерный удар.

Об этом пишет The Times со ссылкой на отчет аналитического центра Chatham House.

«Кибернетически уязвимые места в структурах ядерных вооружений представляют целый ряд опасностей и рисков. В лучшем случае цифровая незащищенность систем ядерных вооружений может подорвать веру и уверенность в военном потенциале и инфраструктуре ядерного оружия», — говорится в отчете центра.

По худшему сценарию, по мнению экспертов Chatham House, кибератака может привести к умышленной дезинформации и случайному применению ядерного оружия. В период кризиса потеря доверия к возможностям ядерного оружия может повлиять на процесс принятия решений и подорвать уверенность в ядерном сдерживании.

Эксперты отмечают, что свои ядерные силы страны строили еще до того, как появился интеренет и современные передовые технологии. Поэтому не редко вопросы киберзащиты цифровых систем в структуре ядерных арсеналов не получает должного внимания.

[satvitek]

Эксперты предупредили о возможных атаках Fancy Bears на Олимпиаду-2018

Хакерская группировка Fancy Bears опубликовала конфиденциальную переписку членов Международного олимпийского комитета (МОК), проливающую свет на борьбу между МОК и Всемирным антидопинговым агентством (WADA) за главенство в мире спорта. Теперь же эксперты ИБ-компании ThreatConnect предупреждают о возможных будущих атаках группировки на Олимпиаду-2018 в Пхенчхане (Южная Корея).

Исследователи ThreatConnect идентифицировали поддельные домены, имитирующие настоящие домены WADA, Антидопингового агентства США (USADA) и Олимпийского совета Азии (OCASIA). «Эти подозрительные домены имеют связь с остальной идентифицированной ранее инфраструктурой Fancy Bear (Fancy Bears – ред.) и наводят на мысль о более обширной кампании против грядущих зимних игр 2018 года», – сообщают исследователи.

Эксперты уведомили затронутые организации об обнаруженных поддельных доменах. Тем не менее, в настоящее время они не могут с уверенностью сказать, действительно ли домены являются частью используемой Fancy Bears инфраструктуры, или были умышленно связаны с ней кем-то еще с целью запутать следы.

В ходе мониторинга доменов, зарегистрированных регистратором, которым обычно пользуются Fancy Bears, исследователи обнаружили домен webmail-usada[.]org, подделанный под настоящий домен USADA. Домен был зарегистрирован 21 декабря 2017 года и использует DNS Domains4Bitcoins, ранее уже использовавшийся Fancy Bears. По состоянию на 10 января 2018 года он размещался на выделенном сервере с IP-адресом 185.189.112[.]242.

Домен был зарегистрирован с использованием защиты приватности, однако ресурсные записи DNS для webmail-usada[.]org указывают на то, что он был зарегистрирован на электронный адрес jeryfisk@tuta[.]io. С помощью инструмента Iris от компании DomainTools исследователи выявили, что вышеуказанный адрес недавно также использовался для регистрации еще одного поддельного домена USADA – usada[.]eu. В настоящее время его хостинг отсутствует. Никаких других доменов, зарегистрированных на этот адрес, исследователи не обнаружили.

Эксперты также обнаружили третий домен – wada-adams[.]org, зарегистрированный 14 декабря 2017 года на электронный адрес wadison@tuta[.]io. Домен маскировался под настоящий домен WADA и систему антидопингового администрирования и менеджмента АДАМС. Домен ocaia[.]org, подделанный под легитимный домен OCASIA, был зарегистрирован 25 декабря 2017 года и использует DNS THCServers, также ранее использовавшийся Fancy Bears.

[satvitek]

Lenovo удалила скрытый бэкдор из своих сетевых коммутаторов

Бэкдор присутствовал в коде прошивки ENOS еще с 2004 года.

Инженеры Lenovo обнаружили и удалили бэкдор в прошивке своих сетевых коммутаторов RackSwitch и BladeCenter. Проблема была обнаружена в ходе внутреннего аудита безопасности продуктов, появившихся в портфолио Lenovo после приобретения ею нескольких компаний. На прошлой неделе производитель выпустил обновление прошивки, удаляющее бэкдор.

Бэкдор присутствовал только в коммутаторах RackSwitch и BladeCenter под управлением ENOS (Enterprise Network Operating System). Бэкдор был добавлен в ENOS в 2004 году, когда поддержкой ОС занималось подразделение Blade Server Switch Business Unit (BSSBU) канадской компании Nortel. Как пояснили в Lenovo, Nortel одобрила внедрение бэкдора «по запросу клиента BSSBU». В уведомлении безопасности Lenovo бэкдор упоминается как «HP backdoor».

Сторонний код присутствовал в ENOS даже после того, как в 2006 году подразделение BSSBU превратилось в отдельную компанию BLADE Network Technologies (BNT). Когда в 2010 году BNT была куплена IBM, бэкдор все еще оставался в прошивке. Lenovo приобрела портфолио IBM BNT в 2014 году.

«Присутствие механизмов, позволяющих обойти аутентификацию или авторизацию, недопустимо для Lenovo и не согласуется с политикой Lenovo касательно безопасности продуктов и промышленной практики. Lenovo удалила этот механизм из исходного кода ENOS и выпустила обновленную прошивку для затронутых продуктов», - заявила компания.

Так называемый «HP backdoor» представляет собой не скрытую учетную запись, а целый механизм обхода авторизации, появляющийся при строго определенных условиях. Уязвимость получила идентификатор CVE-2017-3765.

[satvitek]

Вредонос Smoke Loader распространяется через поддельный патч для Meltdown и Spectre

Сайт злоумышленников замаскирован под страницу Федерального управления по информационной безопасности Германии.
Правительство Германии предупредило пользователей о новой фишинговой кампании, в ходе которой злоумышленники распространяют вредоносное ПО Smoke Loader под видом исправлений для уязвимостей Meltdown и Spectre. Вредоносные письма отправлены якобы от Федерального управления по информационной безопасности ФРГ (Bundesamt für Sicherheit in der Informationstechnik, BSI).

По словам исследователей кибербезопасности из компании Malwarebytes Labs, в письме пользователю предлагают перейти на фишинговый сайт, содержащий ссылки на различные ресурсы с информацией об уязвимостях. Сайт замаскирован под страницу, принадлежащую BSI, однако на самом деле не имеет никакого отношения к каким-либо государственным органам или учреждениям.

На мошенническом домене также присутствует ссылка на ZIP-архив (Intel-AMD-SecurityPatch-11-01bsi.zip), якобы содержащий исправление для уязвимостей. После запуска «патча» устройство жертвы заражается загрузчиком Smoke Loader. Как выяснили исследователи в ходе анализа трафика, вредонос пытается подключиться к ряду различных доменов и отправить зашифрованные данные.

В используемом злоумышленниками SSL-сертификате исследователям удалось обнаружить ряд свойств, присущих домену .bid, в частности в поле Subject Alternative Name.

Эксперты оперативно уведомили компанию-поставщика SSL-сертификатов Comodo и сервис по обеспечению безопасности CloudFlare о мошенническом ресурсе, после чего последний был удален.

Уязвимости Meltdown и Spectre были обнаружены в начале января 2018 года. Они затрагивают почти все процессоры, выпущенные с 1995 года, и позволяют злоумышленнику читать содержимое любой области памяти, в том числе памяти ядра ОС, а также получать данные приложений, запущенных другими пользователями.

[satvitek]

Появился инструмент для выявления фишинговых страниц в соцсетях

В Сети появился бесплатный сервис для обнаружения фишинговых страниц в социальных сетях.
ИБ-компания High-Tech Bridge добавила в свой сервис Trademark Monitoring Radar новую функцию, позволяющую организациям выявлять сквоттинговые или мошеннические учетные записи в социальных сетях и репозиториях.

Trademark Monitoring Radar представляет собой бесплатный сервис для обнаружения вредоносных доменов. С его помощью организации могут выявлять случаи киберсквоттинга и тайпсквоттинга с использованием их домена или бренда. Сервис также позволяет идентифицировать фишинговые сайты.

Новая функция предназначена для обнаружения попыток киберсквоттинга и тайпсквоттинга в соцсетях и репозиториях кодов. Достаточно просто ввести название домена, чтобы получить список потенциальных сквоттинговых учетных записей Facebook, Twitter, YouTube, Google Plus, GitHub и Bitbucket.
Сервис является полностью автоматизированным, поэтому возможны ложноположительные результаты. Тем не менее, все результаты поиска выдаются в виде ссылки, и пользователям не составит труда быстро проверить их вручную.

Новая функция пригодится организациям для выявления в соцсетях сквоттинговых и мошеннических учетных записей, которые могут использоваться киберпреступниками вместе с техниками социальной инженерии в целенаправленных фишинговых атаках. Сквоттинговые аккаунты в репозиториях могут использоваться хакерами для распространения вредоносного ПО. После обнаружения мошеннических учетных записей организации могут обратиться к администрации соцсети или репозитория с просьбой деактивировать их.

Киберсквоттинг – регистрация доменных имен, содержащих торговую марку, принадлежащую другому лицу с целью их дальнейшей перепродажи или недобросовестного использования.

Тайпсквоттинг – регистрация доменных имен, близких по написанию с адресами популярных сайтов, в расчете на ошибку пользователей (например, «wwwsite.ru» в расчете на пользователя, желавшего попасть на «www.site.ru»). При близости к очень популярным доменам тайпсквоттер может собрать на своем сайте некоторый процент «промахнувшихся» посетителей и монетизировать его за счет показа рекламы.

[satvitek]

Обзор инцидентов безопасности за прошлую неделю

Краткий обзор главных событий в мире ИБ за период с 8 по 14 января 2018 года.

На минувшей неделе внимание общественности привлек ряд событий, в числе которых публикация хакерской группировкой Fancy Bears переписки нескольких членов Международного олимпийского комитета (МОК), новые кампании по распространению банковских троянов ZeuS и FakeBank и прочие инциденты. Предлагаем вашему вниманию краткий обзор главных происшествий в мире ИБ в период с 8 по 14 января 2018 года.

На прошедшей неделе хакерская группировка Fancy Bears вновь заявила о себе громкой публикацией переписки ряда членов Международного олимпийского комитета (МОК). Согласно обнародованным документам, между МОК и Всемирным антидопинговым агентством (World Anti-Doping Agency, WADA) ведется борьба за влияние на мировой спорт. Хакеры также выяснили, что расследование употребления российскими спортсменами допинга носило политический характер и должно было дискредитировать МОК. Вскоре после публикации эксперты ИБ-компании ThreatConnect предупредили о возможных атаках группировки на Олимпиаду-2018 в Пхенчхане (Южная Корея).

На минувшей неделе также появилась информация о двух новых кампаниях по распространению банковского вредоносного ПО ZeuS и FakeBank. В рамках первой злоумышленники распространяли одну из разновидностей ZeuS через сайт украинского разработчика программного обеспечения для бухгалтерского учета Crystal Finance Millennium (CFM). Эксперты компании Cisco отметили сходство данного инцидента со взломом серверов компании «Интеллект-сервис» летом 2017 года, в ходе которого в бухгалтерское ПО M.e.doc был внедрен бэкдор, позволивший осуществить атаки с использованием вымогательского ПО NotPetya. Однако, в отличие от NotPetya, данная версия ZeuS распространялась не через уязвимый сервер, а через сайт компании CFM с помощью загрузчика вредоносного ПО, который жертва получала в виде вложения по электронной почте.

Вторая кампания, в ходе которой распространялось новое вредоносное ПО FakeBank, была направлена на российских пользователей, в основном клиентов «Сбербанка», «Лето Банка», «ВТБ24» и других российских банков. FakeBank маскируется под набор приложений для управления SMS/MMS и перехватывает SMS-сообщения для последующего хищения средств пользователей.

В новом году тема майнинга криптовалюты продолжает быть актуальной. В частности, специалисты компании AlienVault сообщили об обнаружении нового загрузчика, устанавливавшего майнер криптовалюты, который отправлял добытые средства на серверы в Университете имени Ким Ир Сена в Пхеньяне (Северная Корея). Вредоносный загрузчик, впервые выявленный в конце декабря 2017 года, предназначен для установки xmrig – майнера криптовалюты Monero с открытым исходным кодом.

Прошедшая неделя не обошлась без обвинений в адрес российских хакеров. Так, в Центральной разведывательном управлении США заподозрили Россию в кибератаке с использованием шифровальщика NotPetya на Украину в июне 2017 года. Тогда от атаки пострадали не только украинские, но и российские компании. Согласно публикации издания The Washington Post, сославшегося на секретные документы ЦРУ, ведомство с «высокой степенью достоверности» считает, что за атакой вируса NotPetya на Украину стоят хакеры российского Минобороны, а именно внешней разведки — Главного управления Генштаба (бывшее ГРУ). По мнению основателя компании по кибербезопасности Rendition Infosec Джейка Уильямса, целью атаки NotPetya был «подрыв финансовой системы Украины».

[satvitek]

"Антонов" заявил о взломе сайта и публикации там фейкового письма

На сайте появилось якобы открытое письмо руководства предприятия с обвинениями в адрес правительства. В пресс-службе ГП письмо назвали провокацией

Госпредприятие "Антонов" заявило о хакерской атаке на сайт - там появилосьь письмо с обвинениями в адрес Кабинета министров и премьера Владимира Гройсмана. Письмо фейковое, сообщили в пресс-службе "Антонов" Громадському.

В предприятии такие действия назвали провокацией.

"Так называемое "открытое письмо" не готовилось и не распространялось руководством предприятия. Факты, изложенные в нем, мы расцениваем как попытку дискредитировать руководство предприятия и государства", - заявили в "Антонов".

В письме, которое появилось на сайте, говорилось, что правительство усложняет работу предпрития и не предоставляет необходимой поддержки.

Пресс-служба ГП пока не знает, когда именно взломали сайт и кого можно подозревать в этой атаке.

[satvitek]

Подросток использовал социальную инженерию для доступа к секретным планам ЦРУ

15-летний основатель группировки Crackas With Attitude удачно прикидывался директорами ЦРУ и ФБР.

Британский школьник прикинулся главой ЦРУ, получил доступ к его компьютеру и завладел секретным планам разведывательных операций в Афганистане и Иране. Об этом сообщает The Telegraph со ссылкой на материалы суда.

15-летний Кейн Гэмбл (Kane Gamble), проживающий в графстве Лестершир вместе со своей матерью, использовал социальную инженерию с целью получить доступ к рабочим и персональным учетным записям директоров американских спецслужб и других высокопоставленных лиц. Подростку удалось убедить сотрудников колл-центра одного из интернет-гигантов в том, что он является Джоном Бреннаном (занимал пост директора ЦРУ с 8 марта 2013-го по 20 января 2017 года) и Марком Джулиано (занимал пост директора ФБР с 1 декабря 2013-го по 1 февраля 2016 года). Его целями также являлись министр внутренней безопасности США, директор национальной разведки при Бараке Обаме и др.

Гэмбл насмехался над своими жертвами в интернете, публиковал персональную информацию, засыпал их звонками и текстовыми сообщениями, загружал порнографию на их компьютеры, а также захватывал контроль над их iPad и телевизионными экранами.

По данным прокуратуры, в 2015 году подросток основал киберпреступную группировку Crackas With Attitude. Группировку ошибочно назвали хакерской, хотя по факту для доступа к чужой электронной почте, правительственным порталам, фотографиям и пр. ее участники использовали только социальную инженерию. Преступники обманывали сотрудников колл-центров или справочных служб, выуживали у них нужные сведения или заставляли осуществлять определенные действия.

Гэмбл, признавший свою вину в десяти пунктах по обвинению в незаконном использовании компьютеров, сначала атаковал Бреннана и получил доступ к его учетной записи Verizon. Сперва подросток прикинулся сотрудником компании, а затем и самим главой ЦРУ. С помощью аналогичной техники преступнику также удалось получить удаленный доступ к принадлежавшей Бреннану учетной записи AOL, хранилищу iCloud, электронной почте, а также к iPad его жены.

Похищенные данные Гэмбл, которому в настоящее время уже исполнилось 18 лет, публиковал в Twitter и передавал WikiLeaks, иногда снабжая их хештегом #freePalestine и заявлениями, что американское правительство «убивает невинных людей».

По данным медицинской экспертизы, Гэмбл страдает аутизмом и на момент совершения преступлений находился на уровне развития 12-13 лет.

[satvitek]

Хакеры используют уязвимости в MS Office для распространения бэкдора Zyklon

Zyklon способен извлекать пароли и устанавливать дополнительные плагины для майнинга криптовалют.

Злоумышленники эксплуатируют три сравнительно свежие уязвимости в пакете MS Office в спам-кампаниях, направленных на телекоммуникационные фирмы, а также предприятия в страховом и финансовом секторе. В рамках атак злоумышленники распространяют вредоносное ПО Zyklon – полноценный бэкдор, способный записывать нажатия клавиш, собирать пароли, а также загружать и устанавливать дополнительные плагины для майнинга криптовалют и извлечения паролей.

Речь идет о трех уязвимостях: CVE-2017-8759 в .NET Framework, CVE-2017-11882 в редакторе формул Microsoft Equation, а также функции Dynamic Data Exchange (DDE). Первые две уязвимости были исправлены в сентябре и ноябре 2017 года. Хотя Microsoft не рассматривает Dynamic Data Exchange как уязвимость и настаивает на том, что DDE - это функция, в минувшем декабре компания все же выпустила обновление пакета MS Office, отключающее функционал в приложении Word, для предотвращения кибератак.

В рамках атак злоумышленники используют один и тот же домен для загрузки закодированного в Base64 скрипта PowerShell (Pause.ps1), отвечающего за резолвинг API, нужных для выполнения произвольного кода. Скрипт также загружает конечный вредоносный модуль, отмечают специалисты FireEye.

Помимо загрузки дополнительных плагинов, Zyklon может осуществлять DDoS-атаки и извлекать пароли из браузеров и ПО электронной почты. Вредонос использует сеть Tor для маскировки коммуникаций со своим управляющим сервером. Как пояснили эксперты, Zyklon содержит зашифрованный файл под названием tor. После расшифровки данный файл внедряется в InstallUtiil.exe и работает как анонимайзер Tor.

[satvitek]

Ливанские хакеры похитили сотни гигабайт данных с помощью фишинга

Похищенные хакерами данные, включают в себя переписку, резервные копии файлов, снимки экрана компьютеров, фотографии, журналы вызовов и пр.

Хакеры, предположительно связанные с правительством Ливана, похитили сотни гигабайт информации у тысяч жертв по всему миру, используя только фишинговые письма и относительно простое вредоносное ПО, следует из совместного отчета правозащитной организации Electronic Frontier Foundation и компании по кибербезопасности Lookout.

По словам исследователей, им удалось получить доступ к серверу злоумышленников и в течение 3 месяцев собирать доказательства шпионской деятельности хакеров в более чем 21 стране. Данные с серверов указали исследователям на конкретное здание в Бейруте, в котором находится офис Главного управления общей безопасности Ливана.

Жертвами хакерской группировки, получившей название Dark Caracal, стали чиновники, военные, сотрудники коммунальных компаний, финансовых учреждений, промышленных компаний, а также оборонные подрядчики. Группировка действует по меньшей мере с 2012 года.

Dark Caracal полагается на проверенные методы, в основном используя легитимные на первый взгляд приложения, инфицированные вредоносным ПО, или поддельные страницы входа в Facebook и Twitter. Как выяснили исследователи, похищенные хакерами данные, включают в себя переписку, резервные копии файлов, снимки экрана компьютеров, фотографии, журналы вызовов и пр.

Группировка использовала как хорошо известные вредоносные программы для ОС Windows, так и специальное шпионское ПО FinFisher. Хакеры также разработали собственный вредонос для Android, получивший название Pallas.

Одной из особенностей Dark Caracal является использование чужой инфраструктуры для проведения операций. В частности, группировка использовала те же серверы и некоторые вредоносные программы, что и хакеры, предположительно связанные с правительством Казахстана.

«Есть кто-то, кто управляет этой инфраструктурой, и он сдает ее в аренду различным хакерским группировкам», - отметили эксперты.
Исследователи смогли точно определить фактическое местоположение хакеров благодаря данным тестовых устройств, которые хакеры использовали для проверки своих вредоносных программ и хакерских инструментов. Все данные находились на сервере хакеров, в том числе названия нескольких сетей Wi-Fi, находящихся в офисе Главного управления общей безопасности в Бейруте.

[satvitek]

Менее чем за 10 лет хакеры похитили порядка $1,2 млрд в криптовалютах

Хакеры скомпрометировали более 14% от общего количества биткойна и «эфира».

Менее чем за десять лет хакеры похитили порядка $1,2 млрд в криптовалютах биткойн и «эфир», сообщает информагентство Bloomberg со ссылкой на главу финтех-подразделения исследовательской компании Autonomous Research LLP Лекса Соколина (Lex Sokolin).

«Создается впечатление, что взлом криптовалют – это целая индустрия с годовым доходом в размере $200 млн», - отметил Соколин. По его словам, хакеры скомпрометировали более 14% от общего количества биткойна и «эфира».

Как заявила главный исполнительный директор компании WinterGreen Research Сьюзан Юстис (Susan Eustis), взломы, связанные с криптовалютами, такими как биткойн, стоили компаниям и правительствам порядка $11,3 млрд за счет потери потенциальных налоговых поступлений от продажи криптовалюты и незаконных транзакций. Данные потери могут возрасти, поскольку все больше инвесторов пытаются занять свое место на криптовалютном рынке, не думая о возможных опасностях и должном обеспечении защиты.

По словам экспертов в области криптовалют, многие пользователи ошибочно считают систему блокчейн безопасной, поскольку записи в ней являются общими, что затрудняет их изменение. Однако на самом деле они не безопаснее любого другого программного обеспечения. Во многом это обусловлено новизной технологии. В настоящее время существуют тысячи криптовалют, в каждой из которых имеются свои уязвимости. Таким образом, хотя взломать блокчейн может быть сложнее, чем базу данных розничного продавца, потенциальная прибыль злоумышленников также будет гораздо большей, пояснили специалисты.

Согласно докладу исследователей из Института инженеров электротехники и электроники (Institute of Electrical and Electronics Engineers), хакеры могут использовать одни и те же биткойны дважды, хотя в системе существует механизм по предотвращению подобных ситуаций. Осуществив так называемую «атаку баланса», хакеры могут задержать сетевые коммуникации между группами майнеров, чьи компьютеры проверяют транзакции в цепи.

«У нас нет доказательств того, что такие атаки уже были выполнены с биткойном. Однако мы считаем, что некоторые из важных характеристик биткойна делают эти атаки возможными и потенциально опасными», - отметили исследователи.

Атаки на криптовалютные биржи стали довольно распространенным явлением. Только в декабре 2017 года жертвами кибератак стали крупная гонконгская криптовалютная биржа Bitfinex и южнокорейская биржа Youbit. Последняя объявила о закрытии и начале процедуры банкротства, поскольку после нескольких взломов понесла значительные финансовые потери.

[satvitek]

Хакеры украли 8 млн рублей у почтамта в Башкортостане

Злоумышленник перевели средства на свои телефоны, после чего обналичили их с помощью электронных платежных систем.
Прокуратура Республики Башкортостан обвинила 34-летнего жителя Перми и 35-летнего жителя Казани в хищении 8 млн рублей у Туймазинского почтамта. Об этом сообщает пресс-служба ведомства по региону.

Согласно материалам дела, осенью 2015 года хакеры вместе с сообщниками разработали план по хищению крупной денежной суммы у почтамта г. Туймазы. Затем они взломали компьютер учреждения и перевели более 8 млн рублей на свои телефоны, после чего обналичили их с помощью электронных платежных систем.

Злоумышленники обвиняются в преступлении, предусмотренном ч. 4 ст. 159.6 УК РФ (мошенничество в сфере компьютерной информации, совершенное в особо крупном размере).

В настоящее время уголовное дело направлено в Туймазинский межрайонный суд для рассмотрения по существу. На денежные средства в сумме свыше 680 тыс. рублей, находящиеся на банковских счетах одного из обвиняемых, наложен арест.

Напомним, ранее в Ростове местного жителя приговорили к условному сроку в виде полутора лет лишения свободы за разработку вредоносного ПО, предназначенного для хищения средств и обхода паролей.

[satvitek]

Нидерландские спецслужбы с 2014 года шпионили за «русскими» хакерами

Агенты AIVD проникли в компьютерную сеть Cozy Bear и в период с 2014 по 2017 годы передавали полученную информацию АНБ и ФБР.

Сотрудники Общей службы разведки и безопасности Нидерландов (Algemene Inlichtingen-en Veiligheidsdienst, AIVD) с 2014 года шпионили за участниками российской хакерской группировки Cozy Bear (она же APT29), подозреваемой в атаке на серверы Демократической партии США во время предвыборной кампании в 2016 году, сообщает издание deVolkskrant со ссылкой на осведомленные источники.

Агенты AIVD проникли в компьютерную сеть Cozy Bear и в период с 2014 по 2017 годы передавали полученную информацию Агентству национальной безопасности (АНБ) и Федеральному бюро расследований (ФБР) США, утверждает издание.

Летом 2014 года сотрудники нидерландской разведки взломали компьютерную сеть университетского здания в Москве, где располагалась штаб-квартира Cozy Bear, а также получили доступ к web-камерам и с их помощью наблюдали за действиями группировки. Агенты смогли выяснить состав Cozy Bear, который постоянно варьируется, но, как правило, 10 человек всегда активны. AIVD идентифицировала их, сравнив фотографии с базой данных российских кибершпионов. Как сообщается, переданные ФБР данные стали одной из причин, по которой в США было инициировано расследование по поводу предполагаемого вмешательства РФ в президентскую гонку.

В ролике на канале deVolkskrant кратко описывается фишинговая схема, которая была использована для доступа к серверам Демпартии США

Как отмечают журналисты, хакеры AIVD больше не находятся в компьютерной сети Cozy Bear. Шпионаж со стороны нидерландской разведки длился на протяжении примерно 2,5 лет. В AIVD отказались комментировать выводы издания.

[satvitek]

Призовой фонд Pwn2Own в 2018 году составит $2 млн

Партнером хакерского соревнования в этом году выступила компания Microsoft.

Крупные поставщики программного обеспечения, такие как VMware и Microsoft, сделали свои вклады в призовой фонд хакерского соревнования Pwn2Own, которое состоится в марте 2018 года. В этом году призовой фонд составит порядка $2 млн. Данная сумма является самой высокой за всю историю конкурса, сообщает организатор соревнования компания Trend Micro.

В рамках соревнования впервые будет представлен этап Windows Insider Preview, в котором участники получат возможность взломать предварительные версии продуктов Windows, настроенных Microsoft и работающих на аппаратном обеспечении компании. Задача будет заключаться во взломе инсайдерской сборки Windows Vista RS4 (Redstone 4) и обходе передовых технологий безопасности от Microsoft.

В этом году исследователи смогут принять участие в нескольких этапах соревнования, разделенных на 5 отдельных категорий: виртуализация, корпоративные приложения, web-браузеры, серверы и Windows Insider Preview. В категорию виртуализации будет добавлен программный продукт Oracle VirtualBox.

Сумма вознаграждения в различных категориях варьируется в зависимости от цели и уровня сложности, например, участники, которые смогут успешно выполнить определенный тип атаки на клиент Microsoft Hyper-V получат до $150 тыс. в категории виртуализация. Успешный побег из песочницы Google Chrome даст возможность получить $60 тыс., а за эксплоит для уязвимости повышения привилегий в ядре Windows в браузере Edge можно будет получить $70 тыс. Вознаграждения за взлом серверов составляют порядка $100 тыс., в то время как за полный взлом системы Hyper-V в режиме гипервизора можно получить $250 тыс.

Pwn2Own – соревнование хакеров, которое ежегодно проводится в рамках конференции по информационной безопасности CanSecWest, начиная с 2007 года. Во время проведения конкурса участники ищут ранее неизвестные уязвимости в общедоступном и популярном ПО, а также на популярных мобильных устройствах. Победители конкурса получают те ***жеты, на которых они проводили эксплуатацию уязвимостей, а также денежный приз.

[satvitek]

Калужский хакер взломал более 40 сайтов

Преступления были выявлены в ходе проверки жесткого диска злоумышленника.

В Калуге завершено расследование уголовного дела в отношении 28-летнего хакера, в одиночку взломавшего более 40 различных online-ресурсов, сообщает пресс-служба Следственного комитета Российской Федерации по Калужской области.

Согласно материалам дела, осенью 2016 года злоумышленник взломал электронную почту сотрудника одного из калужских СМИ, после чего получил доступ к управлению сайтом издания и на сутки заблокировал работу ресурса. Помимо этого, хакер взломал учетные записи на более чем 40 различных web-сайтах путем подбора паролей, однако никаких изменений в работу ресурсов не вносил. Большинство администраторов сайтов даже не заметило взлома, преступления были выявлены в ходе проверки жесткого диска злоумышленника.

Калужанин обвиняется в совершении общественно опасных деяний, предусмотренных ч.1 ст.138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений), ч.1 ст.272 УК РФ (неправомерный доступ к компьютерной информации, 10 эпизодов), ч.1 ст.273 УК РФ (создание, использование и распространение вредоносных компьютерных программ, 40 эпизодов).
В ходе назначенной судом экспертизы психического здоровья хакера было установлено, что он страдает хроническим психическим расстройством, исключающим его уголовную ответственность. Злоумышленнику грозят принудительные меры медицинского характера.

[satvitek]

Киберполиция расследует изменение сотрудником НАБУ е-декларации полицейского

Департамент киберполиции Национальной полиции расследует изменение сотрудником Национального антикоррупционного бюро (НАБУ) электронной деклараций одного из сотрудников Нацполиции.

Об этом Українським Новинам сообщил источник в правоохранительных органах.

По его словам, производство было открыто 9 декабря 2017 года.

"Открыто по ч. 1 ст. 362 Уголовного кодекса", - сказал собеседник.

Согласно данной статье, несанкционированные изменение, уничтожение или блокирование информации, которая обрабатывается в компьютерах, автоматизированных системах или компьютерных сетях, совершенные лицом, которое имело право доступа к ней, наказывается штрафом от 600 до 1 000 необлагаемых минимумов доходов граждан (10,2 тыс. - 17 тыс. гривен) или исправительными работами на срок до 2 лет.

[satvitek]

Эксперты предупреждают о росте числа кибератак на медоборудование

Уязвимости в аппаратах для проведения КТ и МРТ могут представлять угрозу здоровью и жизни пациентов.

По словам исследователей безопасности, медицинское оборудование для проведения компьютерной томографии (КТ) и магнитно-резонансной томографии (МРТ) уязвимо к кибератакам. Специалисты предупреждают о необходимости обеспечения защиты не только ПК, но и другого подключенного электронного оборудования в медучреждениях еще с 2012 года. Теперь об угрозе кибератак на КТ и МРТ сообщают эксперты Университет имени Бен-Гуриона (Израиль). Согласно их новому отчету , защите медоборудования уделяется недостаточно внимания, а это недопустимо, поскольку уязвимые устройства могут представлять угрозу здоровью и жизни пациентов.

В отчете специалистов представлены результаты исследования уязвимостей в КТ и МРТ. Как правило, подобное оборудование подключено к внутренним сетям медучреждений, и злоумышленники могут получить к ним доступ через устаревшую прошивку. Хакеры могут атаковать устройство и заставить его показывать неверные данные, таким образом причинив вред здоровью пациента.

По словам исследователей, число атак будет расти по мере обнаружения новых уязвимостей в медицинском оборудовании. Уже известны случаи, когда больницы подвергались атакам вымогательского ПО. Тем не менее, шифровальщики – не единственный вектор атак на медучреждения, предупреждают эксперты. Среди прочего, злоумышленники могут фальсифицировать значения параметров для изменения уровней излучения, вмешиваться в работу оборудования, нарушать сигналы сканирования и вызывать отказ в обслуживании.

[satvitek]

Число целевых кибератак на промышленные предприятия возросло на 40%

Жертвами целевых кибератак в 2017 году стали 28% индустриальных предприятий по всему миру.

Эксперты по безопасности из «Лаборатории Касперского» опубликовали результаты исследования о кибератаках на промышленные предприятия. В опросе приняли участие 962 компании по всему миру. По словам специалистов, в 2017 году был зафиксирован стремительный рост количества целевых атак на промышленность.

Как следует из доклада, распространенность целевых атак на промышленные объекты в 2017 году выросла на 40%. Жертвами целевых кибератак стали 28% индустриальных предприятий по всему миру. В России данный показатель составляет 22%.

Несмотря на все большую заинтересованность злоумышленников в промышленном секторе, 48% опрошенных заявили, что их компании не обладают достаточными знаниями о киберугрозах. При этом 87% предприятий в 2017 году столкнулись по меньшей мере с одним киберинцидентом, однако у 34% компаний обнаружение атаки заняло несколько дней, а у 20% - несколько недель.

62% респондентов заявили о необходимости использования более сложного защитного ПО для противостояния киберугрозам. В то же время 49% компаний отметили несоблюдение их сотрудниками политики кибербезопасности.

«Кибератаки на промышленные системы управления становятся бесспорной угрозой номер один, так как имеют непосредственное влияние на непрерывность бизнеса и дорогостоящие основные активы производственной компании», - подчкеркнул директор по развитию бизнеса безопасности критической инфраструктуры «Лаборатории Касперского» Андрей Суворов.

Основная опасность целевых кибератак заключается в том, что они проработаны под конкретную организацию. Данный тип атак может привести к утечке конфиденциальных данных, нарушению функционирования производства и репутационному ущербу, отметил он.

Как сообщил газете «Ведомости» представитель предприятия «Северсталь», в 2017 году компания действительно сталкивалась с целевыми кибератаками, однако успешно их отразила. Представители «Норникеля» также подтвердили рост числа целевых атак. Как подчеркнул начальник управления защиты IT-инфраструктуры «Норникеля» Андрей Кульпин, причиной данного явления могут быть несколько факторов, в частности рост компетенции злоумышленников и переключение их внимания с финансового сектора на другие отрасли. Помимо этого, целевые кибератаки также могут быть проявлением недобросовестной конкурентной борьбы.

[satvitek]

В Киеве открыли Центр реагирования на киберугрозы

Секретарь Совета национальной безопасности и обороны Украины Александр Турчинов в пятницу утром открыл Центр реагирования на киберугрозы (Cyber Threat Response Centre, CRC).

«Сегодня мы открываем Центр реагирования на киберинцеденты. Это ядро киберзащиты нашей страны», — сказал Турчинов в ходе открытия Центра.

По его словам, Центр выявляет киберугрозу на ранних стадиях ее возникновения.

Центр реагирования на киберугрозы (Cyber Threat Response Centre, CRC) создан Госспецсвязью как ядро национальной системы киберзащиты Украины.

CRC — это техническая платформа взаимодействия основных субъектов обеспечения кибербезопасности (Госспецсвязи, СБУ, Нацполиции).

[satvitek]

Испания передала США арестованного российского программиста Левашова

Российский программист Петр Левашов, арестованный в Испании по запросу США, передан американской стороне. Об этом сообщает Национальная полиция Испании.

Уточняется, что россиянин передан Службе федеральных маршалов США.

Левашов был задержан и впоследствии арестован 7 апреля 2017 года. В США его обвиняют в создании глобального ботнета Kelihos. Обвинители уверены, что Левашов заразил десятки тысяч компьютеров, устанавливал на них вредоносное ПО и программы для вымогательства, а также похищал сетевые реквизиты.

[satvitek]

В составе ВСУ могут быть созданы кибервойска

Рассматривается вопрос о создании кибервойска в составах Вооруженных сил Украины, заявляет секретарь Совета национальной безопасности и обороны Украины Александр Турчинов.

«В Национальном центре кибербезопасности одним из вопросов был вопрос, который не так давно рассматривался — это запрос, по которому докладывал Генеральный штаб, — создание кибервойск в составе ВСУ», — сообщил Турчинов журналистам в ходе презентации Центра реагирования на киберугрозы в пятницу в Киеве.

Он отметил, что это серьезный вопрос, и в этом направлении работает и Служба внешней разведки, и военная разведка.

[satvitek]

Хакеры украли криптовалюту на полмиллиарда долларов

Специалисты Агентства финансовых услуг при министерстве финансов Японии в пятницу приступили к проведению обысков в главном офисе криптовалютной биржи Coincheck в токийском районе Сибуя. Причиной стала кража хакерами виртуальной валюты NEM на сумму 54 миллиарда иен (около 534 миллионов долларов), сообщает телеканал NHK.

Японские правоохранители собираются проверить отчетность компании, а также убедиться, что биржа способна выполнить свои обязательства перед клиентами, потерявшими средства, и выплатить им компенсации. По оценкам, от действий хакеров пострадали 260 тысяч человек.

В настоящее время торги криптовалютами на бирже остановлены. Сделки производятся только с биткоинами.

NEM была запущена в 2015 году и входит в десятку крупнейших криптовалют.

[satvitek]

Американские военные спутники могут взломать даже хакеры-любители

Представители Минобороны США признались в сильном отставании в области кибербезопасности в космическом пространстве по сравнению с РФ и КНР.

Американские военные чиновники выразили обеспокоенность уровнем кибербезопасности современных военных спутников США. По их словам, взломать спутники могут не только космические державы, такие как Россия и Китай, но и хакеры-любители.

По словам заместителя председателя Объединенного комитета начальников штабов ВВС Пола Селвы (Paul Selva), США сильно уступают России и Китаю в области кибербезопасности в космическом пространстве.

«Космос - настоящее открытое пространство. Если у вас есть достаточно любителей с телескопами, вы можете обнаружить все спутники на низкой орбите Земли. Если вы знаете, где находятся все эти любители, вы можете точно отобразить их GPS-координаты, и сопоставить со временем, когда они увидели интересующий вас объект. Таким образом получается готовая система обнаружения целей», - цитирует издание SpaceNews слова Селвы.

Как заявили представители Минобороны, РФ и КНР разрабатывают генераторы помех и перехватчики сигналов, позволяющие нарушить работу американских спутников. Сельва добавил, что и у России, и у Китая есть «утонченные радарные системы и утонченные системы космического обнаружения», которых более чем достаточно для обнаружения спутников.

[satvitek]

ИНТЕРЕСНОЕ ЗА НЕДЕЛЮ В МИРЕ КИБЕРБЕЗОПАСНОСТИ (29 января-02 февраля)

Россия предлагает США совместную борьбу с киберугрозами . Власти России направили США предложения по договоренности о предотвращении кибератак. Об этом рассказал Андрей Крутских, спецпредставитель президента РФ по международному сотрудничеству в области информационной безопасности.
ЦБ поможет банкам обмениваться информацией о счетах мошенников . Центральный банк Российской Федерации планирует создать для банков систему обмена информацией о киберугрозах. В информацию, которой будут обмениваться банки с помощью этой системы, будут включены данные о счетах, используемых мошенниками для обналичивания средств.
Сбербанк выпустил конструктор документации для бизнеса . Сбербанк запустил новый сервис, позволяющий в несколько кликов создавать юридически грамотные документы (договора, акты, исковые требования и др.) на базе встроенной интеллектуальной системы выбора условий документа и многовариативных шаблонов.
Банки могут отказывать в выдаче вклада наличными при подозрении в легализации средств . Коллегия Верховного суда (ВС) по гражданским спорам 30 января признала правоту Сбербанка, отказавшего клиенту-физлицу в выдаче вклада по окончании срока вклада, поскольку подозревал его в легализации доходов.
В Казани создан первый Центр мониторинга информационной безопасности . В Казани создали первый региональный Центр мониторинга информационной безопасности и реагирования на компьютерные инциденты, о чем сообщила компания «ICL Системные технологии».
Суд запретил сторонним компаниям использовать данные пользователей «ВКонтакте» . Представители соцсети потребовали запретить использовать данные ее пользователей, такие как фамилии, имена, места работы и учебы, в коммерческих целях.
В РФ могут ввести контроль устройств по IMEI . АКИТ предложила создать единую базу идентификаторов, состоящую из белого, серого и черного списков.
В обращение вводят фальшивые банкоматы . Стали известны риски, которые ЦБ не учел в своих рекомендациях по противодействию хищению средств с банковских карт во время ЧМ-2018. В условиях массового наплыва туристов существенно возрастает вероятность появления фальшивых банкоматов, сделанных из бывших в употреблении устройств.
58 % россиян поддержало идею создания независимого интернета . Всероссийский центр изучения общественного мнения (ВЦИОМ) предоставил данные, согласно которым больше половины граждан России поддерживают развитие интернета, считая его полезным для общества.
«Код безопасности» и «Лаборатория Касперского» стали партнерами . Компании бъявили о начале технологического сотрудничества. Партнерство повысит уровень защищенности инфраструктуры и данных заказчиков, а также усилит позиции обеих компаний в новых сегментах рынка информационной безопасности.

[satvitek]

Украинский хакер взломал актуальную версию PS4

Известный в хакерских кругах украинец Владимир Пихур, проживающий в американском городе Портленд, штат Орегон, сумел взломать консоль Sony PlayStation 4 с установленной прошивкой версий 5.00 и выше, что до этого не удавалось никому. Своими успехами Пихур поделился на конференции Recon Brussels. Как утверждает сам энтузиаст, для достижения своей цели он использовал давно обнаруженную им уязвимость в режиме покоя консоли. По его словам, он знал о ней более двух лет.

«Процессор Southbridge, который отвечает за распределение нагрузок, не помогает в защите PlayStation 4. Мы объяснили, как цепочка эксплойтов и аппаратных атак позволяет запускать код через безопасный лончер, извлекать приватные ключи и подписывать кастомные ядра», — говорится в презентации Владимира Пихура для Recon Brussels.

Пихур решил поделиться информацией с общественностью по двум причинам. Во-первых, его искренне удивляет то, что за два года Sony не предприняла никаких действий по устранению проблемы. Во-вторых, ему не нравится, что компания никак не вознаграждает умельцев за обнаружение таких брешей в защите. Связывался ли он с Sony и сообщал ли о наличии уязвимости — неизвестно. Представители компании пока никак не прокомментировали новость о возможности взлома PS4.

До этого, напомним, хакерам уже удавалось обойти защиту PlayStation 4 и запустить на ней пиратские игры, а также эмулировать множество тайтлов, разрабатывавшихся для PlayStation 2. Однако возможность опробовать нелицензионные игры была только у владельцев консолей с устаревшей версией ПО 4.05. Учитывая то, что прошивка PS4 обновляется автоматически, а откат до предыдущих сборок невозможен — «вкусить плоды» пиратства мог лишь ничтожно маленький процент геймеров.

[satvitek]

Спамера из России разоблачили с помощью iCloud

Полиции США удалось вычислить одного из самых опасных спамеров в мире Петра Левашова. Россиянина обвиняют в соучастии по разработке ботнета Kelihos, а также распространении вредоносного ПО.

Левашов вел и посредническую деятельность, открывая доступ к ресурсам ботнета другим хакерами и спамерам. За плечами россиянина несколько лет активной хакерской деятельности, но все же злоумышленник допустил одну существенную оплошность, засветив личный iCloud по IP.

Учетная запись была зарегистрирована на имя Петра Левашова, а IP-адрес совпал с одной из атак. В результате, полиции удалось вычислить местоположение хакера. В ходе обыска в Люксембурге были найдены два сервера, причастных к ботнету Kelihos, а также конфискована база учетных записей Mail.Ru.

В апреле 2017 года спамер выехал из России на отдых в Барселону, где и был задержан властями Испании по запросу США.

На днях Петр Левашов предстал перед федеральным судом штата Коннектикут. Apple от каких-либо комментариев решила воздержаться, отметив, что «не имеет права вмешиваться в расследование и дела правоохранительных органов».

[satvitek]

Хакеры атакуют Центр информации о правах человека, чтобы помешать работе в оккупированном Крыму

Центр информации о правах человека подвержен хакерским атакам: правозащитники получают зараженные вирусами письма, фишинговые сообщения, аккаунты сотрудников подвержены атакам.

Как передает Цензор.НЕТ со ссылкой на Крым.Реалии, об этом рассказала председатель правления украинского Центра информации о правах человека Татьяна Печончик, это может быть связано с работой правозащитников в Крыму.

"Это делается для того, чтобы получить внутренние данные организации. К примеру, наша организация от начала оккупации Крыма работает там и, конечно, какое-либо раскрытие информации про наших активистов очень небезопасно. Это может использоваться для получения информации про особенность работы организации в конфликтных зонах, какие-либо данные организации, могут быть опубликованы в интернете с целью дискредитации", – указала председатель правления Центра.

Печончик настаивает на том, что цифровая гигиена "должна быть доведена до автоматизма", это поможет уберечься от утечки информации и нежелательных атак.

Центр информации о правах человека – общественная организация, целью деятельности которой является популяризация прав человека, верховенства права и идей гражданского общества в Украине. Зарегистрирована Министерством юстиции Украины 15 августа 2012 года.