Первый месяц лета показал, что «высокий сезон» существует не только в туристической индустрии, но и в индустрии инфобезопасности. Июнь выдался невообразимо богатый на «сливы» различной информации — как из баз данных популярных веб-сервисов, так и из баз данных, казалось бы не имеющих никакого отношения к интернету. Усилилась также и активность ботнетов, многие из которых обновили свою структуру и способ распространения. Не отстают от ботнетов и фишеры, начавшие в июне осваивать новые для себя темы.

 

Суровые времена

24 июня 2016 года Госдума РФ приняла сразу во втором и третьем чтениях так называемый «антитеррористический пакет» законопроектов (№ 1039149-6), разработанный депутатом Ириной Яровой и сенатором Виктором Озеровым. СМИ уже назвали эти законопроекты «самыми жесткими за много лет».

К примеру, один из законопроектов подразумевает, что все приложения, которые работают с применением шифрования, обязаны предоставлять ключи для расшифровки данных спецслужбам — причем это не только мессенджеры и почта, а практически все веб-сервисы. Как тут быть с MIME, финансовыми системами (к примеру, SWIFT) и протоколом HTTPS в целом, пока вообще неясно. Другая поправка касается призывов к «оправданию терроризма» в социальных сетях: они приравниваются к заявлениям в СМИ, а наказание составляет до семи лет лишения свободы. Еще одно требование введено для операторов связи: теперь они будут обязаны в течение полугода хранить записи телефонных звонков и сообщений, которыми обмениваются пользователи. Метаданные и вовсе будут сохраняться на протяжении трех лет.

Представители индустрии в целом согласны с мнением журналистов. С критикой «антитеррористического пакета» уже выступили компании Mail.Ru Group и «Яндекс», профильные ассоциации РАЭК и РОЦИТ и даже рабочая группа «Связь и ИТ» при правительстве России. Операторы связи, входящие в «большую четверку» («Мегафон», МТС, «Вымпелком» и Tele2), тоже направили письмо в адрес председателя Совета Федерации РФ Валентины Матвиенко с просьбой отклонить антитеррористический пакет законопроектов. Эдвард Сноуден заявил, что «российский закон Большого Брата неработоспособен, это неоправданное нарушение прав, которое вообще не должно было быть подписано». А Павел Дуров сообщил изданию «Известия», что его компания, занимающаяся разработкой мессенджера Telegram, не собирается выполнять требования «пакета Яровой», невзирая на любые возможные штрафы.

Недоверчивое отношение российских государственных органов к ИТ-индустрии заметно не только в законотворчестве, но и в попытках взаимодействовать с сетевыми ресурсами. К примеру, глава Роскомнадзора Александр Жаров назвал Википедию «ресурсом, который пропагандирует наркотики и самоубийства» после отказа «Викимедиа РУ» от сотрудничества при редактировании контента энциклопедии. «Они против взаимодействия с какими бы то ни было властями, и они делают консенсус недостижимым», — уточнил пресс-секретарь Роскомнадзора Вадим Ампелонский. Учитывая, что технически вносить правки в Википедию может кто угодно, а количество действующих независимых редакторов насчитывает 1,8 миллиона человек, действительно трудно понять, как может выглядеть подобное сотрудничество и в чем конкретно оно должно заключаться.

Впрочем, нельзя сказать, что действия российских властей — это что-то особенное: информационной безопасностью в этом году так или иначе озаботились все страны мира. В США, к примеру, Таможенно-пограничная служба совместно с Министерством внутренней безопасности собираются обязать иностранцев при въезде в страну указывать свои аккаунты в социальных сетях Twitter, Instagram, Facebook или LinkedIn.

 

Изобретательный взлом

В даркнете замечен девайс, способный клонировать пятнадцать банковских карт в секунду с расстояния 8 см. Устройство под названием Contactless Infusion X5 собирает данные о номере карты, сроке ее действия и — если чип хранит расширенный набор данных, то ещё и имя владельца, его адрес и выписку о последних операциях по счету. При этом девайс имеет размеры 98 x 65 x 12,8 мм и весит всего 70 г, так что обнаружить злоумышленника, который пытается украсть данные с твоей карты, нелегко.

Исследователи из Мичиганского университета придумали, как встроить в процессор бэкдор-невидимку, и даже создали такой чип. Бэкдор можно встраивать прямо в процессе изготовления, без ведома разработчика, а обнаружить его практически невозможно.

Исследователи из Иллинойсского университета придумали аппаратный эксплоит, ориентированный на смартфоны: атака под названием VibraPhone превращает вибромотор обычного смартфона в аналог микрофона, который способен улавливать и записывать все окружающие звуки. Правда, для этого сначала пришлось заменить аппаратную схему, работающую с вибромотором, да и качество звука получается не очень хорошим. Но речь разобрать можно, а значит, это вполне реальная аппаратная уязвимость.

Эксперты Pen Test Partners в начале июня отчитались об успешном взломе систем электровнедорожника Mitsubishi. Выяснилось, что модель Mitsubishi Outlander PHEV уязвима перед простейшей техникой атаки — брутфорсом. Автомобиль поставляется с семизначным ключом безопасности (для доступа к Wi-Fi), который можно подобрать максимум за четыре дня. Получив доступ к модулю Wi-Fi, исследователи смогли перехватить управление и отключить сигнализацию автомобиля. Похоже, в недалеком будущем нас могут ждать массовые угоны автомобилей, взломанных через Wi-Fi.

Специалисты компании «Доктор Веб» обнаружили троян-криптовымогатель 1C.Drop.1, который заражал компьютеры с установленными бухгалтерскими приложениями 1С и требовал выкуп. Распространялся троян через почтовую рассылку по базе контрагентов «зараженной» бухгалтерии. Специалисты пишут, что вредоносные файлы для 1С периодически появляются с 2005 года, но полноценный троян-шифровальщик им встретился впервые.

Исследователи из университета имени Бен-Гуриона создали программу, способную похищать информацию при помощи обычного компьютерного кулера. Программа GSMem может передавать данные с зараженного ПК на любой, даже самый старый кнопочный телефон, регулируя обороты вентилятора и транслируя получаемый звуковой шум в код на частоте GSM. Исследователи пишут, что за одну минуту можно передавать от 3 до 15 бит информации, в зависимости от возможностей кулера. Во время тестов «поймать» результат получилось обычным смартфоном на расстоянии 8 м.

INFO

Security Intelligence Report: угрозы нашего времени

Исследователи компании Microsoft опубликовали лаконичный доклад, который является выжимкой из огромного 198-страничного отчета, опубликованного в мае текущего года. Урезанная версия ежегодного доклада кратко обозначила современные сетевые угрозы.

Уязвимости стали серьезнее. 41,8% обнаруженных багов оказались критическими, причем заметный прирост этого числа вызван многочисленными проблемами IoT-устройств. 44,2% уязвимостей в минувшем году были обнаружены не в браузерах и ОС, но в облачных платформах, IoT-оборудовании, роутерах и другой сетевой аппаратуре.

Количество троянов увеличилось на 57% за год. 40% попыток взлома исходят от одних и тех же наборов эксплоитов, и это результат популярности схемы малварь-как-услуга, которая в последнее время все чаще используется злоумышленниками.

Контент Adobe Flash обнаружен на 90% опасных для пользователей веб-страниц. Эксплуатация багов Java выходит из моды, теперь безоговорочным лидером является Adobe Flash.


 

Фишеры на каникулах

Исследователь Алекс Маккау обнаружил новую вредоносную кампанию, получив подозрительное SMS-сообщение, якобы написанное Google. Злоумышленники действуют изобретательно и заранее подготавливают жертву к получению одноразового кода двухфакторной аутентификации. Похоже, старая добрая социальная инженерия никогда не выйдет из моды.

Специалисты Symantec обнаружили, что в июне под ударом оказались любители пиратских игр: потенциально опасный софт начал распространяться через сайты, которые маскируются под торрент-трекеры для геймеров. Злоумышленники подходят к маскировке творчески: используют логотип uTorrent и публикуют специальную инструкцию для обхода механизма защиты игры, но на деле инструкция помогает им отключить UAC — механизм защиты учетных записей Windows.

Фишеры всерьез заинтересовались биткоинами: исследователи из команды OpenDNS выявили более ста ресурсов, имитирующих сайты различных биткоин-кошельков и сервисов. Для привлечения жертв мошенники используют рекламу Google AdWords. Многие из таких сайтов хостятся на IP-адресах, которые ранее уже использовались для фишинговых сайтов банковских порталов и рассылки спама. По мнению исследователей, блокчейн и криптовалюты сейчас находятся в зените славы, так что атаки явно продолжатся, а пользователям стоит внимательнее проверять домены и адреса.

 

Ботнеты месяца

Necurs — один из крупнейших ботнетов в мире, в начале июня попросту исчез с радаров. Обнаружили это исследователи ряда компаний, независимо друг от друга обратившие внимание на внезапное прекращение распространения малвари Dridex и Locky. Dridex — это давно известный банковский троян, а Locky — один из наиболее опасных на сегодняшний день шифровальщиков. Неудивительно, что специалисты заметили их исчезновение очень быстро. Осторожная радость специалистов, как многие и ожидали, не оправдалась: Necurs вернулся в строй и возобновил свою деятельность. Исследователи отмечают, что Necurs уходит в офлайн не первый раз, и в прошлом эти перерывы обычно означали, что операторы ботнета проводят апгрейд инфраструктуры. Пока что Necurs продолжает распространять Locky и Dridex, поэтому неясно, какие неприятные сюрпризы подготовили для индустрии операторы ботнета.

Специалисты компании Imperva в начале июня обнаружили рекламный ботнет, который занимается автоматическим поиском и взломом сайтов через SQL injection. Система бомбардирует сайт-жертву HTTP-запросами, поля которых заполнены кодом T-SQL — расширенной версии SQL для СУБД Microsoft и Sybase. Если инъекция проходит успешно, в различные текстовые поля в базе данных добавляются врезки на HTML, которые отображают до 45 оптимизаторских ссылок. Большая часть из них накручивает рейтинг линк-ферм. Ссылки периодически обновляются ботнетом.

Аналитики компании Sadbottrue нашли крупный ботнет, в который входят около 3 миллионов аккаунтов Twitter. Боты генерируют сообщения на самые разные темы (суммарно уже более двух с половиной миллионов сообщений) и распространяют спам. Исследователи отмечают, что аккаунты ботнета были зарегистрированы в один день, то есть создавались со скоростью около 35 регистраций в секунду. Обычно регистрация большого количества новых аккаунтов тут же привлекает внимание администрации сервиса и подлежит расследованию, но почему-то в данном случае этого не произошло. Кто управляет ботнетом, пока неизвестно.

Исследователи компании Sucuri обнаружили ботнет, состоящий из камер видеонаблюдения. По данным компании, ботнет объединяет 25 тысяч устройств и используется для DDoS-атак уровня Layer 7 (35–50 тысяч HTTP-запросов в секунду), способных вывести из строя практически любой сервер. Почти четверть зараженных девайсов находится на Тайване. Также большое количество инфицированных устройств было замечено в США, Индонезии, Мексике и Малайзии.

INFO

История развития рансомвари

Специалисты «Лаборатории Касперского» представили интересный аналитический материал, в котором суммированы итоге эволюции шифровальщиков и вымогателей за прошедшие годы. На сегодняшний день криптовымогатели являются настоящим бедствием, и новая малварь данного вида появляется практически каждый день. Цифры, представленные в отчете, позволяют понять, насколько все плохо на самом деле.

С апреля 2014 года по март 2015 года наиболее активно распространялись CryptoWall, Cryakl, Scatter, Mor, CTB-Locker, TorrentLocker, Fury, Lortok, Aura, и Shade. Суммарно они атаковали 101 568 пользователей по всему миру, то есть были ответственны за 78% атак такого рода. В 2015-2016 годах ситуация изменилась: теперь топовые позиции принадлежат TeslaCrypt, CTB-Locker, Scatter и Cryakl, которые ответственны за атаки на 79,21% пользователей.

Общее число пользователей, столкнувшихся с вымогательским ПО за 12 месяцев (с апреля 2015 года по март 2016 года), выросло на 17,7% по сравнению с аналогичным периодом в 2014-2015 гг.: от 1 967 784 до 2 315 931 пользователей по всему миру. Число пользователей, атакованных с применением блокировщиков экрана, уменьшилось на 13,03% (с 1 836 673 в 2014-2015 гг. до 1 597 395 в 2015-2016 гг).

93,2% людей, столкнувшихся с вымогателями, были пользователями домашних защитных продуктов. Корпоративных пользователей вымогателей атаковали в 13,13% случаев, то есть число пострадавших удвоилось за прошедшие годы.

 

Крупные сливы

Хакер Peace_of_mind продает информацию более чем о ста миллионах аккаунтов «ВКонтакте». Ранее он выставлял на продажу данные о сотнях миллионов аккаунтов LinkedIn, MySpace и Tumblr. Peace оценил информацию в один биткоин (около 570 долларов по текущему курсу). Одновременно с Peace_of_mind данные VK сумели заполучить и представители агрегатора утечек LeakedSource. Утечка содержит информацию о 100 544 934 аккаунтах «ВКонтакте»: ФИО пользователей, email, номера телефонов, пароли. 92 из 100 проверенных журналистами email-адресов по-прежнему принадлежат активным пользователям социальной сети.

Несколько дней спустя представители LeakedSource сообщили, что ряды скомпрометированных сервисов пополнил Twitter: в даркнете выставлена на продажу информация о 379 миллионах аккаунтов. Уже дважды неизвестный доброжелатель, скрывающийся под псевдонимом Tessa88, предоставлял ресурсу LeakedSource копии свежих дампов — так было с базами аккаунтов MySpace и «ВКонтакте». Теперь Tessa88 поделился базой аккаунтов Twitter, которая, по заверениям хакера, содержит данные 379 миллионов пользователей. Ежемесячное число активных пользователей Twitter колеблется в районе 310 миллионов, поэтому можно предположить, что дамп также содержит данные о неактивных пользователях. В даркнете базу продают за 10 биткоинов (около 5820 долларов).

Небезызвестные хакеры GhostShell слили в интернет информацию примерно о 36 миллионах пользователей, добытую со 110 различных серверов MongoDB, которые были настроены неверно и раскрывали данные любому, кто умеет пользоваться Shodan. Взломщики опубликовали на Pastebin ссылки на архив объемом 598 Мбайт (5,6 Гбайт в распакованном виде), который содержит 110 папок со скриншотами, доказывающими проникновение на сервер, текстовым файлом, описывающим конфигурацию сервера, и дампом хранившейся на нем информации. GhostShell пишут, что публикуют все эти данные, чтобы привлечь внимание к проблеме халатного отношения к безопасности.

Команда проекта uTorrent предупредила своих пользователей о компрометации форумов uTorrent, на которых зарегистрировано более 388 тысяч человек. Судя по всему, дело в платформе Invision Power Board (IP.Board), на базе которой работают форумы проектов. По информации издания Vice Motherboard, сумевшего заполучить образец утечки, компрометации подверглись 34 тысячи пользователей: утекли email-адреса, IP-адреса, имена пользователей и «соленые» хеши паролей (SHA-1).

Эксперты компании Rapid7 подготовили исследование, в рамках которого обнаружили более 20 миллионов открытых FTP и почти 8 миллионов баз MySQL. Также были замечены 14,8 миллиона устройств, открытых для Telnet-соединений. Трафик Telnet не шифруется, поэтому злоумышленникам удается легко перехватить учетные данные. На основе собранной информации исследователи также составили «индекс раскрытия» по странам, в котором Российская Федерация расположилась на девятнадцатом месте из пятидесяти.

Специалисты «Лаборатории Касперского» опубликовали отчет о деятельности подпольной торговой площадки xDedic. Там продают взломанные серверы со всего мира. Неизвестный доброжелатель поделился с исследователями ссылками на списки взломанных серверов, выложенными на Pastebin (суммарно 176 тысяч записей). Информация оказалась подлинной.

Исследователь Крис Викери нашел незащищенную базу CouchDB с данными 154 миллионов американских избирателей, взломанную в результате хакерской атаки. База была размещена в облаке Google Cloud и содержала исчерпывающие данные о каждом гражданине: адрес проживания, город, штат, почтовый индекс, номер телефона, возраст, пол, раса, имя и фамилия, примерный размер ежемесячного дохода, данные об избирательской активности и так далее. Некоторые сообщили о себе даже больше подробностей — например, имеют ли детей (или планируют ли), лицензию на оружие и само оружие, указали адреса своих аккаунтов в социальных сетях.

Хакер TheDarkOverlord, выставил в даркнете данные о медицинской страховке 9 278 352 американцев. За эту базу злоумышленник планирует выручить 750 биткоинов (порядка 490 тысяч долларов по текущему курсу). Согласно объявлению хакера, база данных содержит ФИО пользователей, адреса, города проживания, почтовые индексы, email-адреса, номера домашнего и мобильного телефонов, даты рождения, номера социального страхования и страхового полиса. Такой набор данных может применяться для самых разных типов мошенничества — от открытия банковского кредита до махинаций с подменой личности.

В Сеть попала копия базы данных World-Check — информация о террористах, «высокорисковых» гражданах и организациях, которые подозреваются в отмывании денег или связаны с организованной преступностью, коррупциец и так далее. База содержит такие категории, как терроризм, юридические лица, политики, военные, преступления и наркотики. Исследователь фирмы MacKeeper Крис Викери сообщил, что в базе содержатся данные о более чем 2,2 миллиона субъектов. Официально известно, что этой базой регулярно пользуются более шести тысяч клиентов из 170 стран мира, девять из десяти крупнейших юридических фирм, 49 из 50 крупнейших банков мира, а также более трехсот правительств и спецслужб.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии