лаки лучано

Пользователи
  • Публикаций

    115
  • Зарегистрирован

    14 сентября
  • Посещение

  • Победитель дней

    3

Весь контент лаки лучано

  1. Майские праздники обернулись для сотни владельцев карт «Кукуруза» хищением денежных средств. Мошенники получили доступ к логинам и паролям от мобильного и интернет-банка, а далее, пользуясь уязвимостью приложений, подключили Apple Pay и вывели средства. Сейчас проблема устранена, хотя вопросы к уровню безопасности «Кукурузы» в целом остаются. Начиная со 2 мая на сайте Banki.ru стали появляться жалобы владельцев карт «Кукуруза» о хищении у них средств. Жертвы атаки получили СМС, что их карта подключена к Apple Pay, сразу после этого были выведены деньги на номер Tele2. Все жертвы указывают, что СМС или пуш-уведомлений с кодом подтверждения для подключения Apple Pay они не получали. Карта «Кукуруза» — это мультифункциональная бонусная платежная карта, которую предлагает своим клиентам объединенная компания «Связной/Евросеть». Карта работает в платежной системе Mastercard, эмитент карты РНКО «Платежный центр». Жертвы атаки указывали, что причин хищения две — утечка их логинов и паролей, а также возможность подключения в мобильном приложении «Кукурузы» Apple Pay без подтверждения операции СМС или пуш-уведомлением. Собеседник “Ъ”, знакомый с ходом расследования инцидента, сообщил, что при атаке применялся метод «смежного взлома» — был атакован сервис, где были данные о владельцах «Кукурузы». «Часть паролей совпала и удалось совершить вход, часть была просто похожа и злоумышленникам взлом не удался»,— отметил он. Общая сумма ущерба, по словам знакомых с ситуацией собеседников “Ъ”, могла составить несколько миллионов рублей. В «Евросети» и РНКО факт хищения средств у владельцев «Кукурузы» подтвердили, отметив, что среди 20 млн выпущенных карт доля пострадавших невелика. «Это обычная активизация мошенников перед праздниками,— пояснили в РНКО "Платежный центр".— Суммарно мы получили менее 100 обращений» По словам СЕО компании «Связной/Евросеть» Александра Малиса, пострадали 80 владельцев карт. В РНКО «Платежный центр» отметили, что не были взломаны системы РНКО и его партнеров. «По имеющейся информации, был взломан один из социальных сервисов, не связанный с "Кукурузой", далее злоумышленники проверяли — не совпадает ли логин и пароль на сервисе с логином и паролем в мобильном или интернет-банке»,— отметили там. Взломанный сервис до установления всех фактов атаки не называют. В компании «Связной/Евросеть» отметили, что аномальное количество попыток входа с неверным паролем фиксировалось с 1 мая, с 4 мая начали поступать жалобы клиентов, а 6 мая были установлены основные обстоятельства атаки и ужесточили параметры мониторинга. Именно в эти дни, отмечают в компании, начали сбрасывать пароли клиентов, которые потенциально были скомпрометированы, а также ввели обязательную двухфакторную аутентификацию на подключение Apple Pay. По словам Александра Малиса, также прошло обновление мобильного банка, которое ввело дополнительное подтверждение при смене устройства, а также защиту от подбора логина и пароля для входа. «Похищенные средства удалось остановить,— отмечает господин Малис.— Всем пострадавшим они были возвращены». В компании говорят о похищении около 2 млн руб. В РНКО «Платежный центр» уверяют, что нарушений положения ЦБ «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» допущено не было, так как оно относится к переводам денежных средств, а привязка карты к Apple Pay не является операцией по переводу. Подключение к Apple Pay было реализовано в соответствии с требованиями Apple и политиками риск-менеджмента. Любое усложнение бизнес-процесса отрицательно влияет на удобство использования, в компании соблюдают баланс между безопасностью и удобством, отметили там. Банки, работающие с Apple Pay, указывают, что без подтверждения СМС привязывать карту опасно, хотя сервис этого не требует. «Банк получает информацию об уровне риска как учетной записи Apple ID, так и об устройстве, к которому осуществляется привязка карты, но эта информация носит лишь рекомендательный характер,— отметил собеседник “Ъ” в крупном банке.— Для подтверждения факта того, что привязка инициирована держателем карты, используют СМС». Ранее эксперты Positive Technologies отмечали, что больше половины мобильных банков не защищены от подбора логина и пароля, операции повышенной важности совершаются в приложениях без второго фактора в 77% банков. По словам директора центра мониторинга и реагирования на кибератаки Solar JSOC Владимира Дрюкова, вне зависимости от факта утечки логинов и паролей мобильное приложение при подобном способе хищения показало две серьезные уязвимости — отсутствие защиты от смены устройства при входе в мобильный банк и отсутствие защиты от подбора номера. Сама по себе схема с Apple Pay не нова, по ней атаковали американские банки несколько лет назад, и даже идентификация клиента с помощью пуш-уведомлений не защищает здесь от хищения, указывает эксперт по безопасности банковских систем Positive Technologies Тимур Юнусов.
  2. Компания Intel опубликовала сведения о новом классе уязвимостей в своих процессорах - MDS (Microarchitectural Data Sampling). Как и прошлые атаки класса Spectre новые проблемы могут привести к утечке закрытых данных операционной системы, виртуальных машин и чужих процессов. Утверждается, что проблемы сперва были выявлены сотрудниками и партнёрами Intel в ходе внутреннего аудита. В июне и августе 2018 года информацию о проблемах в Intel также передали независимые исследователи, после чего почти год велась совместная работа с производителями и разработчиками операционных систем по определению возможных векторов атак и доставке исправлений. Процессоры AMD и ARM проблеме не подвержены. На основе выявленных проблем исследователями из Грацского технического университета (Австрия) разработано несколько практических атак по сторонним каналам: • ZombieLoad - позволяет извлечь конфиденциальную информацию из других процессов, операционной системы, виртуальных машин и защищённых анклавов (TEE, Trusted Execution Environment). Например, продемонстрирована возможность определения истории открытия страниц в Tor browser, запущенном в другой виртуальной машине, а также извлечения используемых в приложениях ключей доступа и паролей • Source: https://zombieloadattack.com/zombieload.pdf • Прототип эксплоитов для Linux и Windows: https://github.com/IAIK/ZombieLoad • RIDL - позволяет организовать утечку информации между различными изолированными областями в процессорах Intel, такими как буферы заполнения, буферы хранения и порты загрузки. Примеры проведения атаки показаны для организации утечек из других процессов, операционной системы, виртуальных машин и защищённых анклавов. Например, показано как узнать содержимое хэша пароля root из /etc/shadow при периодических попытках аутентификации (атака заняла 24 часа); • Source: https://mdsattacks.com/files/ridl.pdf • Код для проверки: https://github.com/vusec/ridl • Video: https://www.youtube.com/watch?v=JXPebaGY8RA Кроме того показан пример проведения атаки с использованием JavaScript и WebAssembly при открытии вредоносной страницы в движке SpiderMonkey (в современных полноценных браузерах подобная атака маловероятна из-за ограничения точности таймера и мер для защиты от Spectre). Представители проекта Chromium считают, что добавления дополнительной защиты в браузер не требуется и можно обойтись исправлениями на уровне ОС. • Video: https://www.youtube.com/watch?v=KAgoDQmod1Y • Fallout - даёт возможность читать данные, недавно записанные операционной системой и определять раскладку памяти ОС для упрощения проведения других атак. • Source: https://mdsattacks.com/files/fallout.pdf • Store-To-Leak Forwarding - эксплуатирует оптимизации CPU по работе с буфером хранения и может применяться для обхода механизма рандомизации адресного пространства ядра (KASLR), для мониторинга состояния операционной системы или для организации утечек в комбинации с гаджетами на базе методов Spectre. • Source: https://cpu.fail/store_to_leak_forwarding.pdf Выявленные уязвимости: * CVE-2018-12126 - MSBDS (Microarchitectural Store Buffer Data Sampling), восстановление содержимого буферов хранения. Используется в атаке Fallout. Степень опасности определена в 6.5 баллов (CVSS); * CVE-2018-12127 - MLPDS (Microarchitectural Load Port Data Sampling), восстановление содержимого портов загрузки. Используется в атаке RIDL. CVSS 6.5; * CVE-2018-12130 - MFBDS (Microarchitectural Fill Buffer Data Sampling), восстановление содержимого буферов заполнения. Используется в атаках ZombieLoad и RIDL. CVSS 6.5; * CVE-2019-11091 - MDSUM (Microarchitectural Data Sampling Uncacheable Memory), восстановление содержимого некэшируемой памяти. Используется в атаке RIDL. CVSS 3.8. Суть выявленных проблем в возможности применения методов анализа по сторонним каналам к данным в микроархитектурных структурах, к которым приложения напрямую не имеют доступа. Речь ведётся о таких низкоуровневых структурах, как буферы заполнения (Line Fill Buffer), буферы хранения (Store Buffer) и порты загрузки (Load Port), которые являются более мелкими составными блоками, чем кэш первого уровня (L1D), кэш загрузки данных (RDCL) или L1TF (L1 Terminal Fault), и соответственно включают меньше информации и обновляются более интенсивно. Атаки по сторонним каналам на микроархитектурные структуры существенно сложнее в проведении по сравнению с методами восстановления содержимого кэша и требуют отслеживания и анализа значительных объёмов данных для определения их связи с определёнными адресами в памяти (по сути, атакующий не может целенаправленно перехватить определённые данные, а может длительное время накапливать утечки и применять статистические методы для реконструкции определённых видов данных). Кроме того, атака затрагивает только данные на том же физическом ядре CPU, что и код атакующего. Предложенные методы определения содержимого микроархитектурных структур основываются на том, что данные структуры используются при спекулятивной обработке исключений (fault) или операций load и store. При спекулятивном выполнении содержимое внутренних структур перенаправляется для обработки в регистры или кэш. Спекулятивные операции не завершаются и результат отбрасывается, но перенаправленное содержимое можно определить при помощи методов анализа кэша по сторонним каналам. Порты загрузки используются процессором для получения данных из памяти или подсистемы ввода/вывода и предоставления полученной информации в регистры CPU. Из-за особенности реализации данные от старых операций загрузки остаются в портах до их перезаписи новыми данными, что позволяет косвенно определить состояние данных в порте загрузки при помощи манипуляций с исключениями (fault) и инструкциями SSE/AVX/AVX-512, загружающими более 64 бит данных. В подобных условиях операции загрузки спекулятивно засвечивают устаревшие значения данных из внутренних структур в зависимые операции. Похожим образом организуется утечка через буфер хранения, применяемый для ускорения записи в кэш CPU и включающий в себя таблицу адресов, значений и флагов, а также через буфер заполнения, который содержит данные, пока отсутствующие в кэше L1 (cache-miss), на время их загрузки из кэшей других уровней. Проблема затрагивает модели процессоров Intel, выпускаемые с 2011 года (начиная с 6 поколения). При этом аппаратно уязвимости блокируются начиная с некоторых моделей 8 и 9 поколений Intel Core и 2 поколения Intel Xeon Scalable (проверить можно через бит ARCH_CAP_MDS_NO в IA32_ARCH_CAPABILITIES MSR). Уязвимости также уже устранены на уровне прошивок, микрокода и операционных систем. Многие производители серверов, ПК и ноутбуков к моменту раскрытия сведений об уязвимостях успели выпустить обновления прошивок (например, Lenovo). По оценке Intel потеря производительности после активации исправления для большинства пользователей не превышает 3%. При отключении технологии Hyper-Threading снижение производительности может доходить до 9% в тесте SPECint_rate_base, до 11% при активных целочисленных вычислениях и до 19% при выполнении серверных Java-приложений (при включенном HT снижение производительности почти отсутствует). Исправления практически не влияют на производительность операций, связанных с вводом/выводом. В macOS отмечается провал производительности многопоточных приложений при отключении hyper-threading до 40%. В ядре Linux защита от MDS добавлена в сегодняшних обновлениях 5.1.2, 5.0.16, 4.19.43, 4.14.119 и 4.9.176. Метод защиты строится на очистке содержимого микроархитектурных буферов в момент возвращения из ядра в пространство пользователя или при передаче управления гостевой системе, для чего используется инструкция VERW. Для работы защиты требуется наличие поддержки режима MD_CLEAR, реализованного в свежем обновлении микрокода. Для полной защиты также рекомендуется отключить Hyper Threading. Для проверки подверженности системе уязвимости в ядро Linux добавлен обработчик "/sys/devices/system/cpu/vulnerabilities/mds". Для управления включением различных режимов блокирования уязвимости в ядро добавлен параметр "mds=", который может принимать значения "full", "full,nosmt" (отключение Hyper-Threads), "vmwerv" и "off". Обновления пакетов уже выпущены для RHEL и Ubuntu, но пока остаются недоступны для Debian, Fedora и SUSE. Исправление для блокирования утечек данных из виртуальных машин сформировано для гипервизора Xen и VMware. Для защиты систем виртуализации, выполняющих вызов команды L1D_FLUSH перед передачей управления другой виртуальной машине, и для защиты анклавов Intel SGX достаточно обновления микрокода. Исправления также доступны для NetBSD, FreeBSD, ChromeOS, Windows и macOS (для OpenBSD исправлений ещё нет). • Source: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00233.html
  3. Управлением Следственного комитета по Минской области завершено расследование уголовного дела о причинении ущерба отечественному оператору связи. Обвинения по нескольким статьям Уголовного кодекса предъявлены 24-летнему жителю Минска и 23-летнему уроженцу Гродненской области. Следствием установлено, что обвиняемые вступили в преступный сговор с находившимися за пределами страны неустановленными лицами и за денежное вознаграждение занимались нелегальным пропуском международного голосового интернет-трафика в Республику Беларусь. Для реализации преступных действий мужчины в различных областях страны снимали квартиры, жилые помещения с наличием высокоскоростного доступа к интернету. С помощью специального оборудования, программно-технических средств перераспределяли компьютерную информацию и преобразовывали поступающий в нашу страну международный телефонный сигнал в обход национального оператора электросвязи. Кроме этого, они имели возможность прослушивать беседы личного характера граждан, чьи звонки перенаправляли. Таким образом, за несколько месяцев обвиняемые получили доход в сумме более 23 тысяч рублей за нелегальный пропуск трафика в обход РУП «Белтелеком», которое, в свою очередь, потеряло более 43 тысяч рублей в виде непроизведенных платежей от иностранных операторов связи. В ходе расследования проведено более полутора тысяч допросов, исследованы изъятое оборудование и иные радиоэлектронные устройства. С целью установления фактических обстоятельств следователями были направлены поручения в страны ближнего зарубежья для оказания правовой помощи. Действия обвиняемых квалифицированы по ч. 2 ст. 216 (причинение ущерба при отсутствии признаков хищения, совершенное группой лиц) Уголовного кодекса, ч. 1 ст. 233 (незаконная предпринимательская деятельность, сопряженная с получением дохода в крупном размере), ст. 352 (неправомерное завладение компьютерной информацией) Уголовного кодекса. На имущество подследственных наложен арест. Со стороны жителя Минска предпринимаются меры по возмещению незаконно полученного дохода. Вину он признал частично, к нему применена мера пресечения в виде личного поручительства. Второй обвиняемый заключен под стражу. Уголовное дело передано в прокуратуру для направления в суд.
  4. Ежегодный отчет по интернет-безопасности от экспертов SiteLock показал, что в 2018 году количество атак на веб-сайты выросло на 59%, достигнув среднего значения в 62 инцидента в сутки. Криптоджекинг и SEO-спам теряют популярность, а технологии скрытного присутствия, напротив, получают все большее распространение. По словам экспертов, злоумышленники все чаще не стремятся установить контроль над сайтом, перехватывая лишь отдельные интернет-сессии. В результате они могут надежно закрепиться на скомпрометированном ресурсе, причем обнаружить постороннее ПО можно только с помощью специализированных средств интернет-безопасности. С другой стороны, многие веб-администраторы ошибочно полагают, что мониторингом их сайтов должны заниматься сторонние контролеры. По их мнению, поисковики отслеживают присутствие вредоносного ПО и автоматически уведомляют зараженные площадки. На самом деле в 2018 году поисковые машины заблокировали лишь 15% зараженных сайтов — на 4 п. п. меньше, чем в 2017-м. «[Такие сервисы] крайне неохотно пополняют свои черные списки, чтобы не причинять владельцам сайтов лишних неудобств, — поясняют эксперты. — Блокировка может сильно ударить по репутации ресурса, сократить поток посетителей и поступающую прибыль». Большинство администраторов все же понимает необходимость проактивного подхода к безопасности. Как следствие, количество зараженных площадок на протяжении 2018 года оставалось примерно на одном уровне — около 1% от всех существующих сайтов. В абсолютном выражении это 17,6 млн ресурсов. На половине из них исследователи обнаружили бэкдоры, shell-зловреды и нелегитимно модифицированные файлы (filehacker). Все эти программы, которые исследователи отнесли к проверенной временем классике, обеспечивают преступникам скрытное присутствие с возможностью модифицировать и красть данные. Чаще всего преступники используют в своих атаках межсайтовый скриптинг, SQL-инъекции и межсайтовую подделку запросов. Исследователи видят угрозу в растущей популярности свободных CMS WordPress, Joomla! и Drupal, на которых сегодня работает почти 40% сайтов. Эти решения открывают Интернет для неопытных вебмастеров, которые не справляются с настройками безопасности. «Мы изучили 6 млн ресурсов на базе этих CMS и обнаружили хотя бы одну уязвимость [из трех самых популярных] на 20% WordPress-сайтов, 15% площадок на Joomla! и 2% — на Drupal, — уточняют эксперты. — Проблемы присутствуют даже на последних версиях систем, а значит, простая установка обновлений не гарантирует безопасность». Специалисты прогнозируют, что в 2019 году преступники будут действовать еще незаметнее, отказываясь от «шумных» атак в пользу скрытных методов проникновения. Веб-администраторам следует самим заботиться о собственной защите, чтобы вовремя блокировать возникающие угрозы. • Source: https://www.securityweek.com/website-infections-holding-steady-1-attacks-becoming-stealthier-report
  5. Главное следственное управление Нацполиции расследует уголовное производство, в рамках которого установлено, что "с 19 по 25 января 2019 года неустановленные лица, действуя по предварительному сговору, совершили несанкционированное вмешательство в работу автоматизированной системы АО Первый украинский международный банк (ПУМБ), что привело к подделке информации, и причинило значительный ущерб банковскому учреждению". Об этом сообщает Finbalance. В ходе следствия получены доказательства того, что "в период с 19 по 25 января 2019 года, клиент по карточному счету, используя мобильное приложение системы ПУМБ-онлайн, осуществил большое количество операций по пополнению разных номеров телефонов оператора связи Киевстар, что стало причиной несанкционированного овердрафта по карточному счету на общую сумму 172 100 грн". Учитывая это, суд удовлетворил ходатайство следователей и предоставил им доступ к документам, которые находятся в АО Киевстар и касаются ряда телефонных номеров. По заключению полиции, "есть все основания считать, что эти номера мобильных телефонов могли использоваться во время совершения уголовных преступлений, для дальнейшего вывода похищенных денег и их обналичивании, а также при общении соучастниками преступлений между собой". Также суд удовлетворил ходатайство следователей и предоставил им доступ к документам ПУМБ, касающимся нескольких его клиентов, и лиц, "которые были разработчиками мобильного приложения системы ПУМБ-онлайн". Дополнено. В ПУМБ сообщили, что хакерской атаки на банк не было. "На счету клиента возник несанкционированный овердрафт, по факту которого банк подал заявление в правоохранительные органы. На сегодня проводятся досудебные следственные действия", - пояснили в банке. • Source: finbalance.com.ua/news/khakeri-pohrabuvali-bank-akhmetova
  6. Раскрыты сведения о критической уязвимости (CVE-2019-3568) в мобильном приложении WhatsApp, позволяющей добиться выполнения своего кода через отправку специально оформленного голосового вызова. Для успешной атаки ответ на вредоносный вызов не требуется, достаточно поступления звонка. При этом часто подобный вызов не оседает в журнале звонков и атака может остаться незамеченной пользователем. Уязвимость не связана с протоколом Signal, а вызвана переполнением буфера в специфичном для WhatsApp VoIP-стеке. Проблему можно эксплуатировать через отправку на устройство жертвы специально оформленной серии пакетов SRTCP (Secure Real-time Transport Protocol). Уязвимость проявляется в WhatsApp для Android (исправлено в 2.19.134), WhatsApp Business для Android (исправлено в 2.19.44), WhatsApp для iOS (2.19.51), WhatsApp Business для iOS (2.19.51), WhatsApp для Windows Phone (2.18.348) и WhatsApp для Tizen (2.18.15). Получив контроль за приложением WhatsApp атакующий может контролировать шифрованную переписку внутри приложения, перехватывать звонки и SMS, передавать данные с микрофона и камеры, получить доступ к хранилищу, фотографиям и адресной книге, анализировать сетевую активность. Атака на WhatsApp также может быть первой ступенью для эксплуатации системных уязвимостей и получения полного контроля за операционной системой. Интересно, что в проводимом в прошлом году исследовании безопасности WhatsApp и Facetime проект Zero обратил внимание на недоработку, позволяющую отправлять и обрабатывать связанные с голосовым вызовом управляющие сообщения на стадии до принятия звонка пользователем. WhatsApp было рекомендовано удалить данную возможность и показано, что при проведении fuzzing-проверки отправка подобных сообщений приводит к крахам приложения, т.е. ещё в прошлом году было известно, что в коде имеются потенциальные уязвимости. После выявления первых следов компрометации устройств в пятницу инженеры Facebook выпустили обновление с исправлением клиентского ПО и обходным путём обеспечили блокировку лазейки на уровне серверной инфраструктуры. Пока не ясно как много устройств было атаковано с использованием уязвимости. Сообщается лишь о не завершившейся успехом попытке компрометации в воскресенье смартфона одного из правозащитников при помощи метода, напоминающего технологию NSO Group, а также о попытке атаки на смартфон сотрудника правозащитной организации Amnesty International. Проблема без лишней огласки была выявлена израильской компанией NSO Group (или у хакерских групп был выкуплен готовый эксплоит), которая смогла использовать уязвимость для организации установки на смартфоны шпионского ПО для обеспечения слежки правоохранительными органами. Компания NSO заявила, что очень тщательно проверяет клиентов (сотрудничает только с правоохранительными органами и спецслужбами) и расследует все жалобы на злоупотребления. В том числе сейчас инициировано разбирательство, связанное с зафиксированными атаками на WhatsApp-приложения правозащитников. NSO отвергает причастность к конкретным атакам и заявляет лишь о разработке технологий для спецслужб, но пострадавший правозащитник намерен в суде доказать, что компания разделяет ответственность c клиентами, злоупотребляющими предоставленным им ПО, и продавала свои продукты службам, известным своими нарушениями прав человека. Компания Facebook инициировала расследование о возможной компрометации устройств и на прошлой неделе в частном порядке поделилась первыми результатами с Министерством юстиции США, а также уведомила о проблеме некоторые правозащитные организации для координации информирования общества (в мире насчитывается около 1.5 млрд установок WhatsApp). • Source: http://archive.is/kDz13 • Source: https://www.facebook.com/security/advisories/cve-2019-3568
  7. В длительное время двое жителей Забайкальского края 25 и 28 лет внедряли вредоносное программное обеспечение на смартфоны граждан, получали при этом доступ к их банковским картам. Затем преступники похищали деньги, переводя их на другие счета или рассчитываясь при онлайн-покупках продукции в интернет-магазинах. Сообщения о списании денежных средств блокировались программным вирусом и смс-сообщения не приходили пользователям
  8. Полицией Канады разыскивается четверо мужчин, подозреваемых в организации атак двойных трат на биткойноматах в разных городах страны. Предположительно, в сентябре прошлого года ими было осуществлено 112 транзакций, половина из которых пришлась на Калгари. Другие атаки проводились в городах Виннипег, Торонто, Монреаль, Шервуд Парк, Оттава и Гамильтон. Личности злоумышленников неизвестны, и полиция Калгари обратилась к населению с просьбой оказать помощь в их установлении. Судя по всему, биткойноматы принимали транзакции с нулевым подтверждением, и злоумышленники воспользовались этим для проведения атак двойных трат биткоинов в обмен на наличные. В общей сложности за 10 дней мошенникам удалось совершить 112 транзакций и заработать около $200 000. Средняя сумма транзакции составляла около $1800. Предполагается, что такие транзакции стали возможными благодаря инструменту replace-by-fee, разработанному канадским программистом Bitcoin Core Питером Тоддом (Peter Todd). Хотя данный инструмент был разработан совершенно с другой целью, он позволяет «освобождать» транзакции, заплатив дополнительную комиссию. В комплекте содержится инструмент «двойных трат», который Тодд описывает следующим образом: «Последовательно создает две транзакции. Первая отправляет обозначенную сумму на оговоренный адрес. Вторая осуществляет двойную трату данной транзакции с транзакцией с более высокой комиссией». В общей сложности в Калгари установлено 45 биткойноматов двух ведущих производителей - Genesis Coin (наиболее популярный) и Lamassau. Возможность продавать биткоины предоставляет только 21 терминал. Эти биткойноматы принадлежат разным компаниям, в число которых входят Bitnational, Bitcoin Solutions и Bitcoiniacs. Предположительно, владельцы терминалов самостоятельно настраивают условия осуществления транзакций. На некоторых терминалах установлен дневной лимит продаж до $9000. Позволяют ли эти компании осуществление транзакций с нулевым подтверждением, неизвестно.
  9. Китайскими средствами массовой информации были опубликованы сведения о расследовании мошенничества в особо крупных размерах. Мошенники продавали криптоэнтузиастам поддельные устройства для майнинга. Таким образом злоумышленникам удалось заработать $300 млн., что соответствует примерно 2 миллиардам юаней. Предприимчивые дельцы основали в Китае фирму Lianxin Tech, которая просуществовала целых 4 месяца. За это время «предприниматели» смогли продать доверчивым гражданам, которые желали заняться добычей криптовалют, более 300 000 единиц поддельного майнингого оборудования. Аферисты завлекали инвесторов утверждая, что с помощью их майнеров можно добывать два вида виртуальных активов – имеющую определенную известность монету Filecoin и собственный токен компании CAI. Согласно расчетам, которые аферисты предоставляли потенциальным жертвам, их оборудование стоимостью $850 имело быструю окупаемость. Потраченные деньги должны были вернуться уже через два месяца. По заверениям представителей Lianxin Tech, их майнеры показывали высокую производительность в 47 CAI за сутки. Якобы 100 машин могли добывать уже 7000 токенов всего за 24 часа. Примечательно, что монета CAI торговалась лишь на одной бирже, которую предусмотрительно создали сами аферисты. Так что злоумышленники легко манипулировали ценой токена, которая постоянно росла, тем самым еще больше привлекая интерес криптоэнтузиастов. Более того, мошенники предлагали инвесторам стать агентами компании, продавать псевдомайнеры другим заинтересованным лицам и получать 10% от сделок, если продажа состоялась. Это значительно повысило прибыль аферистов. О мошенничестве стало известно благодаря случаю. Один из майнеров обнаружил, что оборудование продолжает «добывать» токен CAI даже после отключения электричества. А к тому времени, как потерпевшие обратились в полицию, мошенники успели скрыться, прихватив всю выручку. Совершенно естественно, ни одной настоящей монеты Filecoin обладатели ферм от Lianxin Tech не добыли. В настоящее время полиция Китая ведет расследование данного факта.
  10. Исследователи Intezer Labs опубликовали отчет, посвященный конкуренции между майнерскими группировками Pacha и Rocke. Группировка Pacha была замечена специалистами осенью 2018 года. Считается, что это китайский коллектив, чей основной вектор атак — скрытый майнинг. Rocke, в свою очередь, обнаружена экспертами Cisco Talos летом 2018 года. Основное направление работы группы – майнинг криптовалюты Monero. Обе группировки ищут в интернете открытые или плохо защищенные серверы и облачные сервисы, а затем заражают их многофункциональной малварью. Наиболее агрессивной из этих двоих можно назвать группу Pacha. Так, для своих атак хакеры используют малварь Linux.GreedyAntd, которая способна удалять и блокировать многие майнинговые вредоносы из зараженных систем, в частности, малварь конкурирующей группировки Rocke. Rocke тоже демонстрируют похожее поведение и по-прежнему имеет преимущество перед Pacha. Так, в начале 2019 года вредоносы Rocke научились избегать обнаружения и избавляться от облачных защитных решений. Впрочем, сейчас группировка Pacha активно наверстывает упущенное. Например, недавно хакеры стали эксплуатировать крайне популярную среди злоумышленников уязвимость в Atlassian Confluence. Эксперты Intezer Labs подчеркивают, что «война» между Pacha и Rocke лишний раз доказывает, что парадигма изменилась: теперь злоумышленники стремятся заражать майнинговой малварью не простых пользователей и отдельные ресурсы, но играют по-крупному и нацелены на облачную инфраструктуру и уязвимые Linux-серверы, а ради новых целей готовы жестко конкурировать друг с другом. • Source: https://www.intezer.com/blog-technical-analysis-cryptocurrency-mining-war-on-the-cloud/
  11. В 2018 году нигерийские BEC-мошенники увеличили свою активность более чем в полтора раза. Чаще всего под удар злоумышленников попадают компании из высокотехнологичного сектора, оптовой торговли и промышленности. Таковы результаты исследования аналитиков Unit 42 компании Palo Alto Networks, которые с 2014 года наблюдают за нигерийской киберпреступностью. Именно эта страна сохраняет глобальное лидерство по числу организаторов BEC-кампаний (Business Email Compromise, мошенничество с деловой перепиской). Эксперты объединяют нигерийских киберпреступников в условную группировку SilverTerrier. За последние четыре года злоумышленники совершили более 1,1 млн атак. Авторы отчета отмечают неуклонный рост как числа членов SilverTerrier, так и масштабов ее деятельности. Если в 2017 году группировка насчитывала около 300 участников, то в 2018-м этот показатель превысил отметку в 400 человек. Количество атак выросло еще больше — на 54%. С течением времени преступники все больше применяют не только социальную инженерию, но и вредоносное ПО. Основную часть используемых программ составляют шпионские трояны и RAT. Как уточняют аналитики, эти инструменты позволяют мошенникам лучше подготовиться к атакам. Кроме того, похищенная информация нередко попадает на черный рынок, обеспечивая злоумышленникам дополнительную прибыль. Среди шпионских зловредов наибольшей популярностью у SilverTerrier пользуются LokiBot, Pony и Agent Tesla. Это простые в настройке программы, которые скрывают свою активность в корпоративном трафике и полагаются на базовые средства доставки данных (загрузка на веб- и FTP-серверы, работа с SMTP-подключениями). Чтобы затруднить обнаружение, мошенники применяют так называемые крипторы — специализированные утилиты для шифрования, обфускации и модификации вредоносных программ. По подсчетам аналитиков, эти средства позволяют SilverTerrier ежемесячно создавать на базе 10 основных шпионских зловредов по тысяче уникальных образцов ПО. Авторы подчеркивают, что собирали статистику лишь среди своих заказчиков, и реальные цифры могут оказаться еще больше. Несмотря на столь масштабное применение шпионских программ, все больше преступников предпочитают им системы удаленного управления — RAT, Remote Access Tools. Эти инструменты позволяют не только копировать важные данные, но и менять настройки пользовательского ПО, подключаться к сетевым ресурсам и совершать прочие действия от лица жертвы. В прошлом году применение RAT выросло на 36%, в то время как количество шпионских программ упало на 26%. Такое положение вещей укладывается в тенденцию, о которой специалисты говорили еще в отчете за 2017 год. Хотя RAT требуют от операторов более серьезных навыков, чем простые шпионы, их атаки приносят большую прибыль за счет возможности добраться до ценных корпоративных ресурсов. В 2018 году самым популярным RAT оказался NanoCore. Примечательно, что преступники используют взломанные версии этой программы, — после того, как ее автор получил за свои труды тюремный срок, купить дистрибутив стало невозможно. На втором месте расположился троян DarkCommett. Эта программа стала известной после того, как сирийское правительство следило с ее помощью за оппозиционерами. Замыкает тройку зловред NetWire. По словам экспертов, защитные системы пока плохо справляются с обнаружением BEC-атак. В 2018 году онлайн-сканер VirusTotal показал, что лишь 53% антивирусных движков блокируют зловредное ПО преступников. К настоящему моменту эта цифра выросла до 58%. В этой связи специалисты призывают бизнес совмещать использование сигнатурных систем с другими решениями. Например, программами, которые определяют вредоносное ПО по особенностям поведения. • Source: https://www.bleepingcomputer.com/news/security/nigerian-bec-scammers-shifting-to-rats-as-tool-of-choice/
  12. Через банкоматы банка «Москва-Сити» на Киевском, Ярославском, Казанском, Ленинградском и Павелецком вокзалах мошенники с 15 по 19 мая прошлого года похитили 9 млн рублей — участники схемы выбирали опцию перевода денег с карты на карту через сервис Mastercard — MoneySend, но в последний момент не подтверждали или отменяли операцию, а средства «переводились» с карт Сбербанка на карты Тинькофф Банка, таким образом, несмотря на отмену операции деньги все равно зачислялись на одни карты и восстанавливались на других, сообщают «Ведомости». Как говорится в вынесенном в марте 2019 года решении Арбитражного суда по иску банка «Москва-Сити», неустановленными лицами произведены множественные однотипные операции перевода денежных средств на общую сумму 134 122 доллара — суд требовал с АО «Компания объединенных кредитных карточек» и Росбанка 9 млн рублей: первый ответчик работает под брендом UCS и обрабатывает операции в банкоматах «Москва-Сити», Росбанк оказывает истцу спонсорские услуги в платежных системах. Суд отклонил иск «Москва-Сити», поскольку истец не представил доказательств, что к убыткам привели действия ответчиков, а 8 мая банк подал апелляцию. По словам эксперта по информационной безопасности банков Николая Пятиизбянцева, изучившего решение суда, ошибка в настройках банкоматов «Москва-Сити» заключалась в том, что банк — владелец банкомата считал, что операцию все еще можно отменить, а банк получателя — что перевод уже отозвать нельзя, далее мошенник отменял операцию, и сумма перевода восстанавливалась на карте отправителя, одновременно эта же сумма приходила и на карту получателя: это было возможно, поскольку по правилам Mastercard для операций MoneySend банк получателя может не согласиться с отменой операции. Инцидент произошел из-за неверно настроенного процессингового сценария UCS, говорится в ответе «Ведомостям» юридического управления банка «Москва-Сити», кредитная организация провела внутреннее расследование, которое не выявило причастность кого-либо из сотрудников банка к инцидентам, а помимо убытков из-за действий мошенников «Москва-Сити» пришлось также заплатить 4 620 евро комиссии за рассмотрение своей претензии к UCS в арбитражном комитете Mastercard, которые банк также пытался взыскать в суде. • Source: https://www.vedomosti.ru/finance/articles/2019/05/13/801163-moshenniki-mastercard-9-mln
  13. Американский инвестор Майкл Терпин (Michael Terpin) выиграл дело против Николаса Труглии (Nicholas Truglia), который, предположительно, украл у него криптоактивы. На прошлой неделе Верховный суд Калифорнии обязал жителя Манхэттена Николаса Труглию выплатить инвестору Майклу Терпину $75.8 млн в качестве компенсации. Как сообщалось ранее, Терпин подал жалобу на Труглию в конце декабря, через несколько месяцев после подачи иска против телекоммуникационного гиганта AT&T за содействие преступникам в краже его криптоактивов. Согласно заявлению, Труглия и другие участники мошеннической схемы украли криптоактивы Терпина, получив контроль над его номером телефона. Труглия был арестован в ноябре за кражу $1 млн в криптовалютах, в том числе путем подделки SIM-карт. В феврале этого года первым, кто был осужден за «SIM-своппинг» – метод взлома, при котором преступник «копирует» телефонный номер жертвы на другую SIM-карту – стал американский студент Джоэл Ортис (Joel Ortiz), который предположительно украл криптовалюты на сумму более $5 млн. Ортис признал себя виновным и был приговорен к десяти годам тюремного заключения.
  14. Исследователь безопасности Виллем де Гроот (Willem de Groot) сообщил, что в результате взлома инфраструктуры атакующие смогли внедрить вредоносную вставку в код системы web-аналитики Picreel и открытой платформы для генерации интерактивных web-форм Alpaca Forms. Подмена JavaScript-кода привела к компрометации 4684 сайтов, применяющих на своих страницах указанные системы (1249 - Picreel и 3435 - Alpaca Forms). Внедрённый вредоносный код осуществлял сбор сведений о заполнении всех web-форм на сайтах и в том числе мог привести к перехвату ввода платёжной информации и параметров аутентификации. Перехваченная информация отправлялась на сервер font-assets.com под видом запроса изображений. Информации о том, как именно была скомпрометирована инфраструктура Picreel и CDN-сеть для доставки скрипта Alpaca Forms пока нет. Известно только что при атаке на Alpaca Forms были подменены скрипты, поставляемые через сеть доставки контента Cloud CMS. Вредоносная вставка была закамуфлирована под массив данных в минимизированной версии скрипта (расшифровку кода можно посмотреть здесь: https://gist.github.com/gwillem/866af760afcef583ebed23948cbbc589 ). Среди пользователей скомпрометированных проектов отмечается много крупных компаний, включая Sony, Forbes, Trustico, FOX, ClassesUSA, 3Dcart, Saxo Bank, Foundr, RocketInternet, Sprit и Virgin Mobile. С учётом того, что это не первая атака подобного рода, администраторам сайтов рекомендуется очень внимательно относиться к размещению стороннего JavaScript-кода, особенно на страницах, связанных с платежами и аутентификацией. • Source: https://twitter.com/gwillem/status/1127617495911804935
  15. Исследователи из французского государственного института исследований в информатике и автоматике (INRIA) и Наньянского технологического университета (Сингапур) разработали усовершенствованный метод атаки на алгоритм SHA-1, существенно упрощающий создание двух разных документов с одинаковыми хэшами SHA-1. Суть метода в сведении операции полноценного подбора коллизии в SHA-1 к коллизионной атаке с заданным префиксом, при которой коллизия возникает при наличии определённых префиксов, независимо от остальных данных в наборе. Иными словами, можно вычислить два предопределённых префикса и если один присоединить к одному документу, а другой ко второму - результирующие хэши SHA-1 для этих файлов будут одинаковы. Данный вид атаки всё ещё требует огромных вычислений и подбор префиксов остаётся сложнее, чем обычный подбор коллизий, но и практическая эффективность результата существенно выше. Если до сих пор самый быстрый метод поиска префиксов коллизии в SHA-1 требовал выполнения 2^77.1 операций, то новый метод снижает число вычислений до диапазона от 2^66.9 до 2^69.4. При таком уровне вычислений ориентировочная стоимость атаки составляет менее ста тысяч долларов, что вполне по карману спецслужбам и крупным корпорациям. Для сравнения на поиск обычной коллизии необходимо выполнить примерно 2^64.7 операций. В прошлой демонстрации Google возможности генерации разных PDF-файлов с одинаковым хэшем SHA-1 использовалась уловка с объединением в один файл двух документов, переключением видимого слоя и смещением метки выбора слоя в область возникновения коллизии. При близких затратах ресурсов (на поиск первой коллизии SHA-1 Google потратил год вычислений на кластере из 110 GPU) новый метод позволяет добиться совпадения SHA-1 для двух произвольных наборов данных. С практической стороны можно подготовить TLS-сертификаты, в которых упоминаются разные домены, но совпадают хэши SHA-1. Подобная возможность позволяет нечистому на руку удостоверяющему центру создать сертификат для цифровой подписи, которую можно применять для авторизации фиктивных сертификатов к произвольным доменам. Проблема также может использоваться для компрометации протоколов, полагающихся на отсутствие коллизий, таких как TLS, SSH и IPsec. Предложенная стратегия поиска префиксов для коллизии подразумевает разбиение вычислений на два этапа. На первом этапе выполняется поиск блоков, находящихся на грани коллизии, путём встраивания случайных переменных цепочек в предопределённый целевой набор различий. На втором этапе на уровне отдельных блоков полученные цепочки различий сопоставляются с приводящими к коллизиям парами состояний, используя методы традиционных атак по подбору коллизий. Несмотря на то, что теоретическая возможность атаки на SHA-1 доказана ещё в 2005 году, а на практике первая коллизия была подобрана в 2017 году, SHA-1 всё ещё остаётся в обиходе и охватывается некоторыми стандартами и технологиями (TLS 1.2, Git и т.п.). Основной целью проделанной работы было желание предоставить ещё один веский аргумент для незамедлительного прекращения использования SHA-1, особенно в сертификатах и цифровых подписях. • Source: https://eprint.iacr.org/2019/459.pdf • Source: https://mailarchive.ietf.org/arch/msg/cfrg/NhiGvOFzcEw108YLwF_ndyfB1k4 Дополнительно можно отметить публикацию результатов криптоанализа блочных шифров SIMON-32/64, разработанных АНБ США и в 2018 году утверждённых в качестве стандарта ISO/IEC 29167-21:2018. Исследователям удалось разработать метод восстановления закрытого ключа на основе двух известных пар из открытого текста и шифротекста. При ограниченных вычислительных ресурсах на подбор ключа требуется от нескольких часов до нескольких дней. Теоретический коэффициент успешности атаки оценивается в 0.25, а практический для имеющегося прототипа - 0.025. • Source: https://eprint.iacr.org/2019/474.pdf
  16. В прошлом месяце стало известно, что некто Lab Dookhtegan обнародовал в Telegram инструменты иранской APT34 (она же Oilrig и HelixKitten), а также информацию о жертвах хакеров и сотрудниках Министерства информации и национальной безопасности Ирана, которые якобы были связаны с операциями группировки. «Сливы» данных продолжились и в этом месяце: по информации издания ZDNet, информация о деятельности групп MuddyWater и Rana Institute также была опубликована в даркнете и в Telegram. Эти утечки отличаются от первой. Дело в том, что теперь не были опубликованы фактические исходные коды какой-либо малвари, вместо этого дампы включают в себя скриншоты исходников, бэкэндов управляющих серверов, а также списки прошлых жертв хакеров. Если подлинность апрельского дампа подтвердили специалисты таких компаний, как Chronicle, FireEye и Palo Alto Networks, то новые утечки уже проверили эксперты ClearSky Security и Minerva Labs, которые уверяют, что эта информация тоже является подлинной. Ответственность за «слив» информации об APT-группировке MuddyWater взяли на себя хакеры из коллектива Green Leakers. Им принадлежат несколько Telegram-каналов и сайтов в даркнете, где они рекламируют и продают данные, связанные с операциями MuddyWater. Так как в данном случае речь идет о продаже информации, в открытом доступе были опубликованы только тизерные скриншоты с исходниками и бэкэндами C&C-серверов, на некоторых из которых видны неотредактированные IP-адреса жертв MuddyWater. Еще один дамп был обнаружен в открытом интернете и Telegram. Этот «слив» написан на персидском языке и включает в себя якобы секретные документы, похищенные у Министерства информации и национальной безопасности Ирана. В этих бумагах фигурирует ранее неизвестный «игрок» — подрядчик Rana Institute, которого власти нанимают для проведения кибершпионских операций с 2015 года. Опубликованную в данном случае информацию уже подтвердили специалисты ClearSky Security. По их данным, в документах содержатся списки жертв правительственных киберопераций, описания конкретных стратегий, скриншоты внутренних сайтов кампаний и даже личные данные членов группировки. Судя по всему, Rana Institute занималась слежкой за гражданами Ирана, как внутри страны, так и за ее пределами. В частности, многие взломы были связаны с проникновением в сети авиаперевозчиков (с целью получить доступ к спискам пассажиров), а также сайтов бронирования (чтобы получить данные о самих бронированиях и информацию о банковских картах). Помимо этого группировка атаковала компании, работающие в сфере ИТ, страхования, а также телекомы и правительственные учреждения по всему миру. Согласно документам, участники Rana Institute также занимались и разработкой собственной малвари, направленной на причинение вреда SCADA-системами (подобно Stuxnet и Shamoon). Впрочем, этот проект оказался неэффективным, а цели не были достигнуты, невзирая на немалый бюджет. • Source: https://www.clearskysec.com/wp-content/uploads/2019/05/Iranian-Nation-State-APT-Leak-Analysis-and-Overview.pdf • Source: https://www.zdnet.com/article/new-leaks-of-iranian-cyber-espionage-operations-hit-telegram-and-the-dark-web/
  17. Эксперты Национального центра кибербезопасности США (National Cybersecurity and Communications Integration Center, NCCIC) обнаружили новый зловред в арсенале APT-группировки Hidden Cobra. Программа под названием Electricfish представляет собой продвинутый сетевой шлюз, позволяя злоумышленникам выгружать данные из закрытых инфраструктур. На счету группировки Hidden Cobra, также известной как Lazarus, множество кампаний, включая взлом азиатских финансовых организаций и запуск эпидемии шифровальщика WannaCry. В 2019 году преступников заподозрили в атаках на российские предприятия. Специалисты NCCIC не раскрывают, как они получили доступ к зловреду. Известно лишь, что ПО обнаружино при расследовании ФБР и Министерством внутренней безопасности США неких атак Hidden Cobra, что позволило однозначно установить связь программы с группировкой. Позже на VirusTotal обнаружились еще три версии программы, которые загрузили на сайт в августе — октябре 2018 года. Как рассказали эксперты, Electricfish создает канал для передачи данных между жертвой и атакующими. Операторы зловреда выставляют необходимые настройки через командную строку: указывают IP-адреса и порты для передачи информации от зараженной машины на управляющий сервер, прописывают данные прокси. После этого Electricfish открывает TCP-подключение, по которому и направляет трафик. Зловред использует специально разработанный протокол, что позволяет действовать незаметно для стандартных систем мониторинга. Использование собственного прокси-сервера обеспечивает злоумышленникам возможность обойти системы аутентификации. По данным центра кибербезопасности Вьетнама (Vietnam Computer Emergency Response Center, VNCERT), несколько месяцев назад зловред использовали в атаках на банки и критическую инфраструктуру этой страны. На момент публикации в открытых источниках нет подробностей об этих инцидентах. Специалисты NCCIC опубликовали индикаторы, по которым можно отследить заражение Electricfish (XML-файл). Эксперты также призывают администраторов проверить актуальность ПО и настройки сетевого доступа на подконтрольных им компьютерах, включить брандмауэры и ограничить пользователям возможность установки стороннего ПО. • Source: https://www.us-cert.gov/ncas/analysis-reports/AR19-129A • Source: https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-21.stix.xml
  18. Киберпреступная группировка, предположительно российского происхождения, выставила на продажу информацию, похищенную у трех американских производителей антивирусного ПО. Речь идет о группировке под названием Fxmsp, долгое время специализирующейся на продаже подлинных корпоративных данных. Как сообщает ИБ-компания Advanced Intelligence (AdvIntel), нелегальный бизнес принес киберпреступникам порядка $1 млн. Fxmsp существует с 2017 года и хорошо известна на киберпреступных форумах. По данным AdvIntel, в группировку входят русско- и англоговорящие хакеры. Главной целью киберпреступников являются правительственные учреждения по всему миру, у которых они похищают конфиденциальную информацию. Продажа похищенных данных осуществляется через надежную сеть доверенных посредников. Как правило, Fxmsp проникает в корпоративные сети через доступные извне серверы RDP и незащищенные активные каталоги (active directory). Кроме того, киберпреступники создали ботнет, способный выуживать у жертв нужные учетные данные. В марте 2019 года Fxmsp заявили, что в их распоряжении оказались данные трех крупных производителей решений безопасности из США, в том числе исходные коды антивирусных продуктов, Искусственного интеллекта и плагинов безопасности. За предоставление доступа к корпоративным сетям и похищенную информацию группировка просит более $300 тыс. Киберпреступники не сообщают названия скомпрометированных компаний, но предоставляют индикаторы для их идентификации. Fxmsp также предлагает «скриншоты папок с 30 терабайтами данных, предположительно извлеченных из корпоративных сетей». В папках содержится документация по разработке, модели искусственного интеллекта, решения для обеспечения безопасности в Сети, а также код антивирусного ПО. • Source: https://www.advanced-intel.com/blog/top-tier-russian-hacking-collective-claims-breaches-of-three-major-anti-virus-companies
  19. Прокуратура Западного округа Пенсильвании предъявила обвинения в отмывании денег предполагаемым совладельцам и администраторам информационного сайта о даркнете Deep Dot Web, сообщает TechCrunch. Граждане Израиля Тэл Прихар (37 лет) и Майкл Фан (34 года) были арестованы накануне: первый в Париже, второй в Израиле. Американские прокуроры утверждают, что обвиняемые размещали реферальные ссылки на рынки незаконных товаров в даркнете и зарабатывали на комиссиях (2-4%) с осуществляемых пользователями покупок. Так, по мнению следствия, с ноября 2014 года по апрель 2019 года они заработали 8155 BTC. Прибыль при этом якобы делилась пополам. Ведомство установило, что 23% всех транзакций, осуществленных на уже несуществующем маркетплейсе AlphaBay, были сделаны после перехода с Deep Dot Web. При этом сайт также привел порядка 198 тысяч юзеров на рынок Hansa. Федеральная полиция Бразилии, где в последнее время проживал Прихар, арестовала еще одного предполагаемого участника преступного сговора и изъяла $200 тысяч, а также нераскрытую сумму в криптовалютном эквиваленте. DeepDotWeb, рассказывавший о новостях даркнета, а также каталогизировавший ресурсы «изнанки интернета». Этот «путеводитель» по даркнету обновлялся ежедневно, оперативно сообщал о закрытии тех или иных ресурсов, их новых адресах, экзит скаме, рассказывал других проблемах торговых площадок и так далее. • Source: https://www.justice.gov/opa/pr/administrators-deepdotweb-indicted-money-laundering-conspiracy-relating-kickbacks-sales
  20. Флеш-накопитель eyeDisk, который преподносился, как устойчивое к любым хакерским атакам устройство, взломано. Проверкой уязвимости USB-носителя занималась британская компания по кибербезопасности Pen Test Partners. В рамках кампании на Kickstarter стартап, занимающийся выпуском eyeDisk, собрал более $21 тыс и с марта этого года начал рассылать устройства первым клиентам. Сотрудник Pen Test Дэвид Лодж нашел способ доступа к резервному паролю устройства, который используется во время сбоя работы накопителя или в случае, когда владелец флешки не может воспользоваться сканированием радужки. Также сообщается, что доступ к USB-носителю можно получить при введении неправильного пароля. Сообщается, что уязвимость устройства была обнаружена при использовании SCSI-команд. Для решения проблемы специалист Pen Test рекомендует разработчикам компании применить дополнительное шифрование. По словам Лоджа, он связался с eyeDisk, и представители компании сказали, что решат проблему, но пока не сделали этого.
  21. В США прокуратура предъявила обвинение во взломе компьютерных систем гражданину Китая, действовавшему в составе хакерской группировки. Обвинение опубликовано на сайте Минюста США. Обвиняемым стал 32-летний Ван Фуцзе и несколько его подельников. В соответствии с данными следствия, хакеры взломали систему американской компании, предоставляющей услуги страхования, Anthem Inc., и трех других компаний, чьи названия не раскрываются. Используя «сложные методы для взлома компьютерных сетей», хакеры с февраля 2014 года работали над получением доступа к их данным. Злоумышленники рассылали фишинговые письма с гиперссылками, при переходе по которым на компьютеры жертв загружалось вредоносное программное обеспечение. В январе 2015 года им удалось взломать базы данных Anthem. Только в случае со страховщиком Anthem хакерам удалось похитить личные данные 78 млн человек. Они получили доступ к именам, идентификационным номерам, датам рождения, номерам соцстрахования, адресам, номерам телефонов, электронной почте, информации о занятости и данным о доходах. «Поскольку пострадавшие компании незамедлительно уведомляли ФБР о злонамеренной киберактивности, мы смогли успешно расследовать и выявить исполнителей этой масштабной и очень сложной схемы. ФБР стремится расследовать кибератаки, которые ставят под угрозу американскую промышленность и американский народ. Как и в этом случае, мы и дальше будем работать бок о бок с компаниями, чтобы обеспечить справедливость», — заявил помощник директора ФБР Мэтт Горхам. • Source: https://www.justice.gov/opa/pr/member-sophisticated-china-based-hacking-group-indicted-series-computer-intrusions-including
  22. Неизвестный пользователь тайваньской биржи BitoPro сфальсифицировал депозит в криптовалюте XRP и вывел с площадки 7 млн монет ($2,17 млн). Механизм работы этого эксплойта подробно описала биржа Bitrue. Злоумышленник заявил об отправке 330 000 XRP, но в действительности передал только 0,003255 XRP с отметкой частичного платежа «tfPartialPayment». «Биржи, которые не так давно реализовали поддержку XRP, не знают о существовании частичного платежа. Они используют неверный параметр «Amount» для записи платежа. Всегда нужно использовать параметр «DeliveredAmount»», — подчеркивает Bitrue. По данным XRPScan, злоумышленник отправил на адрес кошелька BitoPro множество платежей, значение которых в среднем не превышало 0,003255 XRP. Также в реестре отображены две транзакции по 3 млн XRP, которые были успешно зачислены биржей на счет. В общей сложности с 8 марта по 2 мая неизвестные осуществили 148 попыток проведения таких транзакций. Одна из них поступила на собственный адрес Bitrue, но была успешно заблокирована системой биржи
  23. Жительница Белоруссии обнаружила в мессенджере Telegram опасную уязвимость, позволяющую получить доступ ко всей переписке пользователя без запроса спецслужб и передачи ключей шифрования. Выявленная схема действует вне зависимости от страны, и жертвой может стать каждый пользователь сервиса. Недочет системы безопасности Telegram позволяет купить всю историю переписки пользователя в буквальном случае по цене SIM-карты. По информации портала Onliner, жительница Белоруссии, чей Telegram-аккаунт изначально был привязан к белорусскому номеру телефона, переехала в другую страну и купила новую SIM-карту. Приложение «Телеграм» было переустановлено, и владелица учетной записи перерегистрировала ее на новый номер. После получения всех проверочных сообщений в ее смартфоне появилась переписка совершенно незнакомого ей человека, а ее имя и фотография в профиле сменились на другие. Как такое возможно? Получение доступа к переписке другого пользователя стало возможным благодаря тому, что приобретенный белоруской номер телефона ранее принадлежал этому человеку, который в свое время зарегистрировал на него собственный Telegram-аккаунт и пользовался сервисом. Впоследствии оператор связи, вероятно, вернул номер в продажу по причине отсутствия активности предыдущего владельца (такая практика существует и в России). Случившееся может означать, что ни один из пользователей Telegram, позиционирующегося в качестве одного из самых защищенных мессенджеров, не может до конца быть уверенным в том, что его переписка не попадет в чужие руки. Напомним, что в России Telegram официально заблокирован именно по причине нежелания разработчиков передавать спецслужбам ключи для дешифровки личной переписки пользователей. Ответ Telegram Обнаружившая уязвимость пользовательница обратилась в техническую поддержку Telegram, описав все произошедшее. Представители сервиса не смогли решить ее проблему, уточнив, что перерегистрировать номер телефона на другого человека можно лишь при участии его предыдущего владельца. В сложившейся ситуации техподдержка мессенджера посоветовала лишь удалить чужую учетную запись, привязанную к ее новому номеру, со своего смартфона. Другими словами, на 30 апреля 2019 г. у Telegram нет действенного способа решения проблемы – оказавшийся в схожей ситуации любой другой пользователь может не последовать совету и сохранить чужую переписку, в которой может содержаться личная или корпоративная информация, и затем использовать ее в своих целях. (Без)опасный мессенджер Многие эксперты сомневаются в способности сервиса противостоять несанкционированному доступу к личной переписке. Свои сомнения в этом в июне 2016 г. выразили профессор по криптографии Университета Джонса Хопкинса Мэтью Грин (Matthew Green) и профессор Университета Суррея в Великобритании Алан Вудвард (Alan Woodward), а еще раньше, в ноябре 2015 г. исследователь по безопасности Ола Флисбек (Ola Flisback) раскрыл способ определения участвующих в беседе через Telegram пользователей на базе метаданных, которые из мессенджера удалось легко извлечь с помощью командной строки. В апреле 2018 г. бывший сотрудник «В контакте» и «Телеграфа» Антон Розенберг заявил, что у администрации Telegram имеется техническая возможность просматривать сообщения пользователей из «облачных» чатов. Спустя месяц, в мае 2018 г. экспертами по безопасности компании Talos была обнаружена русскоязычная вредоносная программа, ворующая кэш мессенджера, содержащий данные переписки и файлы ключей шифрования. Все эти данные утилита загружала в незашифрованном виде на сервис pcloud.com. В июле 2018 г. стало известно, что Telegram может тайно читать сообщения пользователей, и что вся переписка пользователей подвергается анализу на стороне сервера. Через три месяца, 1 октября 2018 г., в клиенте Telegram для настольных ПК была обнаружена ошибка, позволявшая выдавать IP-адрес собеседника при голосовых коммуникациях. IP-адрес позволяет полностью деанонимизировать пользователя и выяснить его реальные ФИО и адрес проживания. В конце октября 2018 г. выяснилось, что настольная версия мессенджера хранит всю переписку пользователя на его жестком диске в незашифрованном виде. Сообщил об этом эксперт по безопасности Натаниэль Сачи (Nathaniel Suchy). По его словам, Telegram использует базу данных SQLite для хранения сообщений, «которую не очень просто прочитать, но которая в целом лишена шифрования».
  24. По свидетельству Trend Micro, обновленный Linux-зловред AESDDoS способен не только проводить DDoS-атаки, но также загружать майнер криптовалюты на зараженное устройство. Более того, его доставка на устройства ныне осуществляется с помощью эксплойта для Confluence Server. Критическая уязвимость в приложении для совместной работы, получившая идентификатор CVE-2019-3396, возникла из-за ошибки в коде модуля Widget Connector. Использование бреши не требует аутентификации и позволяет удаленно выполнить произвольный код в системе. Соответствующий патч был выпущен 20 марта, а через три недели в открытом доступе появился PoC-эксплойт, который злоумышленники почти сразу взяли на вооружение. Вредоносная программа AESDDoS, известная также как Dofloo, MrBlack и Spike, появилась на интернет-арене в 2014 году. Злоумышленники неоднократно создавали на ее основе ботнеты для проведения DDoS-атак, заражая в основном маршрутизаторы. Как выяснили исследователи, распространяемый посредством эксплойта новый вариант DDoS-бота попадает на устройство не сразу. Вначале удаленно выполняется шелл-команда на загрузку и запуск вредоносного сценария командной оболочки. Тот, в свою очередь, загружает другой шелл-скрипт, который уже устанавливает AESDDoS. Анализ показал, что обновленный зловред владеет несколькими техниками DDoS, в том числе SYN flood, UDP flood и TCP flood. Проникнув в систему, он модифицирует файл rc.local, чтобы обеспечить свой автозапуск при перезагрузке системы. После запуска AESDDoS собирает информацию о зараженном устройстве (модель, процессор, сетевые интерфейсы, запущенные процессы), шифрует ее AES-ключом и отправляет на командный сервер. Оттуда же он получает шифрованные команды на проведение DDoS-атаки или загрузку криптомайнера. Со случаями заражения AESDDoS из-за непропатченного Confluence Server столкнулись также эксперты Positive Technologies: • Source: https://www.bleepingcomputer.com/news/security/vulnerable-confluence-servers-get-infected-with-ransomware-trojans/
  25. В первом квартале 2019 года русскоговорящие кибергруппировки в основном ушли в тень. Лишь немногие из них вели себя активно — например, Sofacy и Turla. Такие выводы сделала «Лаборатория Касперского» на основании мониторинга данных об APT-атаках в первые три месяца 2019 года. Эксперты предполагают, что, возможно, затишье связано с изменениями в этих структурах. Самой «громкой» кампанией прошедшего периода стала операция ShadowHammer — сложная целевая атака на цепочки поставок. В январе, феврале и марте APT-атаки были нацелены преимущественно на жертвы, расположенные в Юго-Восточной Азии. Оставались активными и китайскоговорящие группировки, которые проводили в первом квартале кампании разного уровня сложности. Например, CactusPete, ведущая свою деятельность с 2012 года, внедряла новые варианты загрузчиков и бэкдоров, а также перекомпонованные эксплойты для уязвимости нулевого дня в движке VBScript, ранее использовавшиеся участниками группы DarkHotel. По данным «Лаборатории Касперского», основным драйвером APT-атак в первом квартале была геополитика. Также злоумышленники довольно часто интересовались криптовалютами. Кроме того, атаки часто проводились с помощью коммерческого шпионского ПО: в первые три месяца года были обнаружены, к примеру, новый вариант программы FinSpy и операция LuckyMouse, для реализации которой использовались утекшие в сеть разработки компании Hacking Team. «В подведении ежеквартальных итогов всегда есть элемент неожиданности. В процессе работы нам часто кажется, что не происходит ничего принципиально нового, но в конце квартала мы обнаруживаем, что на самом деле ландшафт угроз продолжает эволюционировать. Например, за прошедшие три месяца мы видели сложные атаки на цепочки поставок, атаки на криптовалюту и сильное влияние геополитики. Конечно, наше представление об угрозах не является полным. Мы знаем, что позже непременно столкнёмся с чем-либо, прежде нам неизвестным. Если некий регион или сектор ещё не появился на наших радарах, это не значит, что он не появится на них в будущем. Вот почему защита от известных и новых угроз остаётся для организаций по всему миру вопросом первостепенной важности», — сказал Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского». Отчёт «Лаборатории Касперского» основан на потоках данных, доступ к которым предоставляется по подписке. Эти потоки включают, в том числе, данные индикаторов взлома и правила YARA, помогающие опознавать и анализировать вредоносное ПО. Больше информации можно найти на intelreports@kaspersky.com. Чтобы избежать риска стать жертвой целевой атаки, «Лаборатория Касперского» рекомендует компаниям предоставить команде SOC доступ к сервису Kaspersky Threat Intelligence, позволяющему получать актуальную информацию о новых и уже известных инструментах, техниках и тактиках, используемых злоумышленниками; внедрить EDR-решение, например Kaspersky Endpoint Detection and Response, для обнаружения и изучения угроз, ориентированных на конечные устройства, и своевременного устранения последствий инцидентов; внедрить корпоративное защитное решение, которое обнаруживает сложные угрозы на уровне сети на ранней стадии, например Kaspersky Anti Targeted Attack Platform; в связи с тем, что многие целевые атаки начинаются с применения фишинга или других техник социальной инженерии, проводить тренинги, которые позволяют повышать киберосведомлённость сотрудников и отрабатывать практические навыки, например с помощью платформы Kaspersky Automated Security Awareness Platform. С полным текстом отчёта об APT-угрозах в первом квартале можно ознакомиться здесь: https://securelist.com/apt-trends-report-q1-2019/90643/