Содержание статьи
Банки под угрозой
Прямые атаки на банки, финансовые организации и принадлежащие им ресурсы и оборудование в последнее время становятся обычной практикой. Так, в день президентских выборов в США многие пользователи могли заметить перебои в работе ресурсов Сбербанка, «Альфа-банка», «ВТБ Банк Москвы», Московской биржи и «Росбанка». В «Лаборатории Касперского» случившееся назвали «первой в этом году масштабной DDoS-волной, направленной на российские банки». По данным экспертов компании, хакеры атаковали сайты как минимум пяти известных финансовых организаций из первой десятки.
«Атаки организованы с ботнетов, включающих десятки тысяч машин, территориально распределенных по нескольким десяткам стран. Системы защиты банка отработали надежно, атака была оперативно обнаружена и локализована подразделениями киберзащиты Сбербанка. Сбоев в работе сервиса для клиентов банка не было», — заявили представители Сбербанка.
Ответственность за DDoS-атаки на российские финансовые учреждения взял на себя хакер, известный под псевдонимом vimproduct. Злоумышленник зарабатывает на жизнь, продавая DDoS в качестве услуги, так что устроить атаку ему не составило большого труда. Журналистам vimproduct пояснил, что «Россия вызвала беспокойство некоторых моих клиентов, повлияв на президентские выборы в США». Хакер не признался, кто именно заказал это нападение, но сообщил, что атака обошлась заказчику весьма дорого. Если обычный день услуг vimproduct стоит порядка 25–150 долларов, здесь «сумма, конечно, была совсем другая».
Исследователи компании «Доктор Веб» обнаружили источник атаки — это ботнет, построенный на базе трояна BackDoor.IRC.Medusa.1. Он атаковал сайты «Росбанка» и «Росэксимбанка». Специалисты полагают, что он же ответственен и за атаки на Сбербанк и другие финансовые учреждения.
Как можно догадаться по идентификатору, присвоенному малвари, BackDoor.IRC.Medusa.1 — это IRC-бот, который получает команды при помощи протокола обмена текстовыми сообщениями IRC (Internet Relay Chat). Главное предназначение трояна — организация DDoS-атак. Хотя исследованный образец малвари был обфусцирован с использованием пяти различных средств, аналитики компании установили, что малварь способна выполнять несколько типов DDoS-атак, а также может по команде злоумышленников загружать и запускать на зараженной машине исполняемые файлы.
Представители компании Group-IB предупреждают, что хакеры теперь предпочитают обворовывать банки напрямую, компрометируя банкоматы. Техника атаки, названная специалистами jackpotting (от слова джекпот), за последнее время применялась на территории более чем десяти европейских стран, включая банки Армении, Беларуси, Болгарии, Великобритании, Грузии, Испании, Молдовы, Польши, России, Румынии и Эстонии.
Начало этой серии атак было положено летом 2016 года на Тайване и в Таиланде: записи с камер наблюдения показали, что преступники просто подходили к банкоматам, делали что-то, после чего машины начинали резво выдавать деньги.
Исследователи Group-IB считают, что за происходящим стоит российская хакерская группа Cobalt, названная так из-за одного из инструментов, которым пользуются хакеры, — Cobalt Strike. Также аналитики полагают, что группа Cobalt напрямую связана с другой известной группировкой, Buhtrap, из-за сходства используемых хакерами инструментов.
Впрочем, не снижается активность и обычных троянов-банкеров, нацеленных на кражу реквизитов и паролей пользователей. Так, в начале месяца исследователи «Лаборатории Касперского» описали в блоге компании интересный кейс: банкер, который распространялся через рекламные сообщения сети Google AdSense и благодаря этому поражал даже тех пользователей, которые посещали только привычные «надежные» сайты. География распространения Trojan-Banker.AndroidOS.Svpeng ограничена только РФ и СНГ, а на пике его «популярность» достигала 37 тысяч атакованных пользователей в день.
География атак другого известного трояна, GM Bot, также известного под названиями Acecard, SlemBunk и Bankosy, в этом году значительно расширилась: по данным специалистов компании Avast, вторая версия банкера умеет маскироваться под приложения более чем 50 различных банков и чаще всего заражает пользователей из США, Канады, Австрии, Германии, Польши, Франции, Турции и Австралии. В большинстве случаев GM Bot выглядит как безобидное приложение для Android или маскируется под плагины типа Flash.
И наконец, специалисты компании Fortinet в ноябре обнаружили вирус Banker.GT (для Android), который умеет препятствовать работе антивирусов. Пока что малварь атакует исключительно пользователей пятнадцати банков Германии, однако исследователи отмечают, что авторы трояна могут контролировать и изменять список атакуемых мобильных приложений: Banker.GT имеет собственные шаблоны для приложений каждого банка (чтобы пользователь точно ничего не заподозрил) и связывается с управляющим сервером для получения разных пейлоадов для приложений разных банков.
Картинка с сюрпризом
Растет и активность малвари на социальных сайтах, причем разработчики зловредов становятся все более изобретательными. Специалисты обнаружили в ноябре новый вектор атак, получивший название ImageGate: с его помощью малварь встраивается в изображения и графические файлы, которые далее распространяются в соцсетях. Первым масштабным применением этой атаки стала спам-кампания в социальной сети Facebook, где с помощью SVG-изображений злоумышленники заражали машины посетителей известным вирусом-вымогателем Locky.
Специалисты Check Point вычислили метод, с помощью которого хакеры запускают вредоносный код в социальных сетях, таких как Facebook и LinkedIn. Внимательно посмотри видео процесса заражения и не кликай на файлы с необычными расширениями (SVG, JS или HTA)! Эксперты пообещали опубликовать более подробное техническое описание нового вектора атаки, как только уязвимость будет исправлена на большинстве подверженных ей сайтов.
Впрочем, посещая YouTube, теперь тоже надо быть чрезвычайно бдительным: за последние два-три месяца злоумышленники практически превратили этот популярный видеохостинг в площадку для рекламы и распространения своих «инструментов». В какой-то момент сотрудники Google, очевидно, перестали справляться с захлестнувшей сервис волной демо малвари, а механизмов автоматической фильтрации подобных видео у YouTube еще нет.
Специалисты пишут, что в изученных ими образчиках вредоносного ПО есть скрытый код, который отправляет все перехваченные у жертв данные авторам малвари. От такой «нечестной игры» разработчиков малвари страдают в итоге не только сами скрипт-кидди, которые ищут малварь на YouTube, но и простые пользователи, чьи учетные и платежные данные попадают в сети серьезных преступников.
Софт месяца
В последнее время ИБ-эксперты со всего мира заговорили о безопасности интернета вещей. О том, что IoT-устройства, как правило, защищены из рук вон плохо, известно давно, однако череда недавних DDoS-атак заставила обратить на эту проблему пристальное внимание. Ботнеты на основе Mirai, GafGyt, LuaBot, Kaiten, BillGates, Rex или IRCTelnet сформировали самый настоящий тренд. Проблему признают все, включая Марка Шаттлворта, основателя Canonical (компании, которая стоит за Ubuntu):
«Мы всегда смотрели на Windows как на уязвимую платформу, но теперь старые Linux-устройства оказались настоящей уязвимостью», — признает Марк Шаттлворт.
Новая версия Ubuntu Core 16 для IoT-устройств, официально выпущенная 3 ноября, предназначена для решения данной проблемы. Основным нововведением разработчиков Canonical стала технология Snappy, которая способна защитить IoT-устройства от хакеров и потери данных. Поработали в Canonical и над обновлениями, так что замена прошивки и попытки «заткнуть дыры» на IoT-устройствах больше не будут головной болью для их владельцев. Разработчики Ubuntu уже сотрудничают с крупными вендорами (IBM, Dell), чтобы дать производителям возможность доставлять обновления на свои устройства автоматически.
В Mozilla занимаются другой стороной пользовательской безопасности: разработчики из этой компании выпустили анонсированный год назад аскетичный браузер Focus для iOS с включенным по умолчанию режимом инкогнито. В браузере нет ничего, кроме адресной строки: нет вкладок, списка любимых сайтов, меню. Только адресная строка и одна-единственная кнопка Erase, которая позволяет одним нажатием стереть всю историю, временные файлы и куки. Впрочем, даже если ее не трогать, после закрытия браузера все данные в любом случае будут стерты.
Focus по умолчанию применяет технологии, хорошо знакомые пользователям Firefox: Private Browsing и Tracking Protection. Кроме того, в настройках пользователь может заблокировать рекламные, аналитические и другие трекеры, которые применяются для отслеживания поведения, а также кастомные шрифты и другие сторонние медиафайлы.
Популярный кросс-платформенный FTP-клиент Filezilla тоже получил новое усовершенствование — правда, не в базовой версии. Разработчик, известный под псевдонимом fzss, представил собственный форк FTP-клиента — FileZilla Secure, который наконец-то защищает учетные данные пользователя шифрованием, а не хранит пароли в виде простого текста. Как нетрудно догадаться, fzss пострадал из-за этой особенности FileZilla, после чего и решил самостоятельно решить проблему.
FileZilla Secure доступен на Mac, Linux и Windows (есть в том числе и портативная версия). Специально для параноиков fzss опубликовал и исходные коды, их можно скачать с официального сайта и лично убедиться, что с приложением все в порядке. Энтузиаст собирается поддерживать свою разработку и далее: среди ближайших планов — перевод FileZilla Secure на последнюю версию клиента.
Ну и для равновесия новость с другой стороны баррикад: на новозеландской конференции Kiwicon группа исследователей показала опенсорсный фреймворк Little Doctor, созданный для компрометации приложений чатов, работающих на базе JavaScript. Исследователи продемонстрировали работу своего детища на примере приложений Rocket Chat и Ryver.
«Little Doctor написан в модульном стиле — чтобы создать червя практически на любой платформе, вам понадобится только ваш собственный propagation-модуль. Этот кросс-платформенный червь позволяет похищать файлы любых приложений, которые сообщаются с WebRTC API и Cordova API», — говорят исследователи.
Код Little Doctor опубликован на GitHub, чтобы исследователи безопасности могли взять его на вооружение.
Голоса будущих роботов
На конференции Adobe Max Creativity состоялась презентация будущего аудиоредактора VoCo и его возможностей. Редактор показывает феноменальные результаты: VoCo имитирует голос человека после всего двадцати минут обучения на семплах. Разработчики сразу были вынуждены оговориться, что они, разумеется, понимают, насколько опасна такая функциональность, и работают над этой проблемой.
Это как раз тот случай, когда лучше один раз услышать, поэтому внимание на видеоролик!
Возможности нового редактора Adobe в первую очередь ориентированы на создателей подкастов, представителей киноиндустрии и других сфер деятельности, где возможность подправить аудиодорожку без фактической перезаписи реплик ценится на вес золота. По сути, VoCo должен стать своего рода «голосовым Photoshop».
Microsoft Linux
16 ноября 2016 года можно назвать историческим днем: в этот день на конференции Microsoft Connect(); 2016 компания Microsoft официально объявила о своем присоединении к некоммерческому консорциуму Linux Foundation, который курирует самые разные вопросы, связанные с развитием Linux, его стандартизацией и защитой.
Пятнадцать лет назад Стив Балмер, тогда руководивший компанией, назвал Linux и опенсорс-сообщество раковой опухолью. Но с тех пор многое изменилось: нынешний глава Microsoft, Сатья Наделла, активно наводит мосты с опенсорс-комьюнити. К примеру, компания опубликовала на GitHub исходные коды PowerShell, Visual Studio Code и JavaScript-движка Edge, открыла платформу .NET Core 1.0 и стала, как это ни странно, одной из лидирующих open source компаний. Microsoft активно сотрудничает с Red Hat и SUSE, а летом 2016 года в Microsoft выпустили собственную сборку FreeBSD, добавив ее в Azure Marketplace.
Напомним, что Linux Foundation — далеко не первая организация, связанная со свободным софтом, к которой присоединилась Microsoft. В марте 2016 года компания также вступила в Eclipse Foundation, а президентом фонда Apache Software Foundation на протяжении трех лет остается сотрудник Microsoft Сэм Руби.
Подмена домена
Что ты можешь сказать про символ ɢ? Не правда ли, он похож на маленькую прописную G?
Именно так и думали получатели реферального спама, рассылаемого в начале ноября жителям США с домена secret.ɢoogle.com: сообщения выглядели достоверными, так как приходили от доверенного источника. Спамеры рассылали сообщения Vote for Trump («Голосуйте за Трампа»), возможно оказав в итоге некоторое влияние на результаты американских выборов.
Исследователи из компании Analytics Edge, изучившие ситуацию, объясняют, что к Google этот домен не имеет никакого отношения. Просто какой-то предприимчивый спамер (по данным исследователей — из России) придумал подменить букву G Unicode-символом 0262. Если поставить символы рядом (ɢ и G), разница очевидна, однако пользователи не замечают подмены, глядя на ссылку вида ɢoogle.com.
В последние годы в Сети происходит интернационализация доменных имен, что позволяет пользователям регистрировать домены на родных языках, так что использование подобных символов стало допустимым. Специалисты предрекают новый виток фишинга и спама, с применением подмен.
Обходим блокировку iOS. Снова!
Около месяца назад, в октябре, представители Сбербанка предупреждали, что голосовой помощник Siri может использоваться для хищения средств через функции SMS-банков. В корне проблемы лежит довольно старая тема: обход экрана блокировки iOS при помощи Siri. Недаром исследователи рекомендуют отключать использование Siri — во избежание различных проблем.
Свежий способ обхода экрана блокировки в очередной раз доказывает правоту экспертов. Баг присутствует на iPhone и iPad, работающих под управлением iOS 8 и новее. После эксплуатации бага, помимо доступа ко всем контактам и фото жертвы, атакующий также может выбрать любой контакт из списка и просмотреть все диалоги, которые владелец девайса ранее имел с этим пользователем. На видео можно посмотреть демонстрацию атаки в исполнении самих исследователей — блогеров EverythingApplePro и iDeviceHelps.
Угнать за 70 секунд
В конце 2015 года испанский исследователь Гектор Марко нашел неприятный баг: оказалось, что, если нажать клавишу Backspace 28 раз в тот момент, когда GRUB спросит имя пользователя, появляется rescue shell. 2016 год Марко завершает обнаружением еще одного похожего бага: исследователь выяснил, что если при использовании Cryptsetup зажать клавишу Enter на 70 секунд, то пользователь попадет в root shell initramfs.
Хотя диски при этом все равно остаются зашифрованными, атакующий сможет скопировать такой раздел (например, для последующего взлома) или добраться до содержимого незашифрованных разделов.
Когда Cryptsetup запрашивает у пользователя пароль для расшифровки дисков, файл скрипта /scripts/local-top/cryptroot срабатывает некорректно: через несколько попыток ввода пароля Cryptsetup решает, что работает на медленном устройстве, и позволяет пользователю продолжать подбор. Когда пользователь превышает лимит попыток (примерно через 70 секунд при постоянно нажатой клавише Enter), происходит «вылет» в root shell для отладки «проблемы».
Проблема CVE-2016-4484 актуальна для дистрибутивов на базе Debian (к примеру, Ubuntu) и Fedora. Хотя разработчики Cryptsetup уже представили исправление (версия 2:1.7.3-2), стабильная ветка пока исправления не получила.
