Треть хакерских атак против Китая совершена американцами

Треть хакерских атак против Китая совершена американцами

Александр Панасенко

Треть хакерских атак на китайские сайты и компьютеры в 2013 году была осуществлена из США, следует из отчета национального агентства интернет-безопасности Китая. Количество хакерских атак на китайские сайты и компьютеры, осуществленных из-за рубежа, за 2013 год выросло на 62%.

Около 11 миллионов компьютеров перешли под контроль зарубежных серверов, 61 тысяча web-сайтов были взломаны иностранными хакерами, сообщает агентство, сообщает digit.ru.

В основном атаки совершались злоумышленниками из США, Южной Кореи и Гонконга. В Китае регулярно подвергаются опасности важные информационные системы, а вся система безопасности страны находится под угрозой, заявляет агентство.

На прошлой неделе газета The New York Times опубликовала статью, основанную на информации Эдварда Сноудена, о ведущемся с 2007 года шпионаже американских служб против китайского производителя телекоммуникационного оборудования Huawei. В США отвергли обвинения в шпионаже.

Новый червь Crigent заражает Word и Excel и использует Windows PowerShell

Новый червь Crigent заражает Word и Excel и использует Windows PowerShell

Исследователи из Trend Micro  обнаружили  новое семейство вредоносного ПО, заражающего файлы Word и Excel – червь Crigent, так же известный как Power Worm. Вместо того, чтобы создавать или включать выполняемый код, червь использует Windows PowerShell, которая является мощной интерактивной оболочкой/инструментом, поддерживающей все версии Windows. Примечательно, что вся активность Crigent осуществляется именно через скрипты PowerShell, поэтому ИБ-администраторы, следящие за появлением в системе вредоносного ПО, могут пропустить его.

Червь попадает на компьютер в виде инфицированного документа Word или Excel, загруженного пользователем. После открытия он загружает из сети Tor и сервера Polipo два дополнительных компонента – персональный web-кэш/прокси. Злоумышленники маскируют файлы (изменяя их имена), пряча данные в записях DNS. Копии этих файлов хранятся на легитимных хостах облачных сервисов (в данном случае, в Dropbox и OneDrive), а их URL прячется в записях DNS.

Соединения Crigent с C&C-сервисом осуществляется через Tor и Polipo. Используемый URL содержит два идентификатора GUID: {C&C server}/get.php?s=setup&mom={GUID #1}&uid={GUID #2}

Существует несколько способов обнаружения червя внутри системы. Во-первых, подозрение может вызывать присутствие во внутренней сети Polipo и Tor. Стоит отметить, что используемые червем .DOC и .XLS больше не являются расширениями по умолчанию. Версии Office от Office 2007 и выше используют по умолчанию расширения .DOCX и .XLSX, с поддержкой более ранних форматов в целях обратной совместимости. Поэтому присутствие большого количества новых файлов, использующих старое расширение, может быть признаком присутствия Crigent.

Число DDoS-атак на объекты в РФ в 2013 г выросло на 178%

Число DDoS-атак на объекты в РФ в 2013 г выросло на 178%

Александр Панасенко

Количество DDoS-атак на государственные и коммерческие инфраструктурные институты России в 2013 году выросло на 178%, тогда как в прежние годы их темпы роста не превышали в среднем 15%, согласно данным Национальной ассоциации инноваций и развития информационных технологий (НАИРИТ).

Доклад об угрозах информационной безопасности объектов инфраструктуры российской экономики был подготовлен экспертами НАИРИТ совместно с Институтом системного анализа РАН и Институтом социально-экономической модернизации. Результаты исследования были доложены на заседании комиссии Государственной думы РФ по развитию стратегических информационных систем, пишет digit.ru.

Как следует из доклада, общий объем потерь отечественной экономики от попыток незаконного электронного вмешательства за 2013 год превысил 1,3 триллиона рублей.

«В наше время изменилась парадигма ведения военных действий. Взамен традиционных средств на первый план выходит информационное и кибероружие. Нам необходимо в срочном порядке принять меры по предотвращению подобного вмешательства, в первую очередь, за счет создания эффективных отечественных средств информационной инфраструктуры. В России существует богатый опыт разработки и эксплуатации стратегических информационных систем, создания собственных технологий информационной безопасности. Этот опыт необходимо использовать в масштабах страны», — заявила президент НАИРИТ Ольга Ускова.

Бывший сотрудник Microsoft арестован за раскрытие коммерческой тайны, связанной с Windows 8

Бывший сотрудник Microsoft арестован за раскрытие коммерческой тайны, связанной с Windows 8

В среду, 19 марта, был арестован бывший главный архитектор программного обеспечения Microsoft Алекс Кибкало (Alex Kibkalo), в последнее время занимавший пост директора по продакт-менеджменту в 5nine Software. Предположительно, причиной ареста стало раскрытие коммерческой тайны, связанной с Windows 8.

Согласно иску, поданному в Окружной суд США Западного Вашингтона, бывший сотрудник Microsoft (русский по национальности, проживающий в Ливане), проработавший в компании семь лет, передал секретную информацию о Windows неназванному блогеру из Франции.

По результатам расследования, проведенного технологическим гигантом, Кибкало «загрузил проприетарное программное обеспечение, включая еще не выпущенные обновления для устройств, работающих на базе Windows 8 RT и ARM, а также Microsoft Activation Server Software Development Kit (SDK) на компьютер в Редмонде, Вашингтон, а впоследствии в свою личную учетную запись в Windows Live SkyDrive», после чего предоставил французскому блогеру ссылку.

В иске сообщается, что ранее этот блогер уже был известен благодаря публикациям в Twitter и на своем личном сайте скриншотов еще не выпущенных версий Windows. Вполне вероятно, что причиной такого поступка Кибкало стало желание отомстить Microsoft. В 2012 году, еще до своего ухода из компании, он получил низкую оценку работы. Тогда эксперт пригрозил, что уволится, если в его характеристику не будут внесены изменения.

Крупный ритейлер Sally Beauty Holdings признался в утечке данных платежных карт своих клиентов

Крупный ритейлер Sally Beauty Holdings признался в утечке данных платежных карт своих клиентов

В понедельник, 18 марта, крупная компания Sally Beauty Holdings, специализирующаяся на продаже косметических средств, заявила об утечке данных платежных карт своих клиентов. Данный инцидент, возможно, связан с реализацией проекта по обновлению POS-терминалов в американских магазинах ритейлера.

Представители Sally Beauty Holdings, которой принадлежат 4 669 торговых точек в США,  сообщили  об обнаружении свидетельств тому, что около 25 тыс. записей, содержащих информацию кредитных карт, стали доступными и, возможно, были удалены. Напомним, что 5 марта нынешнего года компания заявляла о проведении расследования «слухов» об уязвимости, хотя причины волноваться не было.

Данные, которые, предположительно, были похищены, являются так называемым «Track 2″ – информацией о номере платежной карты и сроке ее действия, содержащейся на магнитной ленте. «Track 1″ содержит номер карты, срок ее действия, а также имя и фамилию держателя, а «Track 3″ используется довольно редко.

В расследовании принимают участие эксперты из Verizon совместно с Секретной службой США (United States Secret Service). Однако о масштабах утечки они предпочитают не говорить, пока следственные действия не будут полностью завершены. Что касается Sally Beauty Holdings, то представители компании также воздерживаются от комментариев по поводу инцидента.

Судя по годовому  отчету  ритейлера, в 2013 году были обновлены POS-терминалы в 2 450 магазинах. Напомним, что масштабные утечки данных платежных карт клиентов Target и Neiman Marcus были вызваны именно вредоносным ПО, попавшим в POS-терминалы.

Безопасность личных данных сотрудников налоговой службы США под угрозой

Безопасность личных данных сотрудников налоговой службы США под угрозой

Александр Панасенко
Безопасность персональных данных почти 20 тыс. сотрудников Службы внутренних доходов США (СВД) оказалась под угрозой из-за халатности, проявленной одним из их коллег. Об этом во вторник сообщил глава американского налогового ведомства Джон Коскинен.

В письме, разосланном подчиненным, он сообщил, что один из сотрудников взял домой съемный компьютерный диск, в памяти которого хранились имена, адреса и данные карточек социального страхования нынешних и бывших работников СВД, а также подрядчиков. По словам Коскинена, этот человек работал с данным диском на личном компьютере, не оборудованном соответствующей системой защиты, передает itar-tass.com.

«На данный момент у нас нет свидетельств тому, что персональная информация была похищена или использована неправомерным образом», — говорится в заявлении пресс-службы СВД.

Со своей стороны Коскинен уведомил сотрудников, что инцидент не связан с данными налогоплательщиков. Он также отметил, что сейчас представители его ведомства связываются с людьми, сведения о которых теоретически могли попасть в руки злоумышленников.

 

АНБ превратило Евросоюз в «базарную площадь»

АНБ превратило Евросоюз в «базарную площадь»

Американские спецслужбы во главе с АНБ США превратили Европейский Союз и их партнеров по НАТО в «базарную площадь», чтобы иметь широкие возможности по шпионажу за многими гражданами ЕС. С таким заявлением в пятницу выступил Эдвард Сноуден в Европейском Парламенте.

Напомним, что сейчас Сноуден находится в России, поэтому в Европарламенте  он присутствовал посредством связи. Ранее Европарламент пригласил Сноудена на слушания по вопросам массовой слежки со стороны США за европейцами.

В заявлении Сноудена говорится, что АНБ США работало с национальными агентствами безопасности стран ЕС, чтобы получить как можно более широкий доступ к данным европейцев. По его словам, слежка была часто объединена с партнерскими программами со странами ЕС и зачастую проводилась при их помощи, однако в АНБ активно пользовались ситуацией и получали как можно более широкий спектр данных, пишет cybersecurity.ru.

АНБ ранее настаивало на том, чтобы члены ЕС изменили их законы, открыв путь к массовому наблюдению за гражданами. Сама АНБ шпионила за Европой, через подразделение FAD (Foreign Affairs Division). Также он отметил, что американская и британская разведки целенаправленно занимались изучением европейских и американских законов, чтобы найти в них бреши, которые бы позволяли на более или менее легальных основах собирать данные о жителях ЕС. Отдельно Сноуден отметил, что иногда АНБ прикрывалось антитеррористическими операциями, чтобы собирать данные, которые выходили далеко за пределы антитеррористических операций.

«Усилия, направленные на интерпретацию новых полномочий из неочевидных законов и операций — это преднамеренная стратегия, чтобы избежать общественной критики и общественных организаций, требующих ограничения доступа к данным», — говорит Сноуден. По его словам, в последнее время международное подразделение АНБ активно развивало деятельность в Швеции и Нидерландах, а также в Новой Зеландии. «Ранее США оказывали давление на Германию, чтобы изменить закон о неприкосновенности почты и переписки»,- говорит Сноуден.

«Многие разведведомства каждой из стран получили инструкции от АНБ, иногда под видом Министерства обороны США и других органов, о том, как работать с целью расширения доступа к данным. В конечном итоге, разведка США планировала получить возможность ведения шпионажа за любым отдельно взятым гражданином без какой-либо законодательной подоплеки», — говорит Сноуден.

Он отметил, что АНБ старалось работать с каждым разведывательным ведомством в Европе по отдельности, дабы получить от каждой отдельной страны «недостающий кусок мозаики из данных». Иногда работа с разведывательными ведомствами велась напрямую в обход законодательных норм, заключил Сноуден. «Намеренно создавались условия, затрудняющие гражданам защиту их собственных данных и частной жизни. Спецслужбы конкретной страны зачастую добивались возможности мониторинга сетей, тогда как по ранее заключенным соглашениям доступ к этому получал и Вашингтон», — говорит Сноуден.

«В результате этого создавалась большая базарная площадь, где государство-член ЕС, такой как Дания, предоставляло АНБ доступ к своим секретным данным, тогда как у Дании и Германии есть ряд соглашений, которые технически позволяли слушать немцев через соглашения с датчанами», — говорит Сноуден. Вдобавок к этому, особое внимание АНБ США уделяло точкам обмена трафика и сетевого присоединения, чтобы получить возможность прослушивать данные всех пользователей, прикрываясь законами страны, в которой точки обмена трафиком располагались.

Сноуден, стремящийся получить убежище в ЕС, также высказал свое мнение относительно решения проблемы массовой слежки. «Достаточно легко развернуть системы шифрования на конечных точках, таким образом, массовая слежка станет неэффективной с экономической точки зрения. В результате этого, правительства вернутся к традиционной системе наблюдения, когда человек становится объектом наблюдения только после того, как попадает под достаточно серьезные подозрения. Традиционные методы более эффективны, нежели массовая слежка», — говорит он. «В любом случае, я верю в то, что шпионаж играет важную роль и должен продолжаться», — говорит он.

Напомним, что в среду на этой неделе Европарламент будет голосовать по законопроекту, который выведет данные европейцев из рамок торгового соглашения ЕС-США. Помимо этого, Евродепутаты будут рассматривать приостановку двух соглашений с США по обмене банковскими данными, а также о принципе Safe Harbor для американских компаний, владеющих европейскими данными.

Более 162 тысяч сайтов на WordPressбыли использованы для DDoS-атаки

Более 162 тысяч сайтов на WordPressбыли использованы для DDoS-атаки

В последнее время злоумышленники все чаще прибегают к DDoS-атакам, при этом весьма масштабным. В частности, эксперты из Sucuri говорят о том, что в одном из недавних инцидентов безопасности были задействованы более 162 тысяч сайтов на базе WordPress. Известно, что все ресурсы работали с активным по умолчанию протоколом вызова удаленных процедур XML-RPC.

Как утверждают эксперты, атака осуществляется посредством генерации потока запросов Layer 7. При этом все сайты могут отправлять сотни тысяч запросов в секунду.

Судя по всему, большинство запросов содержат случайное значение («?4137049=643182»), необходимое для очистки кэша и полной перезагрузки страницы. По данным Sucuri, подобные атаки весьма успешны, поскольку они способны быстро нарушить работу сервера.

Эксперты компании также уверены, что DDoS-атаки с задействованием сайтов с уязвимостью XML-RPC могут быть более масштабными. Узнать, не является ли сайт частью атаки, можно посредством проверки файла регистрации на наличие POST-запросов к файлу XML-RPC. Также существует база, созданная Sucuri, в которой содержится список задействованных в инцидентах безопасности ресурсов.