В первом квартале 2014 увеличилось разнообразие информационных угроз

В первом квартале 2014 увеличилось разнообразие информационных угроз

Александр Панасенко

Первый квартал 2014 года был богат на разнообразие новых угроз, среди которых специалисты «Лаборатории Касперского» обнаружили как глобальные операции кибершпионажа, так и новые приемы вирусописателей, нацеленные на массового пользователя. Так, за последние три месяца количество мобильных банковских троянцев увеличилось почти вдвое.

В сентябре прошлого года эксперты «Лаборатории Касперского» сообщили о таргетированной операции Icefog, которую злоумышленники прекратили сразу после разоблачения. Однако в первом квартале эксперты компании обнаружили следующее поколение бэкдоров Icefog – на этот раз Java-версию зловреда, получившую название Javafog. Жертвами нового метода атаки стали три организации, находящиеся в США, причем одной из них оказалась крупная международная нефтегазовая компания. Еще более важной находкой стало обнаружение масштабной кампании кибершпионажа «Маска», целями которой были государственные учреждения, посольства, исследовательские институты и другие компании в 31 стране мира.

В последние несколько месяцев отмечен резкий рост числа пользователей Tor – программы, обеспечивающей анонимную работу в Интернете. Tor не только стал решением для защиты от кражи персональных данных, но и снискал большую популярность среди киберпреступников, которым особенно выгодна анонимность. Например, в феврале эксперты «Лаборатории Касперского» обнаружили первый Android-троянец, который использует в качестве командного центра домен в псевдо-зоне .onion.

«Лаборатория Касперского» также продолжает следить за криптовалютой Bitcoin. Прогнозируя ее будущее в конце прошлого года, специалисты компании отметили, что атаки на биржи и пользователей Bitcoin станут одной из самых громких тем года – этот прогноз уже начинает сбываться. Так, в феврале злоумышленники взломали одну из торговых площадок и украли 770 тысяч Bitcoin, что эквивалентно примерно 350 миллионам долларов США. В стремлении увеличить нелегальные доходы злоумышленники также заражают компьютеры пользователей, чтобы за счет дополнительных ресурсов генерировать больше электронной валюты. По этому принципу действует, например, Trojan.Win32.Agent.aduro, троянец, который занимает 12-е место в рейтинге наиболее часто детектируемых объектов в Интернете по результатам первого квартала.

Что касается мобильных угроз, доля вредоносных программ, нацеленных на Android, составила более 99%. Всего за этот период было обнаружено 110 324 новых мобильных зловредов, а количество мобильных банковских троянцев увеличилось почти вдвое, с 1321 до 2503. Следует также отметить, что почти 89% атак с помощью подобных программ пришлись на российских пользователей. В целом же среди типов мобильных зловредов на первом месте оказались рекламные модули, транслирующие навязчивую рекламу, а долгое время лидирующие SMS-троянцы сместились на второе место – их доля уменьшилась с 34% до 22%.
Всего же по данным облачной инфраструктуры Kaspersky Security Network в первом квартале 2014 года продукты компании заблокировали 1,13 миллиарда атак на компьютеры и мобильные устройства пользователей, а также 353 миллиона онлайн-атак, 39% которых проводились с использованием вредоносных веб-ресурсов, расположенных в США и России.

«По итогам первых трех месяцев можно сказать, что наши прогнозы развития киберугроз на 2014 год начинают сбываться: ускоряются темпы развития киберугроз, в том числе мобильных, получают все большую популярность сервисы для анонимной работы в Сети, позволяющие скрыть свою частную жизнь от слежки, участились атаки на Bitcoin-пулы. Не обошлось в первом квартале и без громких кампаний кибершпионажа – помимо новой активности от знакомых по кампании IceFog хакеров исследовательский центр «Лаборатории Касперского» столкнулся с более сложной и опасной на данный момент кибероперацией «Маска». За ней последовало выявление очередной кампании кибершпионажа Turla, которую мы до сих пор исследуем – на наш взгляд, она сложнее, чем это представлено в материалах, опубликованных другими экспертами по IT-безопасности», – отметил Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».

Пятиклассника осудили за пособничество Anonymous

Пятиклассника осудили за пособничество Anonymous

Кирилл Токарев
12-летний житель канады был признан виновным по трем обвинениям во взломе правительственных вебсайтов. Молодой человек действовал от лица известной хакерской группировки Anonymous. Его деятельность нанесла ущерб в 60 тысяч долларов.

Подросток проживал в пригороде Монреаля и ходил в пятый класс. Во время студенческого восстания в Квебеке в 2012 году (вызванного повышением цен на обучение) он устроил настоящий компьютерный апокалипсис, выведя из строя некоторые важные вебсайты. Для этого использовались DDoS-атаки. В число пострадавших входят ресурсы полиции Монреаля, Института общественного здоровья Квебека, а также сайты чилийского правительства. Адвокат мальчика уверяет, что молодой взломщик был чужд политике. Полученные во время взлома данные он обменивал на видеоигры.

Атака на эти вебсайты, вывела их из строян на 2-4 дня. По оценкам полиции, ужерб от вредоносной деятельности оставил 60 тысяч долларов. Правоохранительные органы также утверждают, что осужденный объяснял другим людям, как осуществить нападения.

Отметим, что в Канаде уже происходили похожие случаи взлома. Например в 2000 году 15-летний парень из Монреаля Майкл Калк (Michael Calce), скрывающийся под кличкой Mafiaboy, был признан виновным в 56 случаях взлома. Его действия принесли ущерб на сумму в $1,7 млн.

США обвиняют иранских хакеров в атаке на серверы ВМФ США

США обвиняют иранских хакеров в атаке на серверы ВМФ США

Александр Панасенко

Власти США обвинили Иран во взломе некоторых компьютеров военноморского флота, сообщает The Wall Street Journal. Издание отмечает, что подобные обвинения звучат на фоне напряженности в отношениях между двумя странами, а также ранее прозвучавших в Иране обвинений относительно заражения вредоносными кодами иранских ядерных объектов. Кроме того, две стороны сейчас находятся в переговорном процессе относительно ядерной программы Ирана.

Официальные представители ВМФ США говорят, что атаки были проведены иранскими хакерами вскоре после того, как в ИТ-системе военного ведомства был проведен программно-аппаратный апгрейд. Известно, что первая хакерская активность была отмечена еще 15 сентября, здесь были заражены вредоносами компьютеры, применявшиеся военными для работы с электронной почтой и рядом внутренних военных сервисов.

В США говорят, что пока нет никаких доказательств того, что хакерам удалось украсть какую-то значимую информацию, однако сам тот факт, что интранет-сети одного из самых защищенных американских военных ведомств стали доступны для хакеров уже заставляет задуматься. WSJ пишет, что последний случай с иранской атакой на объекты ВМФ США указывает на растущий уровень подготовки иранских хакеров, передает cybersecurity.ru.

В официальных американских документах говорится, что быстро выросший уровень подготовки иранских хакеров, это их сотрудничество с Россией. Что касается атаки именно ВМФ, то здесь все логично — именно корабли американских ВМФ стоят в Персидском заливе и первыми могут нанести удар по Ирану. Американские военные говорят, что во время последней атаки никакие закрытые данные о планах ВМФ не были украдены, хотя сама система Navy Marine Corps Internet была скомпрометирована.

ЛК раскрывает таргетированные атаки против Японии и Южной Кореи

ЛК раскрывает таргетированные атаки против Японии и Южной Кореи

Александр Панасенко

Исследовательский центр «Лаборатории Касперского» выпустил отчет, раскрывающий действия кибершпионской группы Icefog, нацеленной на организации Южной Кореи и Японии и наносящей урон поставщикам компонентов оборонной отрасли США. Активность группы началась в 2011 году, а в середине 2012-го ее деятельность приобрела новый масштаб.

«За последние несколько лет мы стали свидетелями множества таргетированных атак, бьющих по самым различным отраслям. Во многих случаях злоумышленники годами присутствовали в корпоративных и правительственных сетях и перехватывали терабайты ценных данных, – прокомментировал Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского». – Но тактика набегов Icefog демонстрирует новую тенденцию: небольшие группы хакеров начинают охотиться за информацией с «хирургической» точностью. Атака продолжается от нескольких дней до недель и, получив желаемое, злоумышленники подчищают следы и уходят. Мы ожидаем роста числа подобных групп, специализирующихся на фокусированных атаках – что-то вроде современных кибернаемников».

Исследование показывает, что среди целей группы были подрядчики оборонной отрасли (например, корейские Lig Nex1 и Selectron Industrial Company), судостроительные компании (DSME Tech, Hanjin Heavy Industries), морские грузоперевозчики, телекоммуникационные операторы (Korea Telecom), медиа-компании (Fuji TV) и Японо-Китайская Экономическая Ассоциация. Взламывая компьютеры, киберпреступники перехватывают внутренние документы и планы организации, данные учетных записей почты и пароли для доступа к внешним и внутренним ресурсам сети, а также списки контактов и содержимое баз данных.

Во время атак злоумышленники используют вредосноные программы семейства «Icefog» (так же известного, как «Fucobha»). Специалисты «Лаборатории Касперского» обнаружили версии «Icefog» как для Microsoft Windows, так и для Mac OSX.

Тогда как в случае других кибершпионских кампаний компьютеры жертв оставались зараженными месяцами или даже годами, позволяя злоумышленникам постоянно перехватывать данные, операторы Icefog обрабатывают свои цели одну за другой: находят и копируют только необходимую информацию, после чего самоустраняются. Чаще всего операторы заранее знают, что им требуется на зараженных компьютерах. Они ищут определенные имена файлов, показывая навыки японского и корейского языков, и когда находят то, что искали — передают на управляющий сервер.

Эксперты «Лаборатории Касперского» с помощью техники «DNS-sinkhole» получили возможность мониторинга 13 из более чем 70 доменов, используемых злоумышленниками. Это предоставило дополнительную статистику по количеству и географии жертв в мире. Также на управляющих серверах в открытом доступе, но в зашифрованном виде были обнаружены журналы с описанием каждого действия, совершенного атакующими на зараженных компьютерах. В некоторых случаях это помогло определить цели атаки и идентифицировать жертв. В дополнение к Японии и Южной Кореи, было зарегистрировано множество попыток соединений из Тайвани, Гонконга, Китая, США, Австралии, Канады, Великобритании, Италии, Германии, Австрии, Сингапура, Белоруссии и Малайзии. В общей сложности, эксперты «Лаборатории Касперского» наблюдали более 4000 уникальных IP-адресов зараженных машин, принадлежащих сотням жертв, 350 из которых пользовались Mac OS X, и лишь несколько десятков – Microsoft Windows.

Основываясь на ряде улик, оставленных атакующими, специалисты «Лаборатории Касперского» предполагают, что члены этой группы могут находиться в одной из трех стран: Китай, Южная Корея или Япония. Стоит также отметить, что практически все внутренние сообщения, найденные во вредоносной программе, были на китайском языке, так же как и ее код с основным языком операционной системы сервера управления Icefog.

В Великобритании предъявлены обвинения хакерам, подозреваемым в хищении более 2 млн долларов из банка Barclays

В Великобритании предъявлены обвинения хакерам, подозреваемым в хищении более 2 млн долларов из банка Barclays

В Великобритании прошли первые слушания по делу хакеров, которых подозревают в хищении 1,3 млн фунтов /2,1 млн долларов/ со счетов клиентов банка Barclays. Магистратский суд столичного района Вестминстер в субботу предъявил официальные обвинения в краже и мошенничестве четырем из восьми предполагаемых преступников.

Фигуранты по этому делу — мужчины в возрасте от 29 до 47 лет — заявили, что не желают оспаривать предъявленные им обвинения. Они останутся под стражей как минимум до следующих слушаний, которые пройдут в уголовном суде присяжных лондонского района Саутворк. Еще четверо подозреваемых ранее были отпущены под залог и сейчас дожидаются решения своей участи на свободе.

Задержания предполагаемых киберпреступников в возрасте от 24 до 47 лет прошли в минувшие четверг и пятницу. По данным полиции, в апреле этого года хакерам удалось получить доступ к компьютерной системе одного из отделений Barclays. Для взлома сети злоумышленники использовали электронный переключатель /KVM/, который можно беспрепятственно купить в любом интернет-магазине. Предполагается, что это устройство было установлено на компьютер сотрудника банка одним из преступников, представившимся инженером.

Расследование деятельности банды хакеров повлекло за собой многочисленные обыски в разных районах Лондона. В домах подозреваемых и их близких были изъяты крупные суммы денег, драгоценности, наркотические средства и кредитные карты.

Следы нового трояна для Mac OS

Следы нового трояна для Mac OS

В сети распространяется новый троян, направленный против компьютеров Mac. Вредоносная программа замаскирована под фотографию с изображением целующейся парочки. Расширение .app, которое позволило бы опознать именно программу, а не графический файл, не отображается при нормальных настройках компьютера.

При клике на иконку изображения троян устанавливается на компьютер пользователя и открывает бэкдор, а также выходит на связь с командным сервером, контролируемым киберпреступниками. Таким образом, хакеры получают возможность удаленного доступа к содержимому компьютера пользователя.

Как сообщает Лайза Майерс, исследователь компании Intego, специализирующейся на защите Mac, механизмы распространения трояна пока неизвестны. Майерс предполагает, что речь может идти о целенаправленной атаке, и изображение целующейся парочки жертвы получают в сообщениях электронной почты. Так же киберпреступники могут изучать поведение своих жертв в сети и размещать троян на сайтах, которые посещаются объектами атаки особенно часто.

Специалистам Intego удалось установить контакт с командным сервером хакеров (в настоящий момент он отключен). Проанализировав информацию о подключившейся к нему системе, сервер загрузил на использованный для теста компьютер Intego логотип хакерской группировки «Сирийская электронная армия». Впрочем, аналитики пока не спешат с выводами. Сирийские хакеры склонны громогласно объявлять о своих акциях, существенно преувеличивая успехи. Пока же они никак не прокомментировали ситуацию с новым трояном.

Бразильские хакеры перепутали NASA и NSA в операции возмездия?

Бразильские хакеры перепутали NASA и NSA в операции возмездия

Бразильские хакеры-патриоты решили отомстить Америке за шпионаж, который осуществляло Агентство национальной безопасности (NSA) в отношении латиноамериканских стран, в том числе Бразилии. Но они плохо поняли, как конкретно называется американская разведка — и по ошибке атаковали сайт Национального космического агентства (NASA), пишут бразильские СМИ.

10 сентября хакерская группировка BMPoC осуществила дефейс 14-ти поддоменов NASA, в том числе сайты института исследования Луны, телескопа Кеплер и портала по астробиологии. На всех разместили фото раненого арабского мальчика, показывающего фигу, и следующий текст:

NASA взломано! Группой #BMPoC

Мы: Cyclone – MMxM – ГЕ0З

Хватит шпионить за нами!

Населению Бразилии не нравится ваша позиция!

Иллюминатов увидели в действии!

Бессердечный Обама! Жестокий! У тебя нет семьи? Кто на всей Земле поддерживает тебя? Никто! Мы не хотим войны, мы хотим мира!!! Не атакуй сирийцев!

На скриншоте — страница сайта NASA после дефейса.

Некоторые из взломанных сайтов не работают до сих пор.

  • kepler.arc.nasa.gov
  • amase2008.arc.nasa.gov
  • event.arc.nasa.gov
  • amesevents.arc.nasa.gov
  • academy.arc.nasa.gov
  • planetaryprotection.nasa.gov
  • virtual-institutes.arc.nasa.gov
  • astrobiology2.arc.nasa.gov
  • nextgenlunar.arc.nasa.gov
  • lunarscience.nasa.gov
  • moonfest.arc.nasa.gov
  • iln.arc.nasa.gov
  • lunarscience.arc.nasa.gov

 

«Яндекс.Деньги» раскрывает информацию о всех транзакциях своих клиентов

«Яндекс.Деньги» раскрывает информацию о всех транзакциях своих клиентов

Сегодня на сайте habrahabr.ru Ивановский Михаил опубликовал пост, рассказывающий о бреши безопасности в сервисе «Яндекс.Деньги».

Согласно информации в блоге, любой магазин, зарегистрированный в сервисе «Яндекс.Деньги» может просмотреть транзакции всех пользователей системы. Для этого необходимо зайти в интерфейс статистики и выбрать «Все» в форме поиска.

На следующем скриншоте виден список оплат за различные услуги:

«Кроме данных на скриншоте доступны суммы, реквизиты платежа номера кошельков и телефонов ВСЕХ плательщиков ВСЕМ магазинам», — утверждает автор.

 

Более 10% крупнейших сайтов признаны уязвимыми, 2% уже в чёрных списках

Более 10% крупнейших сайтов признаны уязвимыми, 2% уже в чёрных списках

Компания Sucuri осуществила проверку миллиона крупнейших сайтов интернета (по версии Alexa) на предмет уязвимостей, устаревшего серверного ПО и зловредов. Результаты плачевны.

Из миллиона сайтов 108 781 признаны небезопасными, а 18 557 из них уже внесены в черные списки антивирусных компаний и поисковых систем. На диаграмме можно увидеть, что самая большая в мире база зараженных сайтов — у McAffee, на втором месте Sucuri Labs, а на третьем — российский «Яндекс», далее следуют Norton, ESET и Google. База вредоносных сайтов «Яндекса» по этой выборке примерно в шесть раз полнее, чем у Google: 2154 штуки против 357.

Еще 4836 сайтов из миллиона заражены поисковым спамом — самым популярным методом инъекций.

Пугающе много сайтов (67 509) работают под устаревшим и уязвимым программным обеспечением. Чаще всего это WordPress.

В конце концов, 44 317 из миллиона популярных сайтов содержали вредоносный код, чаще всего встречались ссылки на эксплойт-пак Blackhole (3000 зараженных сайтов). Почти столько же нашлось случаев iFrame-инъекций и редиректов.

Как видим, тот же «Яндекс» распознает менее 5% зараженных сайтов (2154 из 44317), так что на защиту со стороны браузера или поисковой системы пользователям лучше не надеяться.

Банковские мошенники сочетают DDoS-атаки со взломом учётных записей

Хакеры атаковали сайт сторонников «Единой России»

Александр Панасенк

Сайт Центрального совета сторонников «Единой России» подвергся DDoS-атаке. Как сообщили в дирекции этой организации, в субботу, 30 августа было зафиксировано более тридцати тысяч запросов в минуту, что привело к обрушению сервера.

Атака на сайт продолжалась несколько дней. На данный момент ведутся мероприятия по восстановлению нормальной работы сайта, а также предотвращению повторных атак. В официальном сообщении, опубликованном 2 сентября, говорится, что руководство Центрального совета сторонников партии «Единая Россия» обратилось в Управление «К» МВД России с просьбой провести расследование данного инцидента.

Глава Центрального совета сторонников, член Президиума Генсовета «Единой России» Франц Клинцевич, уверен, что это происки оппонентов. «Сайт сторонников стал реальным информатором и пропагандистом. При этом здесь выступает много людей, в том числе, не имеющих отношения к партии, и в этом есть серьезная электоральная составляющая», – сказал он, передает soft.mail.ru со ссылкой на ИТАР-ТАСС.

Клинцевич не исключает, что сайт сторонников стал объектом атаки именно потому, что сайт партии более защищен с точки зрения информационной безопасности. «В любом случае, это подтверждает, что мы все делаем правильно и на правильном пути», – заключил он.