Новости о хакерских взломах и атаках

[студент]

Доставка со взломом

Пользователь по имени Мэтт Метцгер, представившийся инженером по информационной безопасности, опубликовал на ресурсе Hackernoon документы, свидетельствующие о том, что покупать продукцию Samsung с доставкой в онлайн-магазине компании может быть небезопасно. Сам Метцер приобрел телевизор Samsung и оформил его доставку к себе домой в Нью-Йорке. Спустя некоторое время он получил ссылку для отслеживания процесса доставки своего заказа. Однако, пройдя по ней, покупатель обнаружил данные сразу двух заказов, один из которых не имел к нему никакого отношения. Удивленный Метцгер связался с Samsung и выяснил, что компания периодически повторно использует номера заказов вместо того, чтобы каждый раз создавать новый уникальный номер. Уже само по себе это создает угрозу конфиденциальности данных покупателей. Более того, к номерам заказов, оказавшимся в руках Метцгера, были приложены файлы в формате TIFF с детальной информацией заказчика, включая его имя, адрес доставки и даже подпись. Легко понять, что такие данные окажутся настоящей находкой для киберпреступников.

По словам Мэтта Метцгера, не составляет особого труда создать программу-бот, которая будет постоянно вводить на сайте произвольные семизначные номера, с высокой степенью вероятности получая все новые данные о заказах покупателей Samsung. Исследователи уже проверили эту до***ку, вводя произвольные номера заказов вручную – и достаточно быстро получили доступ к информации о более чем 40 заказах. Метцгер заявил, что компания масштаба Samsung должна более внимательно относиться к персональным данным своих клиентов. Представители Samsung признали проблему и сообщили, что работают над ее устранением, однако ответственность возложили на компанию Associated Global Systems, которая осуществляет доставку. Представители последней пока никак не прокомментировали инцидент.

[студент]

Обвиненный во взломе Yahoo россиянин оказался сотрудником «Ренессанс Капитала»

Сотрудник ФСБ Игорь Сущин, которого в США обвиняют во взломе аккаунтов Yahoo, работал в структурах инвестиционного банка «Ренессанс Капитал», принадлежащего миллиардеру Михаилу Прохорову. Об этом изданию «Коммерсантъ» рассказал источник на рынке информационной безопасности.

По его словам, Сущин занимал в одной из структур должность руководителя управления безопасности и в период с 2015 по 2016 год взламывал почтовые ящики высокопоставленных сотрудников инвестбанка. В пресс-службе «Ренессанс Капитала» подтвердили, что мужчина действительно работал в «Ренессанс Брокере», но 16 марта трудовой договор с ним был разорван.

В пресс-службе отметили, что ничего не знают «о каких-либо обвинениях в уголовных правонарушениях в связи с трудовой деятельностью Игоря Сущина» в компании. «Мы не получали никаких запросов от каких-либо компетентных органов в отношении предполагаемого случая, узнав о последнем из сообщений СМИ. ООО “Ренессанс Брокер” готово сотрудничать с любым расследованием в порядке, установленном применимым законодательством», — сказал представитель «Ренессанс Капитала». На вопрос о том, знали ли в инвестбанке, что Сущин является сотрудником ФСБ, он не ответил.

Скрытый текст

Как пишет «Коммерсантъ», в обвинительном заключении, опубликованном американским Минюстом, говорится, что Сущин был внедрен в инвестбанк в качестве «прикомандированного сотрудника». В апреле 2015-го он якобы поручил Дмитрию Докучаеву (сотрудник ФСБ, также обвиняемый во взломе Yahoo) получить доступ к аккаунтам Yahoo и Google одного из членов совета директоров финансовой организации, его супруги, секретаря и одного из высокопоставленных сотрудников. Сделать это удалось, в частности, благодаря фишинговым письмам, имитировавшим послания от Федеральной налоговой службы России.

В то же время источник газеты в структурах ОНЭКСИМа (также принадлежит Прохорову) усомнился, в том, что Сущин, несмотря на занимаемую им должность, имел прямой доступ к клиентским счетам.

15 марта Минюст США выдвинул обвинения в отношении четырех граждан России по подозрению во взломе аккаунтов Yahoo. Речь идет о разыскиваемых ФБР хакерах Алексее Белане и Кариме Баратове, а также сотрудниках ФСБ Докучаеве и Сущине. По данным ФБР, Баратова, который имеет канадский паспорт, уже арестовали в Торонто. Докучаев же с декабря 2016-го находится в СИЗО в Москве по обвинению в государственной измене. Где находятся Сущин и Белан, пока не известно.

16 марта пресс-секретарь президента России Дмитрий Песков заявил, что Москва не получала от Вашингтона официальной информации от властей США по делу о взломе аккаунтов Yahoo.

«Ренессанс Капитал» — инвестиционный банк, принадлежащий группе ОНЭКСИМ Михаила Прохорова. Бизнесмен также занимался проектом «Ё-мобилей», был основателем партии «Гражданская платформа» и руководил партией «Правое дело». В начале 2015-го он заявил, что оставляет политическую деятельность.

[свернуть]

[студент]

Хакеры взломали ОС Microsoft и Apple на глазах у сотен зрителей

В рамках ежегодного соревнования хакеров Pwn2Own 2017 в канадском Ванкувере команды исследователей в области информационной безопасности на глазах у сотен зрителей взломали операционные системы Microsoft Windows и Apple MacOS. Об этом сообщает TechWorm.

В первый день испытаний команда Qihoo360 взломала MacOS, найдя брешь в ядре и получив доступ к конфиденциальной информации. За это специалисты получили 10 тысяч долларов из общего призового фонда в миллион долларов. Такая же сумма досталась команде Chaitin Security Research Lab, которая смогла взломать MacOS с помощью другой уязвимости.

Операционную систему Windows взломали специалисты из команд 360 Security и Team Sniper. Каждая из них заработала по 15 тысяч долларов.

За вознаграждение в 55 тысяч долларов исследователи из Team Sniper и Sword Team также взломали браузер Microsoft Edge, а команда Chaitin Security нашла уязвимость в Mozilla Firefox. 360 Security досталось 35 тысяч долларов за взлом Safari.

Pwn2Own — ежегодный турнир для хакеров, с 2007 года проходящий в рамках конференции по информационной безопасности CanSecWest. Участники должны за ограниченное время взломать определенное устройство или программу, после чего в обмен на денежное вознаграждение предоставить найденную уязвимость производителю.

[студент]

Хакеры пригрозили стереть данные миллионов устройств Apple


Хакеры потребовали от компании Apple выкуп в размере 75 тысяч долларов, в противном случае они грозятся стереть данные 300 миллионов аккаунтов по всему миру. Об этом сообщает Motherboard.

Группировка называет себя Turkish Crime Family и утверждает, что может обнулить миллионы iPhone и iPad, если до 7 апреля не получит желаемую сумму. Хакеры требуют 75 тысяч долларов в биткоинах, или виртуальной валюте Ethereum, или 100 тысяч долларов подарочными картами iTunes. Взамен они обязуются удалить все данные, которые позволяют им получить доступ к аккаунтам пользователей.

Motherboard утверждает, что на YouTube опубликовано видео, в котором Turkish Crime Family демонстрируют содержимое одного из взломанных аккаунтов.

В качестве доказательств хакеры отправили журналистам несколько скриншотов с перепиской сотрудника из отдела безопасности Apple. Судя по ним, работник просил их удалить ролик с YouTube и отметил, что компания не выплачивает деньги преступникам. Кроме того, злоумышленники передали изданию данные для входа в аккаунт электронной почты, которая использовалась для связи с Apple.

При этом издание подчеркивает, что взломщики ведут себя непоследовательно и называют цифру в 300 или 559 миллионов взломанных аккаунтов.

Apple пока не комментирует ситуацию.

[студент]

Ботнет Necurs оживился и сменил фокус

Специалисты Cisco Talos отметили повышение активности ботнета Necurs в двадцатых числах марта и новый тип спама, распространяемого ботнетом в больших объемах.

Necurs признан самым масштабным ботнетом в мире. В прошлом году он в основном использовался для распространения Locky и Dridex, но в начале 2017 года эксперты заметили снижение его активности; ботнет совершенно исчез с горизонта и забрал с собой добрую часть спама с Locky. Однако ботнет оживился в конце марта и начал распространять огромные объемы спама в рамках мошеннических кампаний pump-and-dump. Скорее всего, так владельцы ботнета пытаются выжать из него максимальную экономическую выгоду.

Мошенническая схема pump-and-dump («накачка и сброс») основана на искусственном вздувании цен на мелкие акции, продаваемые на свободном рынке. Аферисты скупают или берут на реализацию эти ценные бумаги, играют на повышение с помощью рекламных спам-рассылок и имитации торгов, а затем, до неизбежного дефолта, сбрасывают подорожавшие акции, кладя разницу себе в карман. В таких махинациях нередко участвуют наемники: ботоводы и спамеры, хакеры, взламывающие брокерские аккаунты для имитации купли-продажи ценных бумаг, и специалисты по фондовому рынку. Последние помогают мошенникам регистрировать подставные компании, добывать «свидетельства» надежности акций и обходить биржевые ограничения.

20 марта 2017 года в Cisco Talos стали наблюдать за новой волной спама; сообщения не содержали поддельных счетов или подтверждений доставки товара, как это обычно бывало при распространении вредоносного спама с Locky и Dridex. Письма не содержали вредоносных ссылок или вложений и представляли собой сводку биржевых новостей, в которой утверждалось, что акции под тикером INCT, принадлежащие компании InCapta Inc., будут расти в цене.

Письма сообщали о том, что акции компании InCapta Inc. (INCT) будут приобретены по щедрой цене 1,37 долларов за акцию известным производителем дронов DJI, о чем якобы говорили инсайдеры. В сообщении говорилось о том, что продукция InCapta «перевернула отрасль беспилотных летательных аппаратов». «Инсайдеры» рекомендовали покупать акции до предполагаемой новости о поглощении, назначенном на 28 марта, до того как цена вырастет до 20 центов за акцию, так как DJI готова заплатить за акции «многообещающего» разработчика более чем на 1000% больше их текущей стоимости.

Подобный спам разлетелся в огромном количестве: только за 20 марта были разосланы десятки тысяч сообщений, большая часть из них — всего за несколько часов. Телеметрические данные показали, что Necurs вышел из спячки.

Компания InCapta Inc. оказалась разработчиком приложений, и количество выкупаемых акций на время спам-кампании перевалило за миллион в течение нескольких часов, а к концу дня составило более 4,5 млн — это в несколько раз больше, чем обычно.

После окончания этой кампании в Cisco Talos заметили второй всплеск активности и приход более масштабной волны спама. Сообщения второй волны несколько отличались от первоначальных: в них использовалась другая тема письма и имелись некоторые отличия в теле письма. Любопытно, но цена акций InCapta снова выросла.

Necurs не впервые участвует в рассылке спам-сообщений, используемых в схеме pump-and-dump. Последняя кампания была зафиксирована незадолго до ареста владельцев ботнета, после чего Necurs ушел в тень. Однако этот ботнет прекрасно иллюстрирует, как под влиянием обстоятельств владельцы меняют методологии и тактики с целью монетизации имеющихся ресурсов.

[студент]

Хакеры устроили массовую рассылку зараженных вирусами документов Word

Компания Fortinet, работающая в сфере информационной безопасности, сообщила об обнаружении новой массовой рассылки вирусов по электронной почте. В приложенных к письмам документах Microsoft Word содержатся зараженные макросы.

Получатель такого письма, распространенного во всех сегментах глобальной сети, увидит в приложении файл с расширением .DOC, в котором будет содержаться лишь предупреждение об изменениях настроек макросов. Больше пользователь не увидит ничего: зараженные макросы в фоновом режиме запустят небольшой скрипт, написанный на Python, который определит тип операционной системы компьютера.

Отличив Windows от Mac, скрипт проведет незаметную для пользователя загрузку подходящего под установленную ОС файла, в котором будет содержаться вредоносная программа. Специалисты Fortinet пока не смогли определить, какие действия выполняет скачиваемая утилита, поскольку на момент проверки управляющий сервер, контролирующий работу всех ее копий, находился в отключенном состоянии.

Сотрудники Fortinet рекомендуют всем пользователям при получении письма с сомнительным текстовым документом Word в приложении незамедлительно удалить его и не запускать сам файл. Скачиваемое приложение может оказаться вирусом-шифровальщиком, который зашифрует все важные файлы и потребует энную сумму денег в обмен на ключ разблокировки. Помимо этого, программа может украсть персональные данные – пароли к интернет-банкам и социальным сетям, адреса элекронной почты и пароли к ним и многое другое.

Напомним, что ранее корпорация Micosoft закрыла более 100 критических уязвимостей в своих программных продуктах, которыми могли воспользоваться (и пользовались) злоумышленники. Апдейты были выпущены для MS Office, Windows различных версий, а также для браузера Edge и ряда других фирменных утилит.

[студент]

Выходец из России признался в создании трояна, укравшего $500 млн

Хакер Марк Вартанян признался в американском суде в создании знаменитого банковского трояна Citadel, с помощью которого был нанесен ущерб в $500 млн.

Операция «Цитадель»

Создатель печально известного троянца Citadel Марк Вартанян (Mark Vartanyan), выданный в 2016 г. из Норвегии в США, признал себя виновным в инкриминируемых ему преступлениях. По мнению следователей, с помощью Citadel Вартанян и другие злоумышленники похитили не менее $500 млн с разных банковских счетов.

Зловред Citadel появился в 2011 г. Это был троян семейства ZeuS, который воровал с компьютеров под управлением ОС Windows реквизиты доступа к банковским счетам.

Помимо этого Citadel сформировал колоссальный ботнет, на пике достигавший 11 млн зараженных машин.

Характерной особенностью трояна Citadel была его способность компрометировать различные менеджеры паролей - программы, используемые для хранения большого числа паролей к различным сервисам. Пользователю обычно необходимо придумать и запомнить один «мастер-пароль» для доступа к менеджеру паролей, а не десятки. В то время как это весьма удобно пользователю, ниоткуда не следует, что мастер-пароль невозможно перехватить с помощью кейлоггера. Именно этим Citadel и занимался.

Скрытый текст

В обмен на сокращение срока заключения создателю трояна Citadel
Марку Вартаняну придется «работать под прикрытием»

Помимо функций кражи данных и шпионажа, некоторые варианты Citadel могли работать в качестве шифровальщика-вымогателя.

Стоит отметить, что Citadel был одной из первых вредоносных программ, продававшейся сторонним клиентам по модели Malware-as-a-Service. Его исходный код активно продавали на подпольных русскоязычных форумах.

Основной разработчик

Гражданин России Марк Вартанян, известный также под псевдонимом Kolypto, был задержан в Норвегии в 2016 году. Там он проживал как минимум с 2014 г. В обвинительном заключении указывается, что в 2012-2013 гг. он проживал на Украине, затем перебрался в Норвегию. Все это время он продолжал активно заниматься разработкой, поддержкой и распространением Citadel.

Обвинения ему предъявлены по двум периодам - между 21 августа 2012 года и девятым января 2013 года, а затем между 9 апреля и 2 июня 2014 года: в эти временные промежутки, как утверждает обвинение, Вартанян загрузил в Сеть многочисленные файлы с компонентами, обновлениями и патчами Citadel, а также технические инструкции для пользователей.

За все его действия Вартаняну грозил срок до 25 лет. По условиям сделки со следствием, Вартанян признал себя виновным в обмен на сокращение максимального срока до 10 лет и на штраф до $250 тыс. При этом обвинение пообещало не требовать срока, превышающего 60 месяцев (то есть пяти лет).

Интересно, что в соглашении отдельно оговаривается возможность привлечения подсудимого к работе «под прикрытием».

«У властей США свои собственные планы на программистов, пишущих успешный вредоносный софт, - говорит генеральный директор компании «Монитор безопасности» Дмитрий Гвоздев, - так что высока вероятность, что свой долг обществу автор Citadel будет отдавать не в тюрьме, а в каком-нибудь секретном учреждении, занимаясь созданием нового кибероружия или оборонительных средств. С другой стороны, вряд ли готовящуюся «работу под прикрытием» стали бы анонсировать столь открыто».

[свернуть]

[satvitek]

В Лондоне арестован участник хакерской группы, угрожающей удалить 300 млн аккаунтов пользователей iPhone и iPad

Национальное агентство по борьбе с преступностью Великобритании (NCA) арестовало жителя Лондона по подозрению в осуществлении кибератак и вымогательстве. По данным издания Motherboard, речь идет об участнике хакерской группировки Turkish Crime Family, шантажировавшей Apple.

По данным NCA, 20-летний житель Великобритании задержан с целью проведения допроса. Согласно предполагаемому ордеру, арест связан с расследованием дела о шантаже компании Apple группировкой Turkish Crime Family.

На прошлой неделе, напомним, группа хакеров заявила, что располагает доступом к более чем 300 млн аккаунтов Apple. Это и учётные записи iCloud, и электронная почта доменов @icloud и @me.

Взломщики заявили, что они планируют совершить атаку 7 апреля, если Apple не заплатит выкуп. Они потребовали у корпорации $100 000 для каждого из семи членов организации или подарочные карты iTunes номиналом $1 млн для немедленной перепродажи в размере 60% от оригинальной стоимости.

В Купертино заявили, что серверы и базы данных компании не были взломаны, и предположили утечку данных у сторонних сервисов, таких как LinkedIn. Издание ZDNet получило от одного из участников хакерской группировки массив данных доступа к 54 аккаунтам iCloud. Все они оказались рабочими: журналистам удалось связаться с 10 владельцами, предупредить их об опасности и попросить поменять пароль.

Представители группировки подтвердили журналистам, что парень, о котором едет речь, не выходил с ними на связь с 28 марта. «Его теперь обвиняют в создании и управлении всей группой. Его друг был у него дома во время ареста, снял практически все на камеру и прислал нам», – сообщили участники группировки.

Turkish Crime Family прислала журналистам ссылку на видео предположительного обыска и фотографии ордера. NCA не подтвердила, является ли арестованный тем же человеком, чье имя указано в ордере.

[satvitek]

Хакеры используют уязвимость в Safari для вымогательства денег у любителей «клубнички»

Исследователи Lookout обнаружили уязвимость в браузере Safari для iOS, эксплуатируемую хакерами с целью вымогательства денег у посетителей сайтов «для взрослых». Проблема связана с тем, как Safari отображает всплывающие окна на JavaScript. Злоумышленники встроили во множество сайтов эксплоит, заставляющий Safari отображать бесконечное число всплывающих окон, что делает невозможным дальнейшее использование браузера.

Для того чтобы избавиться от навязчивых вплывающих баннеров и снова получить возможность пользоваться браузером, пользователь должен заплатить злоумышленникам. По словам мошенников, выкуп якобы является единственным эффективным способом очистить Safari от рекламы. В качестве выкупа хакеры требуют подарочные карты iTunes (жертва должна прислать им код карты в текстовом сообщении).

Несмотря на заявления мошенников, избавиться от рекламы очень просто – достаточно зайти в настройки и очистить кэш браузера. Однако данный способ известен не всем пользователям, а обращаться за помощью стыдно, так как Safari «зависает» на открытым порно-сайте с рекламой.

По словам исследователей, эксплоит был разработан для более ранних версий iOS, включая вышедшую в 2014 году iOS 8. Данный тип атак ранее был описан на одном из русских сайтов, сообщают эксперты. Уязвимость присутствует в Safari для iOS до версии 10.3 и была исправлена Apple в понедельник, 27 марта.

[satvitek]

Эстонские власти заподозрили «русских» хакеров в кибершпионаже

Государственный департамент инфосистем Эстонии опубликовал обзор по кибербезопасности за 2016 год, в котором сообщил, что крупнейшее предприятие страны по переработке сланца Viru Keemia Grupp (VKG) стало жертвой кампании по кибершпионажу, предположительно, со стороны России. Об этом сообщает издание Geenius.

По информации ресурса, в 2016 году в компьютерных сетях VKG была замечена подозрительная активность. В ходе проверки специалисты обнаружили вредоносное ПО Mimikatz, способное извлекать незашифрованные пароли из оперативной памяти компьютеров. Также был выявлен ряд скрытых программ, использовавшихся для связи с управляющим сервером злоумышленников.

Анализ сетевого трафика и обнаруженные образцы вредоносного ПО позволяют предположить, что речь идет о целенаправленной атаке, указывается в докладе ведомства. Предположительно, организатором атаки является группировка APT28, также известная как Fancy Bear, которую подозревают в связях с Главным разведывательным управлением Генерального штаба Вооруженных сил РФ.

По словам председателя правления VKG Ахти Асманна (Ahti Asmann), атака никак не повлияла на повседневную работу предприятия. «Вопрос просто в масштабах риска и его возможной реализации. Но это должен комментировать Департамент инфосистем», - отметил Асманн.

[satvitek]

Американский ритейлер заплатит покупателям за свои дыры в киберзащите


Утечка данных о платежных картах покупателей американской сети Neiman Marcus стала поводом для коллективного иска. После длительных разбирательств, затянувшихся на несколько лет, ритейлера обязали выплатить $1,6 млн и продолжить проводить мероприятия по защите системы от взлома. Беспрецедентное решение должно насторожить других продавцов, чьи системы не имеют достаточной защиты.

Расплата за невнимательность

Экономия на системах электронной безопасности может привести к существенным финансовым и репутационным потерям. Американский ритейлер Neiman Marcus вынужден заплатить $1,6 млн за то, что не принял должных мер по защите от взлома и несвоевременно информировал покупателей об утечке данных о платежных картах.

Утечка предположительно 350 тыс. данных клиентов Neiman Marcus произошла еще в 2013 г., и только 17 марта 2017 г. было принято окончательное решение относительно компенсации пострадавшим.

Недостаточно надежная система защиты данных и несвоевременное информирование клиентов стали поводом для коллективного иска. По итогам разбирательств суд постановил, что Neiman Marcus обязан выплатить $1,6 млн, а также продолжить проводить мероприятия по укреплению киберзащиты. Ритейлер уже установили новые, более безопасные считыватели на кассе, которые усложняют кражу данных, и обеспечил систему защиты от вредоносного программного обеспечения. Кибератака на электронную систему в кассах сети магазинов Neiman Marcus стала причиной того, что данные кредитных и дебетовых карт около 350 тыс. клиентов ритейлера стали доступны злоумышленникам. Атаке подверглись покупатели сети Neiman Marcus, которые совершали покупки с 16 июля 2013 г. по 10 января 2014 г. Хуже всего то, что нарушение не было выявлено сразу, а лишь через несколько месяцев. И даже после того, как оно было обнаружено, ритейлер не сразу сообщил клиентам об утечке конфиденциальных данных.

Кто еще получит иск?

Отметим, что ранее было сложно обвинить торговую сеть в недостаточной защите данных покупателей, так как невозможно было доказать действительный ущерб от такой утечки для каждого конкретного клиента. Например, иск против интернет-ритейлера eBay был отклонен, так как истцам не удалось доказать, что в результате кибератаки на сайт в 2014 г. им был нанесен ущерб или они пострадали от действий мошенников.

Таким образом, дело против Neiman Marcus – это прецедент, который показывает, что продавец все-таки может быть наказан за недостаточное внимание к защите данных своих клиентов. В 2014 г. было установлено, что реальными жертвами утечки информации из сети Neiman Marcus стали 9200 человек, и всем им были возмещены убытки. Пример Neiman Marcus показывает, что ритейлеры должны заранее беспокоиться об установке надежных систем защиты. Это позволит минимизировать вероятность проигрыша в подобных судебных разбирательствах.

Почему нельзя экономить на кибербезопасности: мнение эксперта

Как рассказал CNews системный инженер компании Fortinet Дмитрий Купецкий, выигранный иск со стороны потребителей является положительным прецедентом. «Бизнес ритейлера понес финансовый и репутационный ущерб от действий кибермошенников и был вынужден выплатить ущерб. Таким образом, становится очевидной необходимость расширения киберзащиты и построения защищенной инфраструктуры, — отметил Дмитрий Купецкий. — Это обеспечит сохранность инвестиций. Прецедент с Neiman Marcus обратит внимание руководства компаний на проблему стратегического планирования при выстраивании инфраструктуры. Если она развивается бессистемно — это может привести к крупным финансовым потерям».

Таким образом, по мнению эксперта, иск к Neiman Marcus является сигналом, который привлечет внимание к проблемам информационной безопасности. Если раньше это считалось чисто техническим вопросом, то теперь — это вопрос финансовой стабильности бизнеса.

Как показывает пример Neiman Marcus, попытки хищения данных — это постоянная проблема. Крупные атаки происходят каждый год, в частности, в январе 2016 г. злоумышленники попытались получить доступ к аккаунтам пользователей, используя логины и пароли, украденные на сайтах партнеров бренда.

Специалисты Neiman Marcus обнаружили несанкционированные покупки через 70 учетных записей. Тем не менее, по заявлению компании, благодаря усовершенствованной киберзащите, удается блокировать 99% кибератак.

[satvitek]

Похитить данные с физически изолированного ПК поможет сканер

Киберпреступникам удалось инфицировать вредоносным ПО компьютер в отделе дизайна компании Contoso (принадлежит Microsoft) с помощью целенаправленного фишинга. Тем не менее, возникла проблема – как отправлять вредоносу команды, если «продвинутые» защитные механизмы Contoso сразу же обнаружат их?

Для обхода обнаружения хакерам нужно отправлять данные по каналу, незащищенному системой безопасности Hyper IronGuard WallShield 2300 с военным уровнем защиты. Преступники рассмотрели несколько способов передачи команд, однако все они оказались неподходящими. Тут один из хакеров вспомнил отчет об исследовании израильских ученых из Университета имени Давида Бен-Гуриона и Института Вейцмана под названием «Oops!...I think I scanned a malware» «Упс! Кажется, я просканировал вредоносную программу»).

Поначалу хакеры скептически отнеслись к предложенному способу, однако потом решили остановиться на нем. В частности потому, что метод предполагает использование дронов. Опубликованное учеными исследование описывает настройки скрытого канала связи между взломанным компьютером в офисе компании и подключенным к той же сети сканером, находящимся рядом с окном.

Способ заключается в направлении внешнего луча света (например, лазера или инфракрасного луча) через окно на сканер. Луч модифицирует выходные данные сканера, заставляя устройство выпускать цифровой файл с необходимой злоумышленникам последовательностью команд. Для этого источник света должен быть подключен к микроконтроллеру, конвертирующему команды в виде двоичного кода в световые вспышки, улавливаемые датчиками сканера.

«Поскольку процесс сканирования осуществляется за счет отражения света, манипуляции с отраженным светом способны повлиять на электрический заряд, который в свою очередь будет интерпретирован в другое двоичное представление сканируемого материала», - пояснили исследователи.

Ученые использовали дрон, пролетающий возле окна офиса, когда установленное на компьютере вредоносное ПО получало команду сканировать. Со скоростью передачи данных 1 бит за 50 миллисекунд исследователи передали команду «d x.pdf» на удаление тестового PDF-файла. Для передачи последовательности команд с помощью прикрепленного к беспилотнику лазера потребовалось 3,2 секунды.

Киберпреступники потратили несколько дней на подготовку своего плана. Тем не менее, на финальной стадии подготовки выяснилось, что для успешного проведения атаки сканер должен быть хотя бы немного приоткрытым.

[студент]

Арестован один из хакеров, угрожающих Apple

Правоохранительные органы Великобритании арестовали в Лондоне молодого человека, предположительно являющегося членом киберпреступной группировки Turkish Crime Family. Официально его принадлежность к этой хакерской группе пока не подтверждена, однако сами члены Turkish Crime Family заявили, что один из их товарищей не выходит на связь с 28 марта – то есть с того дня, когда и состоялся арест.

Ранее сообщалось, что хакеры Turkish Crime Family объявили о взломе сервиса iCloud корпорации Apple и получении доступа к аккаунтам около 300 миллионов пользователей. Киберпреступники требуют от Apple выкуп в сумме 75 тысяч долларов, угрожая стереть все данные затронутых взломом пользователей, если требования не будут выполнены до 7 апреля. Корпорация Apple отказалась от сотрудничества с шантажистами и категорически отвергла факт взлома какого-либо из своих сервисов.

По словам представителей Apple, если хакеры и получили доступ к учетным записям, то это произошло исключительно в результате одной из масштабных утечек, допущенных в последнее время третьими сторонами. К этой же версии склоняются и эксперты по кибербезопасности. Впрочем, если хакеры все же осуществят свою угрозу, то пользователей вряд ли утешит тот факт, что их данные были украдены не у Apple, а у какой-то другой компании.

[студент]

«Информационное агентство» террористов взломано хакерами

Хакеры осуществили успешную атаку на новостной сайт Amaq, который считается «информационным агентством» так называемого «Исламского государства» (террористическая организация, запрещенная в РФ). Представители ИГ никогда не подтверждали полномочий Amaq, однако контент сайта – пропаганда деятельности «Исламского государства» – позволяет считать такой статус верным. В минувшую среду администраторы Amaq известили пользователей о том, что сайт взломан и под видом программы-установщика новой версии Flash распространяет вредоносное ПО.

Проведенный экспертами по кибербезопасности анализ установил, что сайт распространял файл, который известен под именем FlashPlayer_x86.exe и определяется большинством защитных программ как вредоносный. Он представляет собой программу для несанкционированной загрузки других зловредов и в данной атаке использовался для распространения троянца Bladabindi (другое наименование – NJRat). Это вредоносное ПО обладает широким спектром возможностей, включая предоставление удаленного доступа к инфицированному устройству, похищение информации, клавиатурный шпионаж и запись фото и видео с вебкамеры устройства.

Эксперты не склонны считать атаку на Amaq контртеррористической акцией. Они указывают, что зловред Bladabindi чрезвычайно популярен у киберпреступников в странах Арабского Востока. А потому новостной сайт террористов скорее мог стать случайной жертвой более масштабной хакерской операции.

[студент]

Британия тренирует юных киберзащитниц

Национальный центр кибербезопасности Великобритании выступил инициатором и организатором первого общенационального конкурса CyberFirst Girls, финал которого завершился в Лондоне. Сегодня бизнес и государственные структуры испытывают острую нехватку квалифицированных специалистов в области сетевой и информационной безопасности, а доля женщин, занятых в этой сфере, составляет лишь 7%. Задача конкурса состояла в том, чтобы попытаться изменить эту ситуацию.

В CyberFirst Girls приняли участие более 8 тысяч девушек в возрасте 13-15 лет со всей страны. В финал вышли 37 участниц, представлявшие 10 различных школ. В финале на протяжении дня им предстояло расследовать взлом сайта вымышленной школы, попытаться выйти на след хакеров и установить их личности. Заслуживает уважения размах, с которым подошли к делу организаторы. «Штабом» расследования стал знаменитый особняк Ланкастер Хаус, который принадлежит правительству Британии и используется для приемов на высшем уровне, а в жюри вошли женщины-топ-менеджеры ведущих технологических компаний, включая Microsoft, Symantec и TalkTalk.

Победу в итоге одержала команда государственной средней школы для девочек из Ланкастера. Ее участницы получили ценные призы, а также комплект IT-оборудования для своей школы на сумму 1000 фунтов стерлингов. Организация подобных мероприятий является частью Национальной стратегии кибербезопасности, утвержденной правительством в ноябре 2016 года. В течение 5 лет на реализацию это стратегии Британия планирует выделить 1,9 миллиарда фунтов.

[студент]

«Взрослые игрушки» требуют взрослого подхода к кибербезопасности

Компания Pen Test Partners сообщила об обнаружении опасной уязвимости очередного устройства из обширной семьи «интернета вещей». На сей раз таким устройством стал вибратор Siime Eye, выпускаемый фирмой Svakom. Производители, вероятно, решили идти в ногу со временем, а потому снабдили секс-игрушку встроенной видеокамерой и доступом в интернет для беспроводной передачи снимков и видео на компьютеры и мобильные устройства владельцев. Логично предположить, что покупатели этого чуда техники стоимостью в 249 долларов рассчитывают на то, что фото и видео, снятые с его помощью, кто-то увидит. Однако они вряд ли ставят целью сделать трансляции доступными всем желающим. Между тем целый букет уязвимостей в Siime Eye подразумевает именно такую возможность.

Вибратор настроен не как клиентское устройство, а как точка доступа Wi-FI, что делает пользователей более уязвимыми, позволяя хакерам, в частности, точно определить их геопозицию. В коде используемого Siime Eye приложения «зашита» информация, позволяющая добраться до серверов и хранящихся на них данных. И, наконец, если пароль достаточно прост, то, у***ав его методом перебора, можно и без всяких хакерских навыков подключиться к устройству, находясь на небольшом расстоянии – скажем, в соседней квартире.

Случай можно было бы считать анекдотическим, но эксперты серьезно обеспокоены этой тенденцией. Все большее число производителей самых разных устройств снабжают их интернет-подключением, не имея никакого представления о базовых принципах сетевой и информационной безопасности. К слову, это уже не первый скандал с «умными» вибраторами. Чуть менее месяца назад другой производитель сексуальных игрушек, компания Standard Innovation, в досудебном порядке урегулировала коллективный иск своих клиентов, приобретших вибратор We-Vibe, также имеющий функцию подключения к интернету. Как выяснилось, компания без согласия пользователей хранила на своих серверах данные, получаемые с We-Vibe. Урегулирование обошлось Standard Innovation в 3,75 миллиона долларов.

[студент]

Первый юбилей No More Ransom

Глава Европейского центра по борьбе с киберпреступностью при полицейской службе ЕС Европол Стивен Уилсон сообщил, что проект No More Ransom помог уже 10 тысячам человек вернуть доступ к своим устройствам, заблокированным вследствие атак зловредов-шифровальщиков. Проект No More Ransom был основан в июле прошлого года по инициативе Европола, Национальной полиции Нидерландов и компаний Intel Security и «Лаборатория Касперского». Он ставит целью объединение усилий в борьбе с шифровальщиками, превратившимися в одну из главных киберугроз.

Сегодня в проекте участвуют уже 76 организаций, а на его сайте (существующем на 14 языках, включая и русский) выложены в открытый доступ 40 инструментов для расшифровки заблокированных различными зловредами файлов. Организаторы признают, что пока не могут обеспечить восстановление данных после атак всех существующих зловредов-шифровальщиков, но продолжают работу в этом направлении. Кроме того, сайт играет важную просветительскую роль, распространяя информацию о том, как избежать заражения вредоносным ПО. Чаще других к сайту No More Ransom обращаются пользователи из России, США, Нидерландов, Германии и Италии. По мнению Стивена Уилсона, проект No More Ransom – «возможно, лучший пример сотрудничества государственных структур и частных компаний в деле борьбы с киберпреступностью».

[студент]

Сирены над Далласом

Неизвестные хакеры едва не спровоцировали массовую панику в американском городе Далласе. В ночь с пятницы на субботу минувшей недели они сумели взломать городскую систему оповещения о чрезвычайных ситуациях и привести в действие все 156 сирен, предназначенных для извещения горожан об опасности. Сирены над Далласом не смолкали на протяжении почти полутора часов. Тысячи перепуганных горожан звонили в экстренные службы, чтобы выяснить, какой угрозы им следует опасаться, и что необходимо делать в наступившей ситуации. Сирены смолкли лишь после того, как городские власти полностью отключили систему оповещения.

Первые результаты предварительного расследования показывают, что хакеры, осуществившие атаку, находились в самом Далласе, другие подробности в настоящий момент неизвестны. «Взлом системы оповещения может показаться глупой шуткой, но все совсем не так безобидно, – уверен аналитик компании Carbon Black, а в прошлом агент ФБР Эрик О’Нейл. – Такие действия подрывают доверие граждан к власти и механизмам защиты, и в следующий раз, в ситуации реальной угрозы люди могут просто проигнорировать предупреждения».

[студент]

Инструменты ЦРУ активно задействованы в кибератаках

Компания Symantec задалась целью выяснить, насколько серьезную угрозу представляют собой инструменты кибершпионажа, которые описаны в документах Центрального разведывательного управления США, выложенных активистами WikiLeaks в сеть в марте. Угроза оказалась более чем реальной. Анализ Symantec показал, что эти инструменты были в последнее время задействованы как минимум в 40 кибератаках на правительственные организации и учреждения, непосредственно связанные с вопросами национальной безопасности, в 16 странах мира. Жертвы кибератак находились в странах Европы, Азии, Африки и Ближнего Востока.

Специалисты Symantec избегают прямо говорить о причастности ЦРУ к этим атакам, однако такой вывод представляется достаточно логичным. Кроме того, анализ показывает, что особенно активно кибершпионские инструменты из арсенала ЦРУ использует хакерская группировка под названием Longhorn, известная на протяжении не менее чем 3 лет. Соединенные Штаты традиционно обвиняют во многих киберинцидентах «хакеров, действующих при поддержке правительств» России и Китая. Однако данные Symantec – весомое свидетельство в пользу того, что и хакеры, действующие при поддержке правительства США, не только существуют, но и ведут чрезвычайно активную кибершпионскую деятельность.

[студент]

Рекорд MacOS, который вряд ли порадует Apple

Компания McAfee опубликовала свой «отчет об угрозах» за 2016 год. Из документа следует, что число зловредов, нацеленных против «яблочных» устройств, хотя и не идет по-прежнему ни в какое сравнение с числом вредоносных программ для Windows и Android, растет чрезвычайно бурно. Минувший год стал абсолютно рекордным в этом отношении: количество вариантов, например, вредоносного ПО для MacOS увеличилось за 12 месяцев сразу на 744%. Особенно «урожайным» в этом отношении стал второй квартал прошлого года, когда рост составил 637%.

Стоит, впрочем, понимать, что McAfee придерживается широкой трактовки понятия «вредоносное ПО», включая в эту категорию не только программы, похищающие данные, осуществляющие шпионаж, причиняющие ущерб устройствам или блокирующие файлы, но и так называемое adware – программы, предназначенные для навязчивой демонстрации рекламы без согласия пользователя. Собственно, именно они и обеспечили львиную долю зафиксированного в отчете прироста.

[студент]

«Наследники» Mirai

Не успели улечься страсти вокруг зловреда Mirai, инфицирующего устройства интернета вещей и позволяющего использовать их для мощнейших DDoS-атак, как специалисты начали отыскивать все новые разновидности вредоносного ПО подобного рода. Так, эксперты компании Radware сообщили об обнаружении зловреда Brickerbot. Как и Mirai, Brickerbot атакует устройства с открытым Telnet-портом и пытается получить доступ к ним путем перебора известных заводских логинов и паролей. В случае, если пользователь не сменил заводские настройки, вредоносное ПО, получив доступ, осуществляет так называемую permanent DoS-атаку – постоянную атаку на отказ в обслуживании. Она полностью блокирует работу устройства, выводя его из строя. Угрозу нельзя не признать весьма серьезной, хотя специалисты и затрудняются пока сказать, в чем смысл подобных атак для самих организаторов.

Практически одновременно исследователи компании Palo Alto Networks предупредили о возникновении ботнета Amnesia. Он нацелен на цифровые видеорегистраторы, которые производятся китайской компанией TVT Digital, однако продаются по всему миру под наименованиями более чем 70 различных брендов. Amnesia эксплуатирует уязвимость, которая была выявлена в устройствах TVT Digital еще год назад, но по неясным причинам не устранена и по сей день. Она потенциально позволяет злоумышленникам установить контроль над примерно 227 тысячами устройств. Большая их часть приходится на такие страны как Тайвань, США, Израиль, Турция и Индия. По оценкам специалистов Palo Alto Networks, DDoS-атаки, организованные с помощью ботнета Amnesia, будут вполне сопоставимы по мощности с атаками Mirai.

[студент]

Хакеры обогатились за счет студентов

Налоговая служба США (IRS) признала факт утечки персональных данных 100 тысяч граждан США. Утечка могла стать следствием взлома онлайн-сервиса Data Retrieval Tool, который позволяет студентам и их родителям, воспользовавшимся программой бесплатной финансовой помощи для студентов (Free Application for Federal Student Aid – FAFSA), претендовать на возврат части суммы уплачиваемых налогов. Подозрительная активность на сайте IRS была зафиксирована еще в сентябре прошлого года, однако тогда Налоговая служба не сочла возможным отключить сервис Data Retrieval Tool, учитывая важность программы FAFSA для студентов (например, в 2015 году ее услугами воспользовались 15 миллионов человек).

Тем не менее, сервис все же пришлось отключить после того, как в начале нынешнего года IRS столкнулась с наплывом огромного числа фальшивых заявок на возврат налогов в рамках использования FAFSA. Порядка 14 тысяч таких заявок были отклонены, но еще 8 тысяч не вызвали у налоговиков подозрений и были одобрены. В результате бюджет США не досчитался 30 миллионов долларов. Это далеко не первый случай, когда хакеры, используя похищенные персональные данные граждан США, оформляют заявки на возврат налогов и запускают руку в государственную казну. Так, в 2013 году общая сумма возврата налогов по заявлениям, оказавшимся впоследствии фиктивными, составила 5,8 миллиарда долларов.

[студент]

14 хакеров украли у российских банков больше миллиарда

Генпрокуратура утвердила обвинение против 14 хакеров, похитивших порядка 1 млрд руб. у российских банков, и направила их дело в суд. Созданная Юрием Лысенко группировка действовала с июля 2014 г. До того, как начать грабить банки через интернет, ее участники промышляли воровством наличности из банкоматов.

Дело 14 хакеров

Скрытый текст

Подозреваемые по делу о хищении более p1 млрд у российских банков предстанут перед судом – Генпрокуратура РФ уже направила туда их уголовное дело. Обвинительное заключение по делу было утверждено заместителем генерального прокурора Виктором Гринем. Рассматривать дело будет Мещанский районный суд Москвы.

Подозреваемыми по делу проходят 14 человек. Как сообщает прокуратура, это Юрий Лысенко, Евгений Воробьев, Иван Крылов, Артем Мазуренко, Михаил Воробьев, Антон Екименко, Денис Гринев, Максим Усатов, Сергей Махничев, Николай Миловидов, Михаил Орешкин, Олег Родин, Никита Хаджибекян и Сергей Чистов.

Следствие полагает, что они являлись участниками преступной группировки, занимавшейся хищением средств у российских банков по интернету. Обвинения выдвигаются сразу по нескольким статьям Уголовного кодекса РФ, которые предусматривают наказание за организацию преступного сообщества и участие в нем, мошенничество в сфере компьютерной информации и кражи.

По делу пятнадцатого члена группы, Антона Тестова, уже вынесен обвинительный приговор, сообщает прокуратура. Тестов смог получить свой приговор вне очереди, так как согласился сотрудничать со следствием. В группировке состояли и другие лица, которые уже объявлены в международный розыск, расследование их действий продолжается. Аресты подозреваемых начались в 2015 г.

Состав преступления

Расследование по делу ведется Следственным департаментом МВД России. Как полагают следователи, преступная хакерская группировка была создана гражданином Украины Юрием Лысенко в июле-ноябре 2014 г. С подачи Лысенко к ней присоединилось более 17 человек, не считая его самого. «Денежные средства финансовых учреждений похищались путем ввода и модификации компьютерной информации с использованием сети Интернет, выполнения операций перевода и снятия денежных средств по банковским картам с их отменой и восстановлением баланса на счетах», – утверждает прокуратура.

Группировка действовала в Москве. В общей сложности пострадавшие кредитно-финансовые учреждения лишились более p1 млрд. По информации издания Коммерсантъ, в их число вошли такие банки как Промсвязьбанк, «Зенит», «Траст», «Уралсиб», а также кредитные организации небольшого масштаба. Из всей похищенной суммы около p880 млн было обнаружено на счету Лысенко. У главаря и организатора группировки нет высшего или какого-либо иного образования в сфере ИТ или финансов.

Сначала группировка занималась кражей денег из банкоматов. На банкоматы устанавливались специальные приспособления, которые влияли на процедуру выдачи наличности. Таким образом было похищено около p5,7 млн. После этого группа занялась выводом средств через интернет.

Похожие случаи

Дело группировки Лысенко – это не единственный случай, когда российским хакерам удается похитить более p1 млрд у банков. В частности, другая хакерская группировка смогла снять с банковских счетов до p1,7 млрд с помощью трояна Lurk и пыталась таким же образом вывести еще p2,2 млрд. Помимо этого, группа подозревается в атаках на критически важную инфраструктуру РФ, в частности, на промышленные предприятия стратегического значения. Группировка действовала с 2013 г., в ее состав входило более 50 человек.

Первая волна арестов по этому делу была проведена в мае 2016 г. совместными усилиями МВД и ФСБ. В общей сложности было задержано 27 преступников, разбросанных по 17 регионам России. 19 из них были заключены под стражу. В феврале 2017 г. полиция задержала еще 9 подозреваемых в 5 разных регионах.

Троян Lurk

В августе 2016 г. следствие обнародовало информацию о трояне Lurk, который использовался преступниками для хищения средств. С помощью трояна были атакованы московские банки «Гарант-инвест» и Металлинвестбанк, а также якутский банк «Таата». Авторами трояна являются хакеры из Свердловской области – именно там базировался основной состав группы. Предположительно, проектом руководили Константин Козловский и Александр Еремин, задержанные в мае 2016 г. в Екатеринбурге.

Специфику работы Lurk исследовали ИБ-эксперты правоохранительных органов, Сбербанка и «Лаборатории Касперского». Как выяснилось, троян распространялся через эксплойт-паки или взломанные сайты. В первом случае на различных бухгалтерских форумах или профильных новостных ресурсах размещались скрытые ссылки на файл с трояном. Во втором случае вирус размещался на сайтах разработчиков ПО под видом легальной программы, которую скачивали жертвы. Одной из программ, под которые был замаскирован Lurk, была Ammyy Мой хозяюшка – ПО для удаленного управления ПК.

[свернуть]

[satvitek]

Мобильные хакеры наносят миллионные убытки операторам

С каждым годом абоненты мобильных операторов все активнее пользуются мессенджерами для общения с «заграницей». Тем не менее, рефайл (мошенническая схема подмены международных звонков на псевдо-национальные посредством интернет) продолжает наносить миллионные убытки операторам, утверждают последние. А госбюджет в свою очередь недополучает существенные суммы налогов.

В 2016 году Украинский государственный центр радиочастот (УГЦР) выявил 305,6 тысяч нарушений порядка маршрутизации трафика голосовой телефонии. В 1 квартале 2017-го - 166,9 тысяч, что на 125% больше, чем за аналогичный период 2016 года. «Реально таких порушень на телекомунікаційній мережі загального користування (ТМЗК) України може бути більше. УДЦР проводить заходи з вимірювання телекомунікаційних мереж щодо порядку маршрутизації трафіку голосової телефонії в наступних випадках: в ході участі у роботі комісій з державного нагляду НКРЗІ; за зверненнями правоохоронних органів; за договорами, укладеними з ініціативи операторів телекомунікацій», - пояснили нам в пресс-службе УГЦР.

В едином госреестре судебных решений сотни документов, в которых детально описаны мошеннические схемы. Несколько примеров:

Скрытый текст

… впродовж 2016 року на території Хмельницької області невстановлені особи незаконно розмістили спеціальне телекомунікаційне обладнання та налагодили протиправну схему з несанкціонованого втручання в електромережу операторів мобільного зв'язку ПрАТ «МТС Україна», в ході якої, з використанням технології ІР - телефонії, здійснюють прийом міжнародного телефонного трафіку через мережу інтернет в обхід міжнародного центру комутації. Внаслідок незаконного втручання в автоматизовану систему ПрАТ «МТС Україна», що призводить до спотворення процесу обробки інформації та до порушення встановленого порядку її маршрутизації, заподіяно значної матеріальної шкоди на суму 348 000 гривень.


Фото: киберполиция

Досудовим розслідуванням було встановлено, що в період часу з 30.12.2016 по 01.01.2017 року, невідомі особи здійснили несанкціоноване втручання в роботу мереж електрозв'язку ПрАТ «Київстар», що призвело до порушення встановленого порядку маршрутизації телефонних викликів встановленого рішенням Національної комісії, що здійснює державне регулювання у сфері зв'язку та інформатизації № 324 від 05.07.2012 року. Зазначеними діями невідомі особи завдали ПрАТ «Київстар» майнової шкоди на суму близько 700 тисяч гривень в частині недоотримання доходів за здійснення міжнародних телефонних дзвінків в обхід міжнародних центрів комутації. Встановлено, що на території м. Біла Церква Київської області діє група осіб, які організували незаконний канал передачі вхідного міжнародного трафіку голосової телефонії шляхом використання спеціалізованого телекомунікаційного програмно-апаратного устаткування (GoIP шлюзів (SIM-банків) які забезпечують зв'язок між стільниковими мережами стандарту GSM і IP мережами; тощо) за допомогою якого здійснюється несанкціоноване втручання в роботу мереж вітчизняних операторів мобільного зв'язку шляхом направлення міжнародного трафіку голосової телефонії через мережу «інтернет» по технології ІР-телефонії в мережі операторів стільникового зв'язку, що функціонують на території України, із підміною оригінальних номерів ініціаторів міжнародних телефонних дзвінків.

Відповідно до висновку судово-технічної експертизи ІСТЕ СБ України, .… виявлено встановлене програмне забезпечення Oktell SipGsmGateway, яке призначене для організації голосових зєднань між мережами GSM та VoIP (з використанням протоколу SIP2), тобто для отримання мовного трафіку з мережі Інтернет та передачу його на мережі мобільних операторів звязку через GSM-модеми «Huawei». Вилучений у ході обшуку системний блок «HP compaq», , системний блок «HP compaq», , SIM-банк, GSM-шлюзи являють собою апаратно-програмний комплекс («шлюз»), призначений для отримання мовного трафіку з мережі «Інтернет» з використанням протоколу SIP та термінацію (передачу) його на мережі мобільних операторів звязку України. Даний апаратно-програмний комплекс використовувався для направлення міжнародного телефонного трафіку у порушення встановленого порядку маршрутизації інформації про телефонні дзвінки. Направлення міжнародного телефонного трафіку за допомогою вказаного апаратно-програмного комплексу призводить до викривлення інформації про телефонні дзвінки, а саме щодо телефонного номеру абоненту, що викликає.

Фото: Нацполиция

Основными причинами продолжающегося процветания мошеннических схем эксперты считают высокие расценки на входящие в Украину голосовые звонки из-за границы и незначительную ответственность (предусмотренную ст. 361 УК) за такие преступления.

Мобильные операторы надеются, что снизить объем убытков от рефайла им удастся после вступления в силу постановления Кабмина «О внесении изменений в Правила предоставления и получения телекоммуникационных услуг». Проект этого документа НКРСИ одобрила в феврале 2017-го. Сейчас новации проходят согласование в ГРС и АМКУ.

По проекту, операторы получат право самостоятельно составлять акт нарушений и оперативно отключать абонентов, занимающихся несанкционированным вмешательством в сеть. Вместе с тем, некоторые опрошенные эксперты опасаются, что операторы получат возможность «перегибать палку» - отключать абонентов за мнимые нарушения.

Ігор Халявінський, прес-секретар УДЦР:

- На наш погляд, є декілька основних причин збільшення кількості порушень, що виявлені і зафіксовані протоколами УДЦР. По-перше, на 2017 рік УДЦР уточнені плани вимірювань з потужними операторами телекомунікацій ПАТ «Укртелеком», ПрАТ «МТС Україна», ПрАТ «Фарлеп-Інвест», ТОВ «Лайфселл». Вони спрямовані, за бажанням вищезазначених операторів, на значне збільшення обсягу робіт з вимірювання їх мереж, що і дало відповідні результати щодо кількості виявлених і зафіксованих порушень у 1 кварталі 2017 року. По-друге, залишається можливість для порушників отримувати значні прибутки за рахунок надання послуг міжнародного зв’язку в обхід легальних маршрутів (телекомунікаційних мереж операторів телекомунікацій, які мають відповідні ліцензії на цю діяльність). Причиною є значна різниця між міжнародними та національними цінами телефонного трафіку.

Заходи які, на наш погляд, можуть знизити число і обсяги порушень, - це введення ідентифікації особи при продажу SIM-карток; усунення проблеми перекосу вартості ціни на міжнародні та національні виклики; створення на основі державного рішення Системи вимірювань ТМЗК України; підвищення відповідальності порушників за вчинені протизаконні діяння.

Александр Лоза, советник по регуляторным вопросам «Киевстар»:.

- Рефайл – специфический вид мошенничества, когда злоумышленник с помощью своего оборудования осуществляет подмену зарубежного номера абонента, который звонит в Украину, на «местный» номер. Для оператора это означат недополучение прибыли. По нашим оценкам, такие суммы по всему телеком-рынку Украины исчисляются десятками миллионов долларов.

Все подобные случаи попадают в зону ответственности органов охраны правопорядка, регулятора отрасли. Органы охраны правопорядка, киберполиция ведут серьезную работу в этом направлении. Задержания есть, их много.

Мы активно помогаем другим телеком-операторам, в том числе зарубежным, предотвращать мошенничество с трафиком, а также оказываем содействие правоохранительным органам, киберполиции в выявлении и предотвращении таких нарушений. В качестве примера, можем назвать выявление международной группировки, которая «фальсифицировала» трафик, который шел через Молдову. Недавние примеры – разоблачение групп мошенников в Сумах, Днепре, Краматорске.

В случае принятия, постановление Кабмина «О внесении изменений в Правила предоставления и получения телекоммуникационных услуг» упростит взаимодействие между телеком-операторами, поможет им лучше противодействовать рефайлу, будет способствовать улучшению доказательной базы фактов нарушения.

Виктория Павловская, ведущий эксперт по внешним отношениям «Vodafone Украина»:

- Постановление даст операторам возможность самостоятельно составлять акты по неправомерным действиям владельцев номеров, в т.ч. речь идет и о рефайле. Это поможет сделать процесс борьбы с рефайлом гораздо более оперативным. Такие акты получат юридический статус, их можно будет использовать в качестве доказательств, в т.ч. в судах и в правоохранительных органах. Возможно, с их помощью можно будет подтверждать и ущерб операторов.

Сейчас же в принципе нет формально установленной, четко оговоренной процедуры. Мы, большей частью, совместно с УГЦР фиксируем рефайл. После этого передаем материалы в правоохранительные органы или в суд. Сумма ущерба от рефайла - конфиденциальная коммерческая информация. Случаи возмещения убытков от рефайла на основании судебных решений – большая редкость. Блокировка номеров за неправомерные действия осуществляется только на основании соответствующих актов, составленных УГЦР.

В обсуждение и проработку деталей проекта постановления активно включались игроки рынка. Надеемся, в ближайшие месяц-два документ будет окончательно утвержден.

Пресс-служба lifecell:

- Существующая редакция проекта постановления предусматривает право оператора прекращать предоставление услуг в случае, если абонент совершит определенные действия – рефайл входит в их число. Ранее перечень нарушений, за которые оператор мог отключать абонентов, был кратким и неполным. К тому же, не был четко выписан механизм отключения абонентов – фигурировала лишь общая формулировка «в соответствии с законодательством». Все эти недочеты были приняты во внимание и урегулированы при подготовке проекта постановления.

lifecell принимал активное участие в общественном обсуждении данного регуляторного акта, как и остальные участники рынка. НКРСИ учла пожелания операторов по регулированию взаимоотношений с недобросовестными абонентами в процессе предоставления телекоммуникационных услуг, утвердив действенный механизм по пресечению определенного рода действий. Рынок телекоммуникаций очень нуждается в данном документе и с нетерпением ждет его вступления в силу. Насколько известно, сейчас документ находится на согласовании у уполномоченных органов, скоро должен быть направлен на регистрацию в Министерство юстиции Украины.

Какой материальный ущерб ежемесячно, ежегодно несет наша компания от рефайла? Мы не готовы назвать точные цифры. Это довольно небольшая часть от общей выручки.

Сколько в среднем в месяц, в год несанкционированных вмешательств в работу нашей сети? Их число растет (падает) за последние несколькие лет? Мы не наблюдаем значительных изменений в их количестве за последние несколько лет. Мошенничества с маршрутизацией в Украине (равно как и во всех остальных европейских странах) распространены в связи с высокими ставками доступа на сети украинских операторов из-за рубежа и низкими тарифами на звонки абонентов внутри украинских сетей.

Какова ныне процедура пресечения рефайла? lifecell всегда предоставляет подробную информацию соответствующим органам в отношении вмешательства в свою сеть, и в настоящее время мы успешно сотрудничаем. Но эти задачи нужно решать на законодательном уровне, внедряя долгосрочные программы (возможно, на государственном уровне) для борьбы с такого рода мошенничеством. Чтобы сделать эту борьбу более эффективной, lifeсell планирует привлечь как можно больше сторон, которые имеют отношение к данной проблеме, в том числе киберполицию, государственные органы и т.д. С нашей точки зрения, это затрагивает не только бизнес и влияет на инвестиции в Украину, но также отражается на безопасности граждан нашей страны.

Александр Федиенко, глава Правления ИнАУ:

- Данное постановление появилось как реакция на массовые жалобы абонентов на необоснованное отключение, якобы за нарушения, а также жалобы на то, что при отключении абонентов с них необоснованно бралась абонплата, хотя услуги не предоставлялись. Постановление является попыткой придать законность крайне агрессивным действиям мобильных операторов по отключению абонентов, которых они подозревают в нарушениях и попыткой как-то защитить при этом права абонентов. При этом эффективность механизмов и объективность мобильных операторов при определении нарушителей вызывает вопросы и, как следствие, по заявлению НКРСИ, - шквал жалоб.

Считаю, что постановление не может даже частично решить проблему рефайла. Его нормы лишь дают юридическую защиту мобильным операторам в случае их ошибочных или неправомерных действий по отключению абонентов. Почему я возмущен! Персонально я и компания, в которой я работаю, также страдала от действий одного из операторов! Устройство отключалось якобы потому, что в ИХ понимании мы осуществляли рефайл. При этом оператор видел, что это контрактный номер, и понимал, что данный девайс легален и внесен в реестр использования РЭС в Украине. Но при этом нас практически НИКОГДА не уведомляли (даже посредством СМС), что контрактный номер отключат без объяснения.

Вызывает удивление, почему именно сейчас развернулась столь активная борьба с рефайлом и появилась острая необходимость в законодательном праве мобильных операторов самим определять нарушителей без обращения в суд или задействования независимых экспертов и организаций. Ведь как таковой рефайл уже в деградирующем состоянии (это уже не тот сегмент, который был 10 лет назад, когда ставки оплаты были такими, что рефайлеры могли подымать приличные деньги). Что же мешает мобильщикам и почему они толкают этот документ? Ведь не секрет, что телефонный трафик значительно сократился за счет перетекания в Skype, Viber, Google Talks и другие мессенджеры. Соответственно, значительно уменьшились доходы от входящего международного трафика, как следствие, и ущерб от рефайла в абсолютной величине. Возможно, ответ в том, что все три крупнейшие мобильные операторы Украины принадлежат зарубежным собственникам, причем, два из них имеют прямых владельцев из страны агрессора, а третий частично - в качестве конечного бенефициара. Непонятно, как в условиях гибридной и информационной войны мобильные операторы пролоббировали через НКРСИ решение, не имеющее аналогов в Европе и позволяющее мобильным операторам под предлогом рефайла, на свое усмотрение, отключать государственные институты и органы власти, предприятия и неограниченное количество абонентов.

ИнАУ последовательно выступает против предоставления права операторам и провайдерам телекоммуникаций отключать абонентов за рефайл, пиратство и другие противоправные действия не по решению суда или независимых арбитров, а по заявлению третьих лиц или самостоятельно.

А для пресечения рефайла достаточно, чтобы НКРСИ выполнила свою законодательную функцию по регулированию ставок входящего международного трафика в полном объеме с учетом анализа ставок национального завершения и тарифов мобильных операторов. Для этого надо не изобретать велосипед, а просто обратиться к европейскому опыту, где рефайл или практически отсутствует, или сведен к минимуму. При этом тенденция перетекания телефонного трафика в бесплатные сервисы интернета по мере развития сетей ШПД, особенно третьего и особенно четвертого поколения, сохранится. И проблема уйдет сама собой через достаточно непродолжительное время, как ушли все проблемы телеграфной и пейджинговой связи.

Глава НКРСИ Александр Животовский отказался отвечать на вопросы издания.

Минюст и Кабмин должны вскоре вынести свой вердикт.

[свернуть]

[satvitek]

Как ФБР обезвредило «короля спама» и уничтожило его ботнет

Власти США добиваются экстрадиции российского «короля спама» Петра Левашова, создателя ботнета Kelihos. Инсайдеры подозревают Левашова в сотрудничестве с ФБР.

Один из самых известных спамеров мира сделал элементарную ошибку. Игнорирование простых правил кибербезопасности позволило ФБР найти и арестовать Петра Левашова. Человек, известный многим как «король спама» или как «Петр Севера» (Severa), создатель и администратор крупнейшего ботнета Kelihos, обвиняемый также в создании ботенов Hilux и Waledac 2.0, был арестован в Испании во время отпуска с семьей. Словили спамера на элементарной ошибке – он использовал те же регистрационные данные для своей криминальной деятельности и для своего аккаунта в iTunes.

Спамер из топ-10

Скрытый текст

Ботнеты Левашова состояли из сотен тысяч зараженных компьютеров, которые собирали данные электронной почты, распространяли спам, крали данные банковских карт и распространяли через интернет различные вредоносные программы. По данным спецслужб, деятельность Левашова привела к заражению около 100 тыс. компьютеров во всем мире, около 10% из них находились в США. Левашов входил в топ-10 самых разыскиваемых спамеров мира по рейтингу Spamhouse.

Главный продукт Левашова, ботнет Kelihos рассылал миллионы сообщений, рекламирующих полулегальные товары. Среди них – секс-товары, нелегальные лекарственные препараты, подделки брендовых товаров. При этом цена рассылки спама для заказчиков составляла $300 за миллион сообщений. Среди предложений, содержащихся в спам-письмах, были и сообщения о найме сотрудников для участия в этом незаконном бизнесе, например, людей, которые помогали бы отмывать украденные деньги и товары. По данным Министерства юстиции, Левашов также предлагал услуги фишинг-атак по цене от $500 за миллион разосланных сообщений.

Арест Левашова сопровождался операцией по уничтожению Kelihos, в ходе которой были ликвидированы и три домена, используемые для его работы — gorodkoff.com, goloduha.info и combach.com. Ботнет был уничтожен с помощью процесса синкхолинга (sinkholing) – перенаправления трафика с зараженных компьютеров на новые сервера, контролируемые властями и ShadowServer Foundation, волонтерским объединением добровольцев по борьбе с киберпреступностью. Синкхолинг означает, что после перенаправления трафика на новые сервера ботнет подключился к другому управляющему центру, а его создатели потеряли его управление.

Повальный взлом и спецслужбы

Арест Левашова и атака на его ботнет означает очередную победу правительства США в войне против российской агрессии в киберпространстве. Совсем недавно Департамент Юстиции обвинил российских хакеров во взломе базы данных пользователей Yahoo.

Прекращение деятельности Kelihos может ознаменовать конец одной из самых мощных спам-сетей в интернете, глобальной сети инфицированных компьютеров, которую было очень трудно уничтожить. Эта сеть восстанавливалась множество раз, росла и развивалась даже тогда, когда ее основатель перестал управлять процессом. Тем не менее, потоки нежелательной электронной почты, реклама поддельной "виагры" и развлечений для взрослых, и, в худшем случае, огромное количество фишинговых писем, - все это работало "как часы", не снижая обороты.

Кейс с Петром Левашовым - один из первых случаев, когда американские власти использовали статью 41 уголовно-процессуального законодательства США, которая дает право на получение на законных основаниях ордера на обыск и взлом любого компьютеро в мире, не только в США.

Ходят слухи, что Левашов может быть связан с российскими спецслужбами. Причем в самом факте этого сотрудничества нет ничего удивительного. Например, основателя ботнета GameOver Zeus Евгения Богачева подозревают в помощи украинской разведке во время вторжения Росси в Крым. Совсем недавно, в марте этого года доказана связь еще одного российского хакера, Алексея Белана с сотрудниками ФСБ. Можно вспомнить российских хакеров, мешающих проводить выборы президента США и взламывающих почту демократической партии. На фоне всего этого такие слухи выглядят довольно правдиво.

Цифровой след

Согласно судебным документам, следователи наблюдали за Левашовым несколько месяцев перед задержанием. Не исключено, что Испания была выбрана для ареста еще и потому, что эта страна - сильный союзник США по борьбе с киберпреступностью.

Левашов уже давно был объектом охоты правоохранительных органов США. Первое обвинение ему было выдвинуто более чем десять лет назад в Мичигане за емейл-мошенничество и жульничество с акциями. Позже, в 2009 году, обвинители из Вашингтона снова предъявили ему обвинение в компьютерном мошенничестве, обнаружив его связь с ботнетом Storm, предшественником Kelihos.

Чтобы найти и идентифицировать Левашова, следователи связали преступника с Kelihos путем кропотливого анализа соответствующих IP-адресов и учетных данных на таких сайтах, как Foursquare, Apple, и Google.

Пока остается открытым вопрос его экстрадиции из Испании в США. В то время как американские правоохранительные органы сравнительно легко получают разрешение иностранных правительств на арест подозреваемых российских преступников за границей, возврат этих подозреваемых в США часто бывает менее успешен. Кейс с Кимом Доткомом, да и другими подозреваемыми тому пример.

[свернуть]

[satvitek]

У АНБ украли хакерские инструменты для взлома банковской системы SWIFT


Хакерская группа Shadow Brokers опубликовала новую порцию инструментов, похищенных у Equation Group, группировки, аффилированной с АНБ США. Как выяснилось, у The Equation были эксплойты, нацеленные на систему SWIFT.

Взять под контроль SWIFT

Shadow Brokers опубликовала очередную порцию инструментов взлома, предположительно принадлежащих Equation Group, хакерской группировки, связанной с АНБ США.

Среди этих инструментов обнаружились средства для проведения атак на международную межбанковскую систему SWIFT и ее сервисных бюро. По-видимому, целью АНБ было заполучить возможность отслеживать любые транзакции, проводимые через эту систему.

Опубликованные инструменты также включают эксплойты для взлома систем на базе разных версий Windows, а также ряд презентаций и сопроводительных документов к этим и другим инструментам Equation.

Представители SWIFT заявили изданию Threatpost, что ни инфраструктура, ни данные SWIFT сами по себе не были скомпрометированы, но при этом «сторонние организации» могли получать несанкционированный доступ к каналам связи между сервисными бюро и их клиентами.

Сервисные бюро - это сторонние сервис-провайдеры, которые занимаются управлением и поддержкой подключений финансовых учреждений к сети SWIFTNet. В «сливе» Shadow Brokers в частности фигурируют подробные данные об архитектуре EastNets, крупнейшем сервисном бюро SWIFT на Ближнем Востоке, и данные для доступа к нему.

Стоит отметить, что американские спецслужбы после атак 11 сентября 2001 г. негласно получили доступ к финансовой информации в сети SWIFT - это было сделано с целью отслеживания возможных финансовых транзакций террористов.

В 2006 г. в The New York Times, The Wall Street Journal и Los Angeles Times были опубликованы материалы, посвященные возможности АНБ и ЦРУ мониторить транзакции в SWIFT, так что администрация этого сервиса подверглась жесткой критике за недостаточную защиту данных клиентов.

Впоследствии архитектуру всей системы начали обновлять - как раз с целью защитить тайну транзакций.

«В целом, нет ничего удивительного, что спецслужбы стремятся иметь доступ к данным SWIFT – это сильно упрощает им работу. Сейчас, когда стало известно, что Equation Group «ломали» сервисные бюро SWIFT, очевидно, что операторы SWIFT постараются минимизировать вероятность новых вторжений, поскольку они кровно в этом заинтересованы», - говорит Дмитрий Гвоздев, генеральный директор компании «Монитор Безопасности». – «Проблема в том, что усовершенствование безопасности потребует затрат времени, а инструментарий, которым пользовались Equation Group доступен всем желающим уже сейчас. И «желающими» будут отнюдь не только борцы с терроризмом».

Как подобраться к транзакциям SWIFT

Как поясняет в своей публикации французский эксперт по безопасности Мэтт Суиш (Matt Suiche), проанализировавший содержимое архива от Shadow Brokers, передача банковских данных производится через базу данных Oracle, на которую установлено специально ПО SWIFT. В архиве содержались эксплойты для Oracle, позволявшие вытягивать из БД различные сведения, включающие список пользователей и запросы SWIFT.

В EastNets, однако, отрицают, что их системы подверглись какой бы то ни было компрометации. «Сервисное бюро EastNets работает на отдельной безопасной сети, к которой невозможно получить доступ из публичных сетей. Изображения, опубликованные в твиттере с заявлениями о скомпрометированных данных, относятся к устаревшим страницам, сгенерированным на низкоуровневом внутреннем сервере, который не функционирует с 2013 г.» - утверждают в EastNets.

Впрочем, эксперт по безопасности Кевин Бомон (Kevin Beaumont) тотчас же опроверг тезис EastNets о недоступности их внутренних сетей извне. Высказываются предположения, что хакеры АНБ могли использовать эксплойты к файерволлам Cisco и системам, работающим на Solaris, чтобы получить доступ к внутренним сетям сервисных бюро SWIFT, а затем уже атаковать базы данных Oracle.

Сколько других сервис-бюро SWIFT могли быть взломаны, пока неизвестно.

«Увидимся после Третьей Мировой…»

Shadow Brokers – это группировка, выкравшая летом 2016 г. данные о хакерских инструментах АНБ и публиковавшая их в интернете. Некоторые попавшие к ней материалы она пытается продавать.

Нынешнее заявление Shadow Brokers по традиции написано на исковерканном английском языке. В конце говорится: «Может быть, если мы все переживать Третью Мировую, theshadowbrokers видеть вас следующая неделя. Кто знает, что у нас бывать в следующий раз».

Архив с инструментами The Equation Group был выложен на «Яндекс.Диск», однако к нынешнему моменту уже удален.

Неделей ранее Shadow Brokers опубликовали целый ряд инструментов взлома систем UNIX - в том числе эксплойты для удаленного запуска произвольного кода на Sun Solaris, Netscape Server, а также FTP-серверах и почтовых клиентах. Архив содержал также набор средств обеспечения скрытности, бэкдоров, кейлоггеров, средств мониторинга сетей и имплантов уровня ядра для UNIX.

Вдобавок Shadow Brokers опубликовали пароль к первому архиву Equation Group, который они хотели продать на аукционе. Поскольку желающих не нашлось, «теневые брокеры» раздали все бесплатно.

[satvitek]

Хакеры атаковали свыше тысячи отелей ради банковских карт их клиентов

Британская компания InterContinental Hotels Group заявила, что около 1200 отелей их бренда подверглись хакерским атакам. Об этом сообщает The Verge.

Преступники проникали во внутренние системы отеля и внедряли зловредные программы, нацеленные на кражу личных данных банковских карт посетителей. Хакерские атаки велись с сентября по декабрь 2016 года. На настоящий момент нет точных данных, сколько гостей InterContinental Hotels Group пострадало от действий злоумышленников.

[студент]

Хакеры скомпрометировали свыше 1000 каналов на YouTube

Хакерская группировка OurMine в конце минувшей недели осуществила атаку, которой сама присвоила титул «самого крупного взлома в истории YouTube». Хакеры смогли на непродолжительное время установить контроль над учетной записью немецкой медиакомпании Studio71, которая управляет более чем 1200 каналами в YouTube, включая популярнейшие RomanAtwoodVlogs, JustKiddingNews и Wranglerstar (общее число их подписчиков составляет порядка 15 миллионов).

Участники OurMine ограничились тем, что изменили описание каждого из скомпрометированных каналов, снабдив их следующим текстом: «Привет, это OurMine. Не беспокойтесь, мы всего лишь проверяем вашу безопасность. Пожалуйста, свяжитесь с нами для дополнительной информации». Это обычная тактика группировки, на протяжении последних полутора лет ее хакеры похожим образом скомпрометировали в социальных сетях множество аккаунтов, принадлежащих известным персонам или крупным компаниям. В числе пострадавших – Марк Цукерберг, Бритни Спирс, газета New York Times и многие другие. Хакеры OurMine упорно выставляют себя борцами за кибербезопасность, заявляя, что их атаки преследуют единственную цель: привлечь внимание к уязвимостям и практикам небезопасного использования социальных сетей. Аналитики, впрочем, полагают, что истинная цель хакеров – выискивать уязвимости и продавать информацию о них жертвам из числа знаменитостей и бизнес-гигантов.

[студент]

В архивах АНБ отыскался след Stuxnet

Эксперты по всему миру изучают массив данных, выложенный в сеть хакерской группировкой The Shadow Brokers. Изначально эта группа заявила о себе в прошлом году, сообщив, что якобы, смогла получить доступ к хакерским инструментам Агентства национальной безопасности (АНБ) США. Тогда хакеры планировали провести аукцион по продаже эксплойтов, но заинтересованных покупателей так и не нашлось. В результате участники The Shadow Brokers просто выложили данные в открытый доступ.

Теперь же хакеры, судя по всему, решили переквалифицироваться в киберактивистов. Вторую часть массива данных, который они называют архивами шпионских инструментов АНБ, они сразу выложили в сеть, без всяких попыток заработать. И публикация, состоявшаяся в прошлую пятницу, оказалась весьма впечатляющей. Так, в архиве обнаружились инструменты для взлома и установления практически полного контроля над компьютерами, использующими ОС Windows всех версий, кроме нынешней Windows 10 (в Microsoft поспешили заверить, что обновления безопасности, ликвидирующие проблему, были выпущены еще месяц назад). Также среди эксплойтов был найден инструмент для отслеживания транзакций в межбанковской системе SWIFT. Все это уже позволило некоторым экспертам назвать публикацию The Shadow Brokers «худшим сливом со времен Сноудена».

А вчера архив преподнес очередной сюрприз. В нем был найден эксплойт, исходный код которого практически полностью совпадает с кодом знаменитого червя Stuxnet. Предполагается, что он был создан спецслужбами США и Израиля и использован для атаки на иранский ядерный центр в 2010 году. Вследствие атаки Stuxnet более тысячи центрифуг для обогащения урана были выведены из строя; по оценкам экспертов, инцидент отбросил иранскую ядерную программу на несколько лет назад. Власти США никогда официально не подтверждали свою причастность к Stuxnet. И возможно, публикация The Shadow Brokers – первое серьезное доказательство участия АНБ в той операции.

[студент]

Китайские хакеры стоят за атаками на южнокорейскую систему ПРО

Директор направления расследования кибершпионской активности компании FireEye Джон Халтквист дал интервью изданию Wall Street Journal, в котором сообщил, что специалистами FireEye зафиксированы несколько хакерских атак на системы комплекса противоракетной обороны THAAD, развертываемого в настоящий момент в Южной Корее. Американский комплекс THAAD (Terminal High Altitude Area Defense – «Противоракетный подвижный комплекс наземного базирования для высотного заатмосферного перехвата ракет средней дальности») предназначен для перехвата головных частей баллистических ракет, и Республика Корея стремится с его помощью обезопасить себя от угрозы ракетного удара со стороны КНДР. Однако власти Китая полагают, что THAAD может представлять угрозу безопасности их страны и высказываются против его размещения.

Очевидно, высказываниями дело не ограничивается. Как рассказал в интервью Джон Халтквист, сразу две хакерских группировки из КНР осуществили несколько атак на системы, связанные с развертыванием THAAD. Причем одна из этих группировок подозревается в сотрудничестве с северокорейскими хакерами. Атаки осуществлялись с помощью рассылки фишинговых писем, и как минимум в одном случае фишинг достиг своей цели. Впрочем, по словам Халтквиста, некоторые ошибки при организации атаки допустили и сами хакеры, что позволило FireEye получить много важной информации об атакующих.