У Opera Software украли сертификат и подписали им malware

Неизвестные люди 19 июня взломали серверы Opera Software и проникли во внутреннюю сеть компании.
Личные данные не были скомпрометированы, но был украден как минимум один сертификат Opera Software. Сертификатом с истекшим сроком был подписан вредоносный код, который они засунули в автоапдейт, так что если кто-то обновил браузер между 01:00 и 01:36 UTC 19 июня, проверьте свой компьютер на вирусы!

Новая уязвимость затрагивает 99% Android-устройств.

Уязвимость затрагивает около 900 млн смартфонов и планшетов на базе Android или около 99% от их общего числа, так как содержится во всех версиях начиная с Android 1.6, выпущенной 4 года назад.

Специалисты стартапа Bluebox обнаружили в модели безопасности Android уязвимость, которая позволяет хакеру модифицировать код APK-файла (установочного файла) и превратить в троян любое подлинное приложение, причем это изменение не смогут заметить ни пользователь, ни администраторы каталога, куда это приложение будет загружено, ни само мобильное устройство.

Все Android-приложения содержат криптографические подписи, которые позволяют системе определить подлинность устанавливаемого приложения. Однако данная проверка в различных приложениях выполняется по-разному. Это и лежит в основе уязвимости. Используя ее, хакер может модифицировать приложение без нарушения криптографической подписи.

В зависимости от типа приложения, хакер может использовать уязвимость для любых целей - от кражи данных до создания мобильного ботнета и проникновения в корпоративную систему предприятия.

Более того, хакер может модифицировать приложение, устанавливаемое производителем мобильного устройства, например Samsung или HTC, которое имеет специальные привилегии для работы с системными процессами. Используя эту возможность, злоумышленник может получить полный доступ к системе Android, всем приложениям, учетным записям пользователя, паролям и получить возможность управления любой функцией, включая телефонные звонки, сообщения и камеру.

Уязвимость содержится во всех версиях Android начиная с Android 1.6 под кодовым именем Donut, которая была выпущена 4 года назад, и, таким образом, затрагивает около 900 млн устройств, проданных к текущему дню.

Так как масштаб уязвимости оказался слишком широк, эксперты Bluebox лишь сейчас решили проинформировать общественность, тогда как Google получила сведения об уязвимости еще в феврале 2013 г. О реакции Google на данные сведения не известно.

Владельцам Android-смартфонов и планшетов рекомендуется внимательнее относиться к названию разработчика приложения, которое они планируют установить, а компаниям и организациям, использующими модель «принеси свое собственное устройство» (Bring Your Own Device - BYOD), - регулярно обновлять Android до последней версии, а также внедрять более совершенные механизмы защиты данных.

Ранее уязвимости встречались в Android неоднократно, однако никогда они не имели столь большой масштаб, затрагивающий около 99% устройств, находящихся в эксплуатации. По данным Juniper Networks, пользователи могли бы обезопасить себя более чем от половины вредоносных приложений, если бы использовали последнюю версию Android.

Стартап Bluebox был основан в середине 2012 г. Компания занимается разработкой решения для информационной защиты мобильных устройств. Пока оно не представлено. Объем инвестиций в стартап к настоящему времени составил около $9,5 млн. Среди инвесторов - венчурный фонд Andreessen Horowitz, владеющий акциями Facebook, Groupon и Twitter, и один из основателей Sun Microsystems Андреас фон Бехтольсгейм (Andreas von Bechtolsheim).

Вредоносное ПО для Mac OS X маскирует названия файлов под .doc или .rtf

Вредонос использует спецсимвол Юникода U+202e в названии файла.
Компания F-Secure сообщила о новом вредоносном ПО для Mac OS X, который использует поддельную систему установки в ОС и маскируется под стандартные файлы. Для того, чтобы ассоциировать код с соответствующим типом приложения в Mac OS X, вредоносное ПО использует спецсимволы Юникода в названии файла. Узнать истинное происхождение файла можно в Терминале Mac OS X, тем не менее, 99% пользователей им не пользуются.
Злоумышленники добавляли в названия файлов символ Юникода U+202e (перевод каретки в RLO, right to left override) и маскировали настоящее расширение .app, заменяя его на .doc или .rtf. Таким образом, в Mac OS X новый файл для пользователя детектировался как текстовый или PDF, оставаясь при этом вредоносным.
Эксперты F-Secure назвали этот трюк достаточно оригинальным. Данные о вредоносе уже переданы разработчикам Mac OS для принятия соответствующих мер.

В крупнейшей хакерской атаке в истории США обвиняют четырех россиян и украинца

Прокуратура США выдвинула обвинения против четырех граждан России и гражданина Украины в создании хакерской группы.

В прокуратуре заявили, что члены группы на протяжении семи лет взламывали компьютеры крупных американских и международных компаний.

По данным следствия, россияне Владимир Дринкман, Александр Калинин, Роман Котов, Дмитрий Смиланец и украинец Михаил Рытиков незаконным образом заполучили номера более 160 млн банковских карт и продали их перекупщикам.

Ущерб, нанесенный компаниям и физическим лицам, исчисляется сотнями миллионов долларов.

По данным прокуратуры, обвиняемые организовали крупнейшую хакерскую атаку в истории США.

Троян Trojan.WPCracker.1 взламывает блоги в России и за рубежом

Компания «Доктор Веб» предупреждила о распространении вредоносной программы Trojan.WPCracker.1, предназначенной для взлома блогов и сайтов, работающих под управлением популярных CMS (систем управления контентом), в частности Wordpress. С помощью этого троянца злоумышленники могут поменять контент блогов или же инфицировать их другими вредоносными программами, которые будут угрожать будущим посетителям. Именно с распространением Trojan.WPCracker.1 может быть связан отмечаемый многочисленными экспертами в настоящее время всплеск масштабных атак на веб-сайты.
Попав на инфицированный компьютер, Trojan.WPCracker.1 создает свою копию в одной из системных папок и модифицирует ветвь реестра Windows, отвечающую за автоматический запуск приложений при старте операционной системы. Затем троянец устанавливает соединение со злоумышленниками, обращаясь на их удаленный сервер.

Злоумышленники отсылают троянцу список блогов и сайтов, работающих под управлением популярных CMS, среди которых Wordpress и Joomla, и начинает подбор паролей к ним. В случае если процедура подбора пароля завершилась успехом, полученные данные троянец отправляет на принадлежащий злоумышленникам сервер.

Исследование: половина мошеннических сайтов распространяет вирусы.

В I полугодии в Рунете выявлены 896 опасных сайтов.

Примерно половина принадлежащих мошенникам сайтов с доменными именами второго уровня в зонах .ru и .рф распространяют вредоносное программное обеспечение. К такому выводу пришли сотрудники компании Group-IB.

Они провели исследование, согласно которому в период с января по июнь 2013 года выявлено 896 сайтов, угрожающих безопасности пользователей Рунета. За это время регистраторами по запросу подразделения CERT-GIB компании Group-IB было снято с делегирования 86% доменных имен обнаруженных вирусных сайтов.

Доля доменов, на которых были зарегистрированы фишинговые сайты, копирующие порталы платежных систем, чтобы заполучить личные данные пользователей, составила 31%. Ботнет-контроллеры, управляющие сетями зараженных компьютеров, были выявлены на 19% доменов. Всего в январе-июне этого года в подразделение CERT-GIB было направлено 1,142 тысячи обращений на снятие делегирования доменных имен-нарушителей.

В апреле 2013 года полицейские пресекли крупную аферу киберпреступников. Злоумышленники намеревались вывести с банковских счетов 1 млрд рублей. Житель Тольятти, который оказался разработчиком вредоносного программного обеспечения, получил условный срок и штраф в 100 тысяч рублей.

Новый троянец Hand of Thief охотится на Linux-пользователей!

Пользователи настольных вариантов операционной системы Linux сравнительно редко становятся жертвами вредоносного ПО, однако в компании RSA говорят, что обнаружили троянское программное обеспечение, ориентированное именно на пользователей открытой ОС в ее настольном виде.

Согласно данным в блоге RSA, новый троянец Hand of Thief работает по аналогии со многими Windows-троянцами - после установки в целевой системе он перехватывает данные из веб-форм, даже если они передаются по HTTPS, открывает доступ к бэкдорам и пытается затруднить, либо блокировать работу антивирусного ПО на компьютере.

Также RSA отмечает, что обнаружили на нескольких хакерских площадках попытки продаж Hand of Thief за 2000 долларов, причем продавцы кода предлагают техподдержку по работе троянца, а также подписку на его обновления. За 3000 долларов доступен набор код Hand of Thief и система веб-инъекции. В блоге RSA говорится, что цены на Linux-трроянец в целом соответствуют ценам на аналогичные Windows-разработки, хотя пользовательская база десктопных Linux значительно меньше.

RSA отмечает, что авторы Linux-троянца не предоставляют никаких решений для установки вредоносного решения, то есть авторы атак должны сами разработать и реализовать алгоритм доставки вредоноса на компьютеры жертв. Ввиду этого, ИТ-компания прогнозирует скорое появление атак, связанных с распространением вредоносного ПО Hand of Thief.

TPM 2.0 — «встроенный бэкдор» в Windows 8.1

Немецкие эксперты предупреждают правительство, что переход на операционную систему Windows 8.1 несет в себе «неприемлемый риск».
Дело в том, что компьютеры с этой ОС поддерживают функцию Trusted Computing с установкой чипа Trusted Platform Module (TPM).

Если раньше поддержка TPM была опциональной и отключаемой, то с переходом на спецификации TPM 2.0 этот стандарт станет обязательным для всех устройств под Windows 8.1 и функция не подлежит дезактивации.

Trusted Platform Module (TPM) — криптопроцессор, в котором хранятся криптографические ключи для защиты информации. Библиотека TPM в операционной системе предназначена для проверки цифровой подписи программ, для установки апдейтов в дистанционном режиме и т.д. Фактически, компьютер с TPM 2.0 нельзя рассматривать как устройство, находящееся под полным контролем пользователя..

Спецификации TPM разработаны некоммерческой организацией Trusted Computing Group, в которую входят только американские компании AMD, Cisco, Hewlett-Packard, IBM, Intel, Microsoft и Wave Systems.

Немецкое издание Die Zeit получила в свое распоряжение внутренние документы правительства Германии, которые содержат оценку безопасности TPM 2.0 со стороны независимых экспертов. Они предупреждают, что TPM можно рассматривать как бэкдор и есть большая вероятность, что доступ к криптографическим ключам имеет Агентство национальной безопасности.

Недавно компания Microsoft объявила, что с января 2015 года поддержка стандарта TPM 2.0 станет обязательной для всех сертифицированных устройств Windows. В конце июня были скорректированы документы для сертификации, в соответствии с новыми требованиями на 2014 и 2015 годы.

Разведка США в течение года провела более 200 кибератак

Разведслужбы США в течение 2011 года провели 231 кибератаку против других стран. Об этом 31 августа сообщает The Washington Post. Газета ссылается на очередную серию документов, рассекреченных бывшим сотрудником американских спецслужб Эдвардом Сноуденом.

Три четверти атак, отмечает издание, были направлены против России, Ирана, Китая и Северной Кореи. В том числе целью американских разведслужб становились компьютеры, задействованные в ядерных программах этих стран. Согласно документам, на эти цели власти США потратили минимум 652 миллиона долларов.

Кибератаки заключались в том, что американцы заражали вирусами десятки тысяч компьютеров, с которых вредоносные программы могли распространяться на миллионы других машин. В основном вирусы позволяли разведслужбам выводить из строя сети своих противников либо замедлять их работу.

Как отмечает издание, рассекреченная серия кибератак стала самой крупной, о которой известно общественности. Газета добавила, что американские атаки мало отличаются от китайских, на которые ранее жаловался Вашингтон. Единственное, хакеры из Китая действовали против крупных компаний, пытаясь получить доступ к их финансовым документам. Тогда как целью американцев была оборона противника.

Масштабные утечки документов, которые рассекретили деятельность американских разведслужб в интернете, стали происходить в июне 2013 года благодаря Эдварду Сноудену. Согласно его документам, также стало известно о секретной программе PRISM, в рамках которой власти США следили за перепиской и звонками пользователей сети по всему миру. Сам Сноуден сейчас находится в России, где ему дали временное убежище. На родине против бывшего сотрудника спецслужб расследуется уголовное дело за шпионаж.

ESET: Троян-вымогатель FileCoder нацелился на пользователей из России.

Основная цель вредоносной программы - это шифрование личных файлов пользователей с дальнейшими требованиями выкупа.

Компания ESET зафиксировала в сети троян-вымогатель FileCoder, жертвами которого, в основном, становятся жители России. Основная цель вредоносной программы - это шифрование личных файлов пользователей с дальнейшими требованиями выкупа.

Сообщается, что активность вредоносных программ семейства Win32/Filecoder подскочила на 200% по сравнению с первой половиной года. При этом около 44% всех обнаруженных атак приходятся на РФ. Остальные нападения проводились на пользователей из Германии, Испании, Италии, Польши, Румынии и Чехии, а также США.

После инфицирования компьютера жертвы вредоносная программа инфицирует найденные файлы, анализируя их согласно расширению и выбирая те, которые могут представлять наибольшую ценность. Зачастую зашифрованными оказываются документы, фотографии, аудиозаписи и архивы.

Впоследствии пользователь получает сообщение о том, что доступ к компьютеру ограничен, потому что машина распространяет опасный вирус или детскую порнографию. Для разблокировки ПК от пользователя требуют от 100 до 3000 евро.

В ESET отмечают, что восстановление данных может занять очень много времени, все зависит от конкретной модификации FileCoder.

Eset: обзор информационных угроз декабря 2013 года

В глобальном рейтинге угроз рост динамики продемонстрировали вредоносные программы Win32/Sality, Win32/Ramnit и Win32/Virut. Все три угрозы являются файловыми вирусами и предназначены для извлечения выгоды через нарушение целостности исполняемых файлов скомпрометированного пользователя. Файловые вирусы представляют большую опасность из-за метода распространения – заражения исполняемых файлов на локальных и сетевых дисках. Активность одного зараженного файла может привести к компрометации сети целого предприятия.

Рост активности также продемонстрировали вредоносные элементы веб-страниц HTML/ScrInject и вредоносная программа JS/Fbook. Оба этих вида вредоносного ПО активизируются удаленно через веб-страницы.

В декабре специалисты ESET обнаружили новую модификацию печально известного шифровальщика Cryptolocker под названием Cryptolocker 2.0, которая детектируется антивирусными продуктами ESET NOD32 как MSIL/Filecoder.D и MSIL/Filecoder.E. Эта программа шифрует личные данные пользователя, требуя выкуп за разблокировку доступа.

При шифровании Cryptolocker использует распределенную архитектуру, т.е. ключ для расшифровки файлов хранится не в теле зашифрованного файла или на зараженном компьютере, а на удаленном сервере злоумышленников. В модификации Cryptolocker 2.0 были добавлены возможности по шифрованию новых типов файлов: распространенного музыкального формата mp3, изображений с расширениями jpg и png, а также видеофайлов mp4, avi и mpg.

В российском рейтинге угроз отмечен рекордно низкий за последний год уровень активности вредоносной программы Win32/Qhost, которая упала с 15,91% в начале года до 7,75% в декабре, но по-прежнему сохранила лидерство. Qhost используется для перенаправления пользователя на фишинговые ресурсы через системный файл hosts.

Рост продемонстрировала троянская программа Win32/Spy.Ursnif, которая используется для похищения различных данных аккаунтов и вредоносные элементы веб-страниц JS/IFrame.

В декабре компания Microsoft в очередной раз закрыла ряд уязвимостей в своих продуктах. 11 декабря были выпущены одиннадцать обновлений для ОС семейства Windows, а также для решений MS Office, Exchange и др.

Одно из обновлений для Windows и Office, MS13-096, закрывает эксплуатируемую злоумышленниками уязвимость CVE-2013-3906 (обнаруживается ESET как Win32/Exploit.CVE-2013-3906.A). Уязвимость присутствует в Microsoft Word версий 2003-2007-2010 и в Windows Vista. Злоумышленники могут исполнять вредоносный код через специальный doc-файл.

Также были обновлены все поддерживаемые версии браузера Internet Explorer (6-11) для всех ОС, начиная с Windows XP. Большинство исправляемых уязвимостей относятся к типу Remote Code Execution и могут использоваться для удаленного исполнения кода через специальным образом сформированную веб-страницу. Всего для IE было исправлено семь уязвимостей.

Кроме того, для усиления защиты продуктов MS Office компания выпустила обновление MS13-106 для библиотеки hxds.dll, которая используется в Office 2007 и 2010. Эта библиотека использовалась злоумышленниками для обхода защитных механизмов браузеров.

В декабре 2013 года доля России в мировом объеме вредоносного ПО составила 8%.

ESET: 89% пользователей считают, что передавать данные в интернете небезопасно

Москва, 15 января 2014 г. Международная антивирусная компания ESET представляет итоги комплексного опроса на тему размещения данных в интернете.

Согласно данным международного опроса, 89,1% пользователей полагают, что к любым хранящимся в Сети данным могут получить доступ сторонние лица. Этот показатель демонстрирует высокий уровень недоверия рядовых пользователей к любым онлайн-сервисам, где хранится их информация и личные данные. Соответственно, лишь 10,9% считают, что их данные полностью защищены от взлома и кражи.

Примечательно, что при этом 70,9% опрошенных признают личную ответственность за сохранность персональной информации, которую они передают по электронной почте, размещают в социальных сетях, облачных сервисах и т.д. Еще около 25% опрошенных готовы нести лишь частичную ответственность за сохранность своих данных; еще 4% полностью перекладывают ответственность на других.

Стоит отметить, что в аналогичном опросе, проведенном американским подразделением ESET, 64% пользователей также сознают личную ответственность за свою безопасность в Сети.

Согласно мультивариативному опросу, большинство пользователей доверяют личную информацию лишь друзьям и знакомым (76,4% и 43,6% соответственно). Также часть опрошенных стараются не использовать для обмена персональными данными чужие устройства, включая рабочие ПК и ноутбуки (27,3%). Никаких мер предосторожности не предпринимают 1,8%, а традиционной антивирусной защитой пользуются 63,6% опрошенных.

«Не вызывает сомнений, что кибератаки на пользователей социальных сетей и интернет-мессенджеров, которые эксперты ESET детектировали в минувшем году, будут иметь место и в дальнейшем, — говорит Денис Матеев, генеральный директор российского подразделения компании ESET. — Поэтому для сохранности личных данных так важно использовать комплексную антивирусную защиту и применять такие базовые меры предосторожности, как использование разных паролей для разных сервисов, а также сокрытие своих данных от посторонних лиц».

Чем обычно обмениваются и что загружают в Сеть пользователи? Безусловным лидером мультивариативного опроса ESET стали изображения – фотографии и забавные картинки пересылают друг другу 80% опрошенных. Далее в порядке убывания идут актуальные новости, музыка и видеоролики, рабочие документы, софт и приложения, учебные материалы, а также ссылки на видеоигры.

Конфиденциальной персональной информацией, такой как номера телефонов, паспортные данные, логины и пароли делятся друг с другом или выкладывают в открытый доступ всего 20% опрошенных из разных стран, что можно считать достаточно хорошим показателем.

«Какой информацией вы делитесь с другими пользователями?»
Результаты мультивариативного опроса*.

Эксперты компании ESET рекомендуют не делиться личной информацией с незнакомыми людьми, а также не выкладывать ее в открытый доступ. Даже малозначительная на первый взгляд информация может помочь злоумышленникам похитить личные средства или выманить у пользователя более серьезные сведения.

* Комплексный опрос был организован латиноамериканским подразделением компании ESET.

Базы вирусов приходится обновлять каждые 40-50 минут

Расцвет киберпреступности привел к тому, что антивирусным компаниям приходится работать в условиях постоянного аврала. Выступая на одном из совещаний по безопасности, старший менеджер центра оперативного реагирования Symantec Security Response сказал, что они выпускают обновления баз каждые 40-50 минут.

Обновления сигнатур теперь идут по двум каналам. Частые полуофициальные обновления выпускаются для экстренного реагирования на инциденты. Затем они подтверждаются официальными, полностью сертифицированными апдейтами, которые выходят трижды в день.

Орла Кокс (Orla Cox) из Symantec сказал, что компания вынуждена внедрить 40-минутные экстренные апдейты из-за ухудшения ситуации с информационной безопасностью. Сейчас выходит гораздо больше вариантов вредоносного ПО, а злоумышленники чаще проводят таргетированные атаки.

Еще несколько лет назад Symantec выпускала апдейты 1 раз в сутки, потом несколько раз в день, а сейчас счет пошел на минуты. Примерно такая же ситуация у других крупных антивирусных компаний. Им приходится прилагать все больше усилий, чтобы реагировать на новые сигнатуры. К сожалению, более интенсивная разработка повышает риск ложных срабатываний — вплоть до того, что антивирус помещает в карантин какой-нибудь системный файл или самого себя.

Symantec: «Антивирусы не справляются с современными киберугрозами»

Сотрудник компании Symantec Брайан Дай (Brian Dye) заявил, что антивирусное программное обеспечение не является надежным средством защиты в современном киберпространстве. По его мнению, хакеры все чаще используют неклассические методы атак, ввиду чего половина попыток взлома не только не блокируются, но даже и не определяются антивирусами.

Многие компании, которые на сегодняшний день зарабатывают на рынке компьютерной безопасности, помимо стандартных инструментов защиты предоставляют дополнительные услуги. Например, расположенный в Кремниевой долине стартап Shape Security меняет структуру данных своих клиентов, чтобы их было тяжелее использовать. FireEye, в свою очередь, создала технологию сканирования сетей на наличие подозрительного кода, просочившегося через основные линии обороны. Эта компания недавно инвестировала в Mandiant, небольшую организацию по поиску источников кибератак, основанную бывшими сотрудниками правительственных организаций.

Дай заявил, что антивирусная защита прекращает быть прибыльным бизнесом, поэтому в Symantec разрабатывают новые методы привлечения капитала. Компания намерена собрать «команду реагирования», которая будет помогать потерпевшим организациям.

Также Symantec развивает службу по обнаружению и минимизации ущерба от киберугроз. Целью работы службы является уменьшение убытков, а также сбор информации о злоумышленниках и методах атак. Таким образом, будет составляться специальный журнал, в котором описаны детали уже осуществленных взломов. Дай сравнил этот журнал с иммунной системой живых организмов, хранящей информацию об атаковавших его ранее вирусах.

Сервисы по защите от DDoS-атак используют для проведения DDoS-атак

Для реализации нападения злоумышленники использовали передачу потоков DNS-запросов.
Американская компания Incapsula, предоставляющая услуги по защите от DDoS-атак, сообщила о том, что ее сервисы и сервисы двух других компаний из Канады и Китая используются для проведения DDoS-атак с частотой в 1,5 млрд запросов в минуту. В общем, по подсчетам специалистов, в ходе 7-часовой атаки было отправлено свыше 630 млрд запросов.
По данным ИБ-экспертов, изначально DDoS-атаку через отражение удалось зафиксировать в связи с тем, что она была осуществлена на одного из клиентов Incapsula. Мощность атаки составила порядка 25 миллионов пакетов в секунду.
«Учитывая несколько сообщений от разных клиентов и ряда масштабных атак на нашу собственную инфраструктуру, мы уверены: то, что мы видим сейчас - это развивающаяся новая тенденция», - пишут исследователи компании. По их словам, подобные DDoS-атаки могут поставить под угрозу даже наиболее защищенные сетевые инфраструктуры.
Специалисты компании также подчеркивают, что в этот раз для реализации нападения злоумышленники использовали кардинально другой подход – передачу потоков DNS-запросов. В ходе так называемых симметричных DDoS-атак злоумышленники пытаются исчерпать возможности активов сервера противостоять нападениям (хранилищ, чипов) посредством отправки множества UDP запросов, генерируемых скриптами, которые выполняются на взломанных системах, входящих в состав ботнета.
В Incapsula говорят, что защититься от осуществления DDoS-атак с передачей потоков DNS-запросов довольно сложно, поскольку сами запросы не выглядят подозрительно. Кроме того, запросы нельзя отклонить до того момента, пока каждый из них не будет обработан на уровне сервера.

Студент расшифровал вредоносное ПО для вымогательства Simplocker

Исследователь провел статический и динамический анализ кода и нашел метод расшифровки, сходный с методом шифрования.
Недавно портал SecurityLab сообщал о первом вредоносном ПО для Android под названием Simplocker, предназначенном для вымогательства денег и использующем в качестве C&C-сервера сеть TOR. Тогда студент Университета Суссекса Саймон Бэлл (Simon Bell) пообещал выпустить Java приложение для расшифровки файлов, зашифрованных Simplocker.
В понедельник, 16 июня в блоге Secure Honey он подробно рассказал о том, как провести реверс-инжиниринг данного вредоносного ПО и разработать приложение для получения ключей шифрования, хранящихся внутри. Бэлла интересовало, возможно ли расшифровать файлы, зашифрованные Simplocker, без соединения с C&C-сервером.
Исследователь провел статический и динамический анализ кода и нашел метод расшифровки, сходный с методом шифрования. По словам Бэлла, с помощью этого метода осуществляется расшифровка входного файла. На изображении выделены строки чисел кода при шифровании для того, чтобы продемонстрировать, как происходит расшифровка.
В настоящее время по всему миру широко распространено такое вредоносное ПО для вымогательства, как CryptoLocker, CryptoWall и PrisonLocker. Однако оно инфицирует только стационарные компьютеры. В отличие от них Simplocker является первым подобным ПО, разработанным специально для смартфонов.
В следующей публикации в блоге Secure Honey Бэлл пообещал предоставить приложение, которое позволит пользователям очистить свое устройство от вымогательского ПО без уплаты выкупа.

McAfee: Руткиты постепенно теряют популярность, однако ненадолго.

Снижение популярности руткитов эксперты объясняют переходом на использование 64-битных процессоров, усложняющих осуществление атаки на ядро операционной системы.

Согласно квартальному отчету об угрозах компании McAfee, руткиты постепенно теряют популярность, однако это не продлится долго. По данным экспертов, рекордное количество руткитов было зафиксировано в начале 2011 года, после чего их использование пошло на спад. В прошлом квартале число руткитов достигло минимума с 2008 года.

В McAfee это объясняют растущей популярностью 64-битных процессоров, усложняющих осуществление атаки на ядро операционной системы. Тем не менее, по словам экспертов, злоумышленники уже ищут пути обхода защиты 64-битных процессоров. Они используют такие тактики, как взлом цифровых сертификатов, эксплуатация уязвимостей в ядре, создание подставных компаний для цифровой подписи руткитов и т. д.

«Мы считаем, что эти и другие техники приведут к росту числа атак с использованием руткитов. В этом квартале появились новые инфекции, использующие руткиты, хотя они принадлежали только к 32-битной семье, что кажется аномальным», - говорится в отчете.

В добавок к уменьшению числа образцов руткитов исследователи также отметили значительное снижение количества методов, используемых руткитами для получения привилегий ядра.

В Microsoft Active Directory выявлена критическая уязвимость

В популярном программном обеспечении Microsoft для управления сетевым доступом была выявлена критически опасная уязвимость, хотя в самой Microsoft говорят, что о проблеме давно знали и исправление уже готово.
Израильская компания Aorato на своем сайте приводит данные о концептуальной атаке, которая поволяет сменить пароли пользователей системы Active Directory и потенциально получить доступ к уязвимым системам. Вице-президент Aorato по исследованиям Тал Бейри говорит, что хотя сама проблема в коде Active Directory и была известна Microsoft, возможность смены пароля — это новый виток атаки.
В блоге Aorato говорится, что около 95% компаний из списка Fortune 500 работают с Active Directory, что делает проблему в коде крайне опасной.
Как пояснили специалисты, в случае с атакой дело заключается в протоколе NTLM для аутентификации. Все версии Windows старше XP SP3 используют NTLM по умолчанию, тогда как все остальные версии Windows — более новый протокол Kerberos. NTLM уязвим перед так называемой атакой Pass-the-Hash, в которой атакующий получает данные логинов и может применять математические репрезентации для них (хеш-функции) для вычисления пароля с последующим доступом.
Эксперты говорят, что атаки подобного рода — одни из самых популярных, когда нужно получить данные, с системы, где нет уязвимого ПО. Кроме того, pass-the-hash представляет собой один из самых простых и популярных способов атаки на системы Single Sign-On, в которых реквизиты хранятся удаленно.
По словам экспертов, блокировка SSO отчасти может решить проблему, но ограничит функционал. Либо предприятия могут отказаться от NTLM в пользу kerberos.

В антивирусах много уязвимостей

На хакерской конференции Syscan 360 в Пекине представитель сингапурской компании в области информационной безопасности COSEINC Хошеан Корет (Joxean Koret) выступил с презентацией о взломе антивирусного программного обеспечения.
Главный тезис презентации состоит в том, что устанавливая антивирусное ПО на свой компьютер, вы делаете его более уязвимым, добавляя дополнительный вектор атаки. Да, антивирус защищает от старых неактивных вирусов, но при этом открывает лазейки для новых вирусов, которые пользуются дырами в движках антивирусных программ.

Автор объясняет, что по причинам производительности движки AV написаны на небезопасных языках программирования. Почти все они написаны на C и/или C++, за исключением совсем немногих, таких как MalwareBytes на VB6. Соответственно, там повсеместно можно эксплуатировать переполнения буфера, целочисленные переполнения, форматы строк и проч. Эти движки занимают привилегированное положение в ОС, устанавливают системные драйверы, поддерживают множество форматов файлов, включая уязвимые, работают с наивысшими привилегиями в системе и обновляются по HTTP. В общем, идеальный плацдарм для атаки.

Хошеан ради забавы в течение июля искал уязвимости в разных антивирусных движках, и ему удалось найти многочисленные дыры в 14 из 17 проверенных движков, в том числе в Avast, Avg, Avira, BitDefender, ClamAV, Comodo, DrWeb, ESET, F-Prot, F-Secure, Panda, eScan и др. Уязвимости допускают удалённое и локальное исполнение кода. Особенно большое количество багов найдено в румынском BitDefender.

Отличился и Kaspersky AV, у которого ключевые модули avzkrnl.dll и vlns.kdl не используют защиту ASLR. «Любой может написать надёжный эксплойт для Антивируса Касперского без особого труда», — считает Корет.

Среди уязвимых — DrWeb, который раньше обновлялся по HTTP без использования SSL/TLS, а рабочие файлы распространялись без цифровой подписи, только CRC32. Таким образом, любой мог подменить drweb32.dll, подобрав подходящий CRC32. Возможно, сейчас эти баги уже закрыты.
Автор предлагает несколько векторов атаки на разные антивирусы для вывода их из защищённого режима (ASLR) и эксплуатации уязвимостей. Например, использование двух вложенных друг в друга файлов внутри архива. Первый заставляет антивирус запустить эмулятор, а второй файл — это эксплойт. Можно и провести атаку типа «отказ в обслуживании», потому что многие антивирусы до сих пор уязвимы к zip-бомбам (баг 10-летней давности). Например, тот же «Касперский» при распаковке маленького 7z-архива создаёт временный файл на 32 ГБ.

В общем, специалист из Сингапура крайне скептично настроен по отношению к разработчикам антивирусного ПО.

Китайские хакеры украли персональные данные 4,5 млн пациентов в США

18.08.2014

Как сообщает работающая с оператором охранная фирма Mandiant, отвечающая за кибербезопасность, атаки против Community Health Systems были организованы из Китая, предположительно группой хакеров под названием "Продвинутая непрерывная угроза".

МОСКВА, 18 авг — РИА Новости. Персональные данные 4,5 миллиона пациентов американских клиник были украдены в результате кибератаки китайских хакеров, сообщает агентство Рейтер со ссылкой на крупную управляющую компанию в сфере здравоохранения США Community Health Systems Inc.

Community Health Systems является одной из крупнейших компаний в своей области, под ее управлением находится 206 больниц в 29 штатах. Персональные данные пациентов этих больниц, включая имена, даты рождения, адреса, телефонные номера и номера социальной страховки, были похищены из базы данных компании в апреле и июне. По словам Community Health Systems, в базе данных не содержалось информации о кредитных картах пациентов или состоянии их здоровья.

Как сообщает работающая с оператором охранная фирма Mandiant, отвечающая за кибербезопасность, атаки против Community Health Systems были организованы из Китая, предположительно группой хакеров под названием "Продвинутая непрерывная угроза" (Advanced Persistent Threat), относящейся к армии КНР. Никакой информации о предполагаемых причинах и целях атаки, а также доказательств причастности группы от представителей Mandiant не поступало.

Производители компьютерной техники усилят безопасность мобильных устройств

На конференции Hot Chips ведущие разработчики поделились своими мыслями и наработками в плане безопасности.

Мобильные устройства оказываются все более уязвимыми из-за отсутствия аппаратной защиты. Об этом говорилось в ходе проведения конференции Hot Chips в Купертино, штат Калифорния.

«Слежка со стороны АНБ и постоянные взломы напомнили производителям о том, что хорошо продуманные чипсеты для домашних ПК, серверных станций и мобильных устройств могут минимизировать риск атак», - говорит Линдберт ван Дум (Leendbert vanDoom), корпоративный сотрудник компании AMD.

На сегодняшний день в большинстве кибератак эксплуатируются уязвимости в программном обеспечении, но хакеры могут изолировать данные с клавиатур, мышей, сенсоров и экранов, выделять нужную им информацию и отправлять данные на собственные серверы. Об этом говорит Викас Чандра (Vikas Chandra), главный инженер отдела исследований и разработок компании ARM.

По словам Чандры, хорошо продуманная система должна обладать несколькими слоями безопасности, чтобы предотвратить вероятность кибератак и внедрения вредоносного кода. Специалист считает, что все компоненты мобильных устройств – аппаратная составляющая, подсистема защиты и программное обеспечение – должны работать вместе.

Помимо ARM, над усилением защиты мобильных устройств работают также в Intel и AMD. Компании работают над объединением аппаратных и программных возможностей для создания более безопасного пользовательского окружения. Вместе с этим реализуются гипервизоры, слои безопасной загрузки и сегментированные области наподобие песочниц.

Большинство пользователей мобильных устройств пренебрежительно относятся к безопасности, не установив пароли или PIN-коды для защиты собственных девайсов. ПО для обеспечения безопасности установлено на крайне малом количестве устройств, позволяя троянам беспрепятственно похищать личные данные.

По словам Чандры, в ARM работают над улучшением безопасности, разработав слой безопасности TrustZone. Технология создает доверенную исполняемую среду, в которой можно безопасно выполнить любой код, не затрагивая всю систему.

Также планируется ввести технологии безопасной аутентификации, лишающие пользователей необходимости подключать SMS-подтверждение или использовать пароли. Чандра рассказал об аутентификаторе FIDO, в котором вход выполняется через отправку отпечатка пальца или посредствием технологии распознавания лиц. В ходе аутентификации генерируется личный зашифрованный ключ, который отправляется на сервер FIDO, где и происходит расшифровка. Эта технология работает в TrustZone.

Новую форму аутентификации поддерживают в альянсе FIDO, в котором состоят такие компании, как ARM, Google, Microsoft, Bank of America, MasterCard, PayPal, Samsung, Visa и Lenovo.

СМИ: Китай начал масштабную атаку на пользователей iPhone

20.10.2014

Предположительно китайские власти перенаправляют запросы пользователей к сайту iCloud на поддельный сайт. Таким образом, пользователи открывают доступ ко всей персональной информации, а также содержимому "облака".

МОСКВА, 20 окт – РИА Новости. Китай организовал масштабную атаку на пользователей iPhone с помощью поддельной страницы сайта iCloud, сообщает The Verge.

По данным издания, власти перенаправляют запросы пользователей к сайту iCloud на поддельный сайт. Таким образом, пользователи открывают доступ ко всей персональной информации, а также содержимому "облака".

О возможной причастности властей страны к атаке заявила некоммерческая организация Great Fire, отметив, что запросы перенаправляются на уровне "великого файервола" (система фильтрации содержимого интернета в КНР). Также в организации отмечают, что браузеры Google Chrome и Firefox предупреждают пользователей при переходе на поддельный аналог iCloud, однако наиболее распространенный в Китае браузер Qihoo не подает сигнала о посещении "фишингового" сайта.

Это первый раз, когда Китай напрямую атакует сервис Apple. Как указывает Great Fire, атака может быть целенаправленным ответом компании Apple, которая в новых версиях своей продукции использует дополнительное шифрование диска.

Пророссийские хакеры осуществили DDoS-атаку на сайт Ангелы Меркель

Киберпреступники призвали Германию прекратить финансовую и политическую поддержку украинских властей.
Хакеры из группировки «КиберБеркут» осуществили DDoS-атаку на сайт канцлера Германии Ангелы Меркель. Об этом со ссылкой на AFP сообщает издание Security Week.

Как сообщил глава пресс-службы правительства Германии Штеффен Зайберт (Steffen Seibert), официальный web-сайт Меркель и нижней палаты Бундестага были временно недоступны в связи с «серьезной кибератакой». По словам представителя властей, атака началась в среду, 7 января, в 9:00 по Гринвичу. Зайберт заявил, что дата-центр, на котором был размещен сайт, подвергся серьезному нападению, предположительно осуществляемому сторонними лицами.В ходе атаки также пострадал сайт министерства иностранных дел Германии.
Ответственность за кибератаку взяли на себя пророссийские хакеры из группировки «КиберБеркут». По их словам, причиной для атаки стал визит премьер-министра Украины Арсения Яценюка в Берлин, где украинский политик должен был встретиться с федеральным президентом Германии Йоахимом Гауком и канцлером Ангелой Меркель.

Киберпреступники призвали Германию «прекратить финансовую и политическую поддержку преступного режима в Киеве, который развязал кровопролитную гражданскую войну». По словам хакеров, Яценюк надеялся получить финансовую помощь от Евросоюза и Международного валютного фонда и использовать ее для продолжения войны вместо того, чтобы восстановить разрушенную инфраструктуру Донецкой и Луганской областей.

Россиян с бесплатными антивирусами на ПК взламывают хакеры.

Значительная часть российских пользователей отдает предпочтение дешевым или вовсе бесплатным антивирусам. Речь идет о 34% обладателей компьютеров, подсчитали аналитики из агентства B2B International.
Исследование было проведено для «Лаборатории Касперского» летом 2014 года: было опрошено 11 135 респондентов — домашних пользователей старше 16 лет по всему миру и в России в частности.

По данным экспертов, около 90% респондентов, пользовавшихся на момент опроса бесплатными защитными продуктами, сообщили, что сталкивались с заражением своих ПК. При этом больше половины (54%) россиян пережили хакерские атаки в течение последних 12 месяцев.

Исследователи выяснили, что более чем у 30% пользователей хакеры взломали аккаунты в социальных сетях. Более четверти респондентов рассказали о рассылке от их имени спама и вирусов. По словам более 25% опрошенных, в результате атак были потеряны ценные файлы, хранившиеся на компьютере.

Мало того, в руки хакеров могли попасть конфиденциальные сведения, необходимые для совершения транзакций. Как подчеркивают исследователи, операции в системе интернет-банкинга сегодня совершают порядка 56% российских пользователей, а 58% россиян регулярно оплачивают свои покупки в Сети.

Между тем недавнее исследование B2B International показало, что 58% онлайн-покупателей в России не сумели в полном объеме возвратить украденное злоумышленниками. Несмотря на то что многие финансовые организации декларируют готовность возмещать денежные средства, потерянные в результате киберпреступления, лишь 29% респондентов возместили свои потери. Только 13% добились частичной компенсации.

Согласно еще одному исследованию «Лаборатории Касперского» и компании B2B International, российские пользователи потеряли по $80 и больше в результате атак киберпреступников в 2014 году, а ущерб каждой десятой жертвы онлайн-мошенничества составил более $1000.

Решение Symantec для защиты серверов от хакеров оказалось «дырявым»

В ПО Symantec для защиты серверов были найдены критические уязвимости, позволяющие хакерам получить контроль над системами ЦОДов. Компания уже выпустила соответствеющие патчи.

Продукт корпорации Symantec, предназначенный для защиты дата-центров от хакерских атак, содержит критические уязвимости, позволяющие хакерам получить полный доступ к серверам, сообщил эксперт по информационной безопасности Стефан Фибек (Stefan Viehböck). Он нашел четыре уязвимости в решении Symantec Data Center Security: Server Advanced (SDCS: SA).

Первая уязвимость (ей был присвоен номер CVE-2014-7289) позволяет злоумышленнику выполнять к базе данных SDCS: SA произвольные запросы и получать доступ ко всем хранящимся в ней записям, в том числе с возможностью не только чтения, но и модификации.
«Эта уязвимость стала следствием недостаточно эффективной проверки подлинности источника запросов, — сообщил Фибек. — Более того, она позволяет не только получить доступ к базе данных, но и получить наивысший уровень доступа в системе».

Вторая уязвимость (CVE-2014-9224) позволяет злоумышленнику получать доступ к сессиям авторизованных пользователей и входить в панель управления под их именем. Третья уязвимость (CVE-2014-9225) позволяет получить доступ к системной информации, и четвертая (CVE-2014-9226) — обойти настройки безопасности и права доступа, установленные в продукте, а также получить хэши паролей пользователей Windows.
Symantec выпустила патчи для устранения найденных уязвимостей, только после этого о них стало известно публично.
SDCS: SA служит для предотвращения вторжений для физических и виртуальных серверов, мониторинга целостности файлов, настроек и управления политиками доступа, выявления нарушений политик, подозрительных действий администраторов или злоумышленников в реальном времени. Продукт поддерживает платформы на базе Windows Server и других ОС, включая Linux, AIX, Solaris и HP-UX.

Symantec — ведущий поставщик ПО для защиты данных. В 2013 г. выручка вендора составила $3,7 млрд. Согласно Gartner, корпорация заняла первое место по данному показателю с долей рынка 18,7%. По сравнению с 2012 г. продажи компании уменьшились на 0,3%.
Добавим, что в октябре 2014 г. Symantec объявила о намерении разделиться на две независимые публичные компании, одна из которых займется бизнесом в сфере информационной безопасности, а другая — в области управления информацией. В ноябре корпорация сообщила о намерении на 10% сократить свой штат.

Злоумышленники маскируются под портал госуслуг.

Участились случаи рассылки писем, ссылающихся на портал госуслуг и содержащих вирусы.

Служба поддержки Единого портала госуслуг сообщила на своей странице в фейсбуке, что «в последнее время участились случаи рассылки злоумышленниками e-mail сообщений, ссылающихся на Единый портал госуслуг».

«Такие сообщения зачастую содержат вирусы или иной вредоносный контент. При этом получают такие сообщения как пользователи портала, так и не зарегистрированные на портале адресаты», - говорится в обращении.

В целях обеспечения сохранности данных служба поддержки рекомендовала никому не сообщать пароль от портала и проверять адрес страницы, на которой он вводится, а также не открывать архивы и не запускать исполняемые файлы, присланные неизвестными отправителями.

E-mail сообщения от портала госуслуг приходят только с адреса noreply@gosuslugi.ru, а sms-сообщения – только от отправителя gosuslugi или номера 0919, напомнили в службе поддержке. При этом портал не высылает пользователям никакие повестки, в том числе требования явиться на судебные заседания.

По данным на декабрь 2014 г. на Едином портале госуслуг зарегистрировано 13 млн пользователей. Ежемесячно с его помощью оказывается 1,6-1,8 млн федеральных и около 90 тыс. региональных услуг.

Наборы инструментов для фишинга помогают мошенникам осуществлять фишинг-атаки ​

Такие наборы довольно просты в использовании и не требуют от мошенников обладания особыми техническими навыками и умениями.

Специалисты ИБ-компании Symantec провели исследование рынка наборов инструментов для осуществления фишинга и выяснили, что стоимость таких наборов варьируется от $2 до $10. Стоит отметить, что такие наборы довольно просты в использовании и не требуют от мошенников обладания особыми техническими навыками и умениями. Как пишет специалист Symantec Роберто Спончиони (Roberto Sponchioni) в своем блоге, злоумышленник может модифицировать фишинговые страницы набора по своему усмотрению.

По словам Спончиони, некоторые наборы являются вполне базовыми и содержат всего две web-страницы, однако другие более профессиональны и убедительны. Такие наборы включают более 25 исходных PHP-файлов и 14 различных языковых файлов, которые выбираются и загружаются в зависимости от местонахождения жертвы.

Профессиональные пакеты инструментов для фишинга могут быть использованы не только для похищения паролей и имен пользователя, но и персональных данных, таких как имена, фамилии, даты рождения, номера кредитных карт и т.д. С помощью таких наборов мошенники могут имитировать популярные web-сайты, принадлежащие операторам облачных хранилищ, банковским организациям, поставщикам услуг электронной почты и многим другим компаниям.

Нередко мошенники предпринимают попытки компрометации легитимных систем управления контентом (legitimate content management systems,CMS) или блогов с целью установки набора на серверы, поясняет Споничони. Атакующие часто используют автоматизированные скрипты для эксплуатации уязвимостей в целевых системах, пытаясь скомпрометировать как можно большее количество серверов.

Выявлена шпионящая программа АНБ США, записываемая в прошивку жестких дисков.

Шпионящее программное обеспечение агентства национальной безопасности США (АНБ) выявлено в накопителях на жестких магнитных дисках производства Western Digital, Seagate Technology и других производителей, что дает возможность агентству «прослушивать» большинство используемых в мире компьютеров. Об этом сообщило агентство Reuters со ссылкой на исследователей в области безопасности и бывших сотрудников агентства.

Тщательно оберегаемый секрет оказался частью комплекса шпионских программ под условным наименованием Equation group, раскрытого российской компанией «Лаборатория Касперского». По словам компании, специализирующейся на борьбе с вредоносным ПО, больше всего случаев заражения выявлено в Иране, России, Пакистане, Афганистане, Индии, Китае, Сирии и Мали. Под удар попали компьютеры правительственных и военных учреждений, банков, компаний энергетической и телекоммуникационной отраслей, а также ученых, ведущих атомные исследования, масс-медиа и исламских активистов.
​
Как утверждается, есть связь между выявленным ПО и Stuxnet — другим ПО такого же назначения, которое агентство использовало для сбора информации и атаки на иранское предприятие по обогащению урана. По данным «Лаборатории Касперского», комплекс Equation используется, по меньшей мере, с 2001 года, а возможно, что и с 1996.

Один из бывших сотрудников АНБ подтвердил Reuters корректность анализа, проведенного «Лабораторией Касперского», отметив, что в АНБ и сейчас считают выявленные программы ценным оружием. Другой подтвердил факт разработки АНБ технологии скрытной установки шпионящего ПО в жесткие диски.

Шпионящее ПО встраивается в прошивку накопителя, поэтому успешно переносит такие действия, как форматирование накопителя, переустановка ОС и программ. Для создания такого ПО разработчикам необходимо иметь исходные тексты прошивки. Представитель Western Digital заявил, что компания не передавала исходные тексты спецслужбам. В других компаниях отказались отвечать на вопрос, предоставляли ли они исходные тексты в АНБ. Между тем, уязвимыми являются накопители практически всех производителей, даже тех, кто уже покинул рынок. Помимо вышеназванных Western Digital и Seagate Technology, он включает Toshiba, IBM, Micron Technology, Samsung Electronics и другие компании.

Специалисты устранили бреши в системах безопасности новых версий Tails и Tor​

В новых версиях дистрибутива Tails и браузера Tor были устранены проблемы в системе безопасности.

ИБ-экспертам удалось устранить бреши в работе системы безопасности в обновленных версиях дистрибутива Tails и браузера Tor. Об этом сообщает издание Help Net Security.

Tails - операционная система, специально разработанная для обеспечения неприкосновенности частной жизни и анонимности своих пользователей. Данная ОС может загружаться с DVD-диска, с USB-накопителя или с SD-карта памяти на которых она была предварительно установлена.

Некоторые бреши безопасности, которые присутствовали в Tails 1.2.3, были успешно устранены в версии Tails 1.3. ИБ-экспертам удалось ликвидировать бреши в элементах xdg-utils, jasper, eglibc, openjdk-7, unzip, krb5, ruby1.9.1, xorg-server, dbus, bind9, libreoffice, e2fsprogs и sudo.

Кроме этого в новой версии Tor 4.0.4 обновления получили NoScript, HTTPS-Everywhere и OpenSSL.

Исследователи обнаружили новую разновидность троянов для PoS-терминалов​

PwnPOS регистрирует все активные процессы и осуществляет поиск данных кредитных карт.

Эксперты ИБ-компании Trend Micro обнаружили и проанализировали новую разновидность троянов для PoS-терминалов, получившую название PwnPOS. По мнению специалистов, этот вид вредоносов существует с 2013 года, возможно даже ранее. Тем не менее, выявить его удалось только сейчас. Исследователи Trend Micro поясняют, что PwnPOS – один из тех безукоризненных образцов вредоносного ПО, которые могут оставаться незамеченными на протяжении многих лет благодаря своей простой, но, вместе с тем, продуманной конструкции.

Вредонос состоит из дух модулей: RAM-скрепера и двоичного кода, ответственного за эксфильтрацию данных. В то время как RAM-скрепер остается неизменным, компонент эксфильтрции данных претерпел несколько изменений. Эти факты позволяют предположить, что у трояна есть два различных автора.

Подобно другим банковским вредоносам, PwnPOS регистрирует все активные процессы, осуществяет поиск данных кредитных карт и сохраняет их в отдельном файле, который затем сжимает и зашифровывает. Впоследствии файл в виде электронного письма отправляется на определенный почтовый адрес.

Троян остается незамеченным благодаря способности добавлять и убирать себя из списка сервисов, при необходимости загружать и удалять файлы, маскировать вредоносные файлы под самые обычные и скрывать их в директории %SYSTEM$, а также хранить похищенные данные в .dat-файле, размещенном в директории %SystemRoot%\system32.

Эксперты зафиксировали случаи использования PwnPOS совместно с другими вредоносами для PoS-терминалов, такими как BlackPOS и Alina. В основном они затрагивали небольшие и средние предприятия Японии, Австралии, Индии, США, Канады, а также Германии и Румынии, использующие машины под управлением 32-битных версий Windows XP или Windows 7.

IT-cпециалист показал, как можно превратить Trivia Crack во вредоносное ПО
​
Специалист по безопасности Рэнди Вестергрен (Randy Westergren) осуществил реверс-инжиниринг и перекомпилировал популярное приложение Trivia Crack для того, чтобы сделать возможным мошенничество в игровом интерфейсе. В процессе исследователь обнаружил уязвимости, которые могут быть использованы злоумышленниками в своих целях. Об этом Вестергрен сообщил в своем блоге.

На сегодняшний день количество скачиваний Trivia Crack для Android-устройств превысило цифру в 130 миллионов, статистики по версии приложения для iOS нет.

«Казалось, что приложение получает категорию, вопрос и ответ от сервера Trivia Crack до того, как пользователь начинает вращать «колесо категорий». Категория, вопрос, и правильные варианты - все это скрыто в ответе, присылаемом сервером. Это означает, что верный ответ можно достаточно просто определить через саму игру, тем самым обманув ее», - говорит Вестергрен. Специалисту удалось добыть правильный вариант ответа с помощью утилиты Grep.

Хотя усилия эксперта были направлены на осуществление мошенничества в пределах игрового интерфейса, Вестергрен указывает, что «безопасность конфиденциальности приложения-клиента не может быть гарантирована, поэтому разработчикам следует осторожнее относится к тому, что они включают в релиз».

CNN: российские хакеры взломали компьютеры Белого дома

08.04.2015

Российским хакерам, по словам американского чиновника, удалось завладеть конфиденциальной информацией, в частности деталями о графике Барака Обамы, которые не должны быть известны публике.

МОСКВА, 8 апр — РИА Новости. Хакеры из России проникли в компьютерную систему Белого дома через компьютеры Госдепартамента США, сообщил телеканал CNN со ссылкой на американских чиновников, близких к расследованию.

В октябре американские СМИ писали, что хакеры, предположительно из России, могут быть причастны к подозрительной активности, замеченной в сети Белого дома. Однако позднее представитель Белого дома Джош Эрнест не подтвердил сообщения о том, что за попытками взлома стоят киберпреступники из России.

Как сообщил CNN чиновник, российские хакеры смогли проникнуть в компьютерную систему Белого дома несколькими месяцами ранее. Сообщается, что им удалось завладеть конфиденциальной информацией, в частности деталями о графике президента Барака Обамы, которые не должны быть известны публике.

ФБР, Секретная служба США, а также американские спецслужбы участвуют в расследовании инцидента. Как сообщает CNN, несмотря на то что при взломе были использованы компьютеры со всего мира, специалистам удалось установить, что за этим стоят хакеры, "работающие на российское правительство".

При этом заместитель помощника президента США по национальной безопасности Бен Родс заявил, что хакеры не получили доступ к секретной компьютерной сети Белого дома. "У нас в Белом доме есть разные компьютерные системы: несекретная, секретная и сверхсекретная. Мы не считаем, что наши секретные системы были взломаны", — сказал он в интервью CNN. Родс не уточнил национальной принадлежности хакеров.

ПО для мониторов LG снижает уровень защищенности ПК​

Согласно публикации в блоге IT-специалиста Кристофера Бакнера (Christopher Bachner), ПО для мониторов компании LG способно «разрушать» безопасность ПК. Эксперт приобрел ультра-широкий монитор LG и установил ПО для разделения экрана. Специалист остался доволен аппаратной частью продукции южнокорейского производителя, но «совершенно разочаровался» тем, как LG обеспечивает безопасность ПО.

Бакнер использует функцию контроля учетных записей Windows - компонент, предназначенный для управления компьютером и уведомления о внесении программами изменений, требующих прав администратора. Контроль учетных записей основан на применении различных уровней разрешений для учетной записи пользователя. При выполнении задач, доступных обычному пользователю, таких как чтение электронной почты, прослушивание музыки и создание документов, применяются разрешения обычного пользователя даже при входе в систему с учетными данными администратора.

Через неделю после того, как Бакнер установил ПО от LG, он обнаружил, что сессия Notepad++ запущена от имени администратора, хотя эксперт не выбирал эту опцию в контекстном меню. В добавок к этому, каждый раз, когда Бакнер вместо запуска контроля учетных записей запускал команду «выполнить», он получал уведомление о том, что задача будет создана с правами администратора. Поняв, что все программы запускаются с правами администратора, специалист обнаружил, что контроль учетных записей отключен.

Бакнер заподозрил, что ПО для разделения экрана внесло изменения, поскольку оно было последним, что эксперт установил на ПК. Он запустил виртуальную машину Windows 10 для того, чтобы начать установку ПО от LG и посмотреть, будет ли контроль учетных записей отключен. В ответ специалист получил сообщение от ОС о том, что контроль учетных записей будет отключен, и уровень защиты ПК сильно снизится.

Конечно же, Бакнеру было предложено перезагрузить компьютер с целью выключения контроля учетных записей. Подобный результат вызвал у эксперта чувство гнева, поскольку он ожидал большего от такой крупной компании. Специалист подозревает, что разработчики LG отключили контроль учетных записей потому, что их ПО должно работать с полными правами. Тем не менее, есть много других способов решить эту проблему. По мнению Бакнера, LG просто пренебрегает безопасностью для того, чтобы сделать ПО работающим. Это крайне опасно, поскольку приложения, которые никогда не нужно запускать с правами администратора, были запущены подобным образом.

Сан-Франциско. Чем больше вещи меняются, тем более они остаются прежними.

Тридцать лет назад Ади Шамира (Adi Shamir), одного из создателей RSA-алгоритма, попросили произнести речь на открытии конференции, и он изложил свое видение компьютерной безопасности. Это был свод годами наработанных принципов в отношении криптографии и безопасности систем. В минувший вторник, выступая на очередной конференции RSA, Шамир отметил актуальность многих из этих постулатов и заявил, что отнюдь не удивлен тем, что за 30 лет мало что изменилось.

Первый закон Шамира гласит: систем с абсолютной безопасностью не существует и никогда не будет существовать.

Это утверждение покажется большинству современных ИБ-специалистов совершенно очевидным, но в далеком 1980 году царил оптимизм, все считали, что компьютеры и сети можно будет полностью обезопасить. Криптографии прочили титул спасительницы информационной безопасности, однако со временем оптимизм ослаб и почти совсем пропал. В наше время безопасность систем и сетей в основном представляется в виде битвы умов, битвы, в которой защитники зачастую проигрывают.

Второй закон Шамира гласит: криптографию не сломают, ее обойдут.

Надо признать, что, как и первый принцип, он до сих пор верен. Десятилетия криптоанализа и исследований распространенных алгоритмов показали наличие ряда проблем, но в большинстве случаев атакующие обходят шифрование, а не пытаются его взломать. Лобовая атака на криптосистему — это почти непосильная и заведомо безнадежная задача, даже для самых продвинутых и хорошо финансируемых злоумышленников.

Возьмем, к примеру, АНБ. Как показали документы Эдварда Сноудена, даже эта организация, на службе которой состоит больше криптографов, чем где-либо еще в мире, тратила свое влияние и интеллектуальную мощь на попытки подорвать криптографические стандарты и найти способы обхода, к примеру, того же SSL. Вместо того чтобы атаковать криптосистемы, АНБ стремится найти лазейки в других частях головоломки.

В заключение Шамир заявил, что попытки устранить все возможные уязвимости в конкретной программе ныне так же бессмысленны, как и 30 лет назад.

«Если вы стараетесь вычистить все до последнего бага или остановить атакующего уровня АНБ, то вы, скорее всего, попусту потратите деньги», — отметил он.

За прошедшие годы это утверждение так и не потеряло своей силы. Безусловно, поиск и устранение уязвимостей — важный аспект информационной безопасности, но процесс этот нескончаем. Программное обеспечение по своей природе полно багов. Так всегда было и будет.

Информационная безопасность — вещь непредсказуемая, но тем не менее постулаты Шамира все так же верны сейчас, как и 30 лет назад.

Китайские хакеры использовали сайт Microsoft TechNet для осуществления атак
​
Участники APT 17 размещали комментарии на TechNet и создавали профильные страницы, содержащие закодированные IP-адреса C&C-сервера.

Компания Microsoft совместно с ИБ-компанией FireEye пресекла деятельность китайской группировки APT 17, использовавшей блог Microsoft TechNet для маскировки хакерских операций. Группировка, предположительно спонсируемая китайским правительством, хорошо известна своими атаками на госорганизации США, предприятия оборонной промышленности, а также юридические и информационно-технологические компании.

TechNet – интернет-ресурс с высоким трафиком, содержащий техническую информацию о продукции Microsoft, новости и предстоящие события для профессионалов в сфере информационных технологий. На портале также есть форум, на котором пользователи могут оставлять комментарии и задавать вопросы.

Участники APT 17 размещали комментарии на TechNet и создавали профильные страницы, содержащие закодированные IP-адреса C&C-сервера, которые направляли вариант бэкдора BLACKCOFFEE на C&C-сервер злоумышленников. В результате деятельности киберпреступников система безопасности TechNet скомпрометирована не была, однако такая тактика может успешно сработать на других интернет-площадках и форумах, отметили специалисты.

Большинство хакерских групп предпочитают компрометировать без труда манипулируемые сайты, что ведет к довольно быстрому обнаружению их деятельности и местоположения. Тактика, применяемая APT 17, более искусна, но далеко не нова. К примеру, известны случаи, когда несколько зомби-сетей использовали профили в Twitter в качестве канала связи. По словам экспертов, ранее APT 17 уже эксплуатировала популярные поисковые системы, в том числе Google и Bing, для маскировки своей активности и расположения серверов.

Как прогнозирует сотрудница FireEye Лора Галанте (Laura Galante), в недалеком будущем подобное кодирование и обфускация станут довольно популярной тактикой среди хакерских группировок по всему миру.

Эксперты проанализировали способность антивирусов к самозащите

Исследователи применили к антивирусным продуктам доступные универсальные техники атак.

По мере развития антивирусных технологий совершенствуется и вредоносное ПО. Злоумышленники оснащают его новым функционалом, позволяющим обходить, отключать и деактивировать антивирусные решения. В связи с этим инструменты для обнаружения вредоносного ПО должны иметь механизм самозащиты.

В то время, как при анализе антивирусных продуктов большинство исследователей обращают внимание на их производительность и эффективность, эксперты из Digital Security решили выяснить, следят ли разработчики антивирусного ПО за тенденциями и модифицируют ли свои продукты в соответствии с новыми угрозами.

«Самозащита антивируса и ее обход в ряде случаев означает обход всего механизма детектирования вредоносного кода. Этот прием часто используется при реализации целенаправленных атаках или в программах с деструктивным, блокирующим данное ПО функционалом», - сообщается в отчете Digital Security.

Под самозащитой антивируса исследователи подразумевают обеспечение безопасности собственных файлов, директорий, интерфейсов, конфигурационных данных в реестре и процессов. Для анализа эксперты отобрали ряд самых популярных решений – McAfee, ESET, Symantec, AVG, Avira, Dr. Web, K aspersky, Panda и Avast.

В ходе проверки продуктов использовалась специальная программа, которая получает на вход в качестве параметров данные о технике и цели, и применялись доступные универсальные методы, не нацеленные на конкретный продукт и не использующие их архитектурные слабости. В общей сложности исследователи применили шесть видов атак – Proxy Inject, Duplicate Handle, Shim engine, PageFile, RegSafe (RegStore) и Reparse-Point. За каждую отраженную атаку антивирусный продукт получал по баллу.

Наилучшие результаты (6 баллов из 6) продемонстрировал K aspersky Internet Security 15. На втором месте расположился AVAST Free Antivirus (5 баллов из 6), которому не удалось отразить атаку RegSafe (RegStore). Немного хуже оказался результат DrWeb 10 (4,5 балла из 6) – антивирус не отразил атаку RegSafe (RegStore) и проактивно отразил Proxy Inject. Наихудшие показатели продемонстрировали McAfee Total Security 2015, AVG Internet Security 2015, Trend Micro Antivirus+ 2015 и Panda Internet Security 2015, заработавшие только по 2 балла.

«Очевидно, некоторые компании попросту не отслеживают эволюцию публичных методов атак, лишь подтверждая тем самым абсурдность выбранной ими архитектуры. […] И пока ситуация не изменится, атакующие всегда будут на шаг впереди защиты.», - сделали вывод исследователи из Digital Security.

Вирусы продолжают крушить сервера немецкого парламента
​
Вредоносные вирусные программы, ранее атаковавшие базу данных немецкого парламента, продолжают активность, сообщает электронная версия журнала Spiegel, по данным которого ущерб может составить миллионы евро.
​
"Вирусы все еще активны", — цитирует издание неназванный источник в парламенте.

Подозревают, что программа могла быть произведена российскими хакерами и используется спецслужбами.

Речь идет о кибератаке на парламентскую информационную сеть Parlakom в начале мая, которая содержит около 20 тысяч аккаунтов политиков, в том числе канцлера Ангелы Меркель.

Сообщается, что данные из сети до сих пор продолжают утекать в неизвестном направлении. Не исключено, что придется не только заменить программное обеспечение сети, но и саму технику в бундестаге.

Согласно информации издания, немецким экспертам удалось определить программу, которая была использована для атаки, а также расшифровать часть кода.

Структура программы — так называемого "трояна", пишет журнал, — напоминает программу, которую в 2014 году уже использовали в ходе хакерской атаки на парламентский сайт. Тогда в атаке тоже подозревали иностранную спецслужбу.

Разработчики трояна защитили себя от проблем законом о копирайте
​
Израильская компания Flash Networks добилась удаления из открытого репозитория HTML-кода веб-страниц, куда она внедряла скрипты для показы рекламы. Объясняя свое требование, разработчик сослался на американский закон о защите авторского права.
​
Израильский разработчик вредоносного приложения для перехвата интернет-трафика и внедрения рекламы в веб-страницы Flash Networks воспользовался законом о защите авторских прав и об ограничении копирования для того, чтобы скрыть методы своей работы, сообщает TechCrunch.

Разработчик из Бангалора под псевдонимом Thejesh GN, пользуясь услугами индийского оператора Airtel, обнаружил, что компания использует полулегальный рекламный троян Flash Networks Layer8 для внедрения в HTML-код незашифрованных веб-страниц JavaScript-кода, заставляющего веб-браузеры абонентов Airtel показывать рекламу, которой изначально на страницах нет.

После того как он опубликовал на американском сайте GitHub код страницы с внедренным вредоносным скриптом, ему пришло письмо от юридической компании Solicis Lex. Выступая от лица разработчиков инструмента, Flash Network, юристы потребовали удаления всех упоминаний об обнаруженном стороннем коде под угрозой судебного преследования. Объясняя свои требования, разработчики решения сослался на американский закон «Об авторском праве в цифровую эпоху» (Digital Millennium Copyright Act — DMCA).

Запрос на удаление кода также был отправлен администрации GitHub. На момент написания статьи соответствующая публикация на сайте, размещенная Thejesh GN, была уже удалена.

Вредоносная вставка в HTML-коде веб-страницы.

Flash Networks — поставщик решений для монетизации и оптимизации мобильного интернета, согласно официальному описанию компании. Что же касается Layer8, то это «решение для монетизации без участия клиента, которое совершает революцию в принципах взаимодействия операторов со своими абонентами и позволяет операторам объединять усилия с поставщиками OTT-услуг вместо того, чтобы бороться с ними». В феврале 2015 г. компания сообщила, что за последние полгода решение Layer8 было выбрано семью операторами, общая абонентская база которых составляет свыше 200 млн пользователей.