Объемы и мощность DDoS-угроз продолжают расти

Объемы и мощность DDoS-угроз продолжают расти

 Автор: Евгения Ударцева

Согласно исследованиям, проведенным Arbor Networks в третьем квартале текущего года, мощность и количество DDoS-атак продолжают неуклонно расти. По сравнению с 2012 их количество возросло на 350 %. Зафиксировано и увеличение количества задействованных в инцидентах компьютеров.

Благодаря системе мониторинга ATLAS удалось проследить «эволюцию» показателей  за три квартала текущего года. Представитель компании Даррен Энсти резюмирует: «Чем больше провайдеров к нам подключается, тем полнее наша картина происходящего. Именно так мы зафиксировали увеличение объемов DDoS-атак».

ATLAS – инновационная система мониторинга, работающая благодаря сотрудничеству поставщиков услуг с Arbor Networks. Првайдеры предоставляют трафик для выявления вредоносных программ. Данные, полученные ATLAS, анализируются и сопоставляются с данными других организаций безопасности. В итоге система получает довольно четкую картину об угрозах для инфраструктуры Интернета.

Исследование трафика показало: во втором квартале пиковая нагрузка во время DDoS-атаки составила 47 Тбит/с IPv4-трафика, а в третьем показатель уже был равен 69 Tбит/с. Мощность 54% атак в этом году превысила 1 гбит/c, 37% преодолели диапазон от 2 до 10 Гбит/c и 44% показали более 10 Гбит/с.

В 2013 году средняя мощность DDoS-атак держится на уровне 2,64 Гбит/с. А их  продолжительность преследует тенденцию к сокращению времени активности: 87% из них длились менее часа.

СОИБ: Первый зловред для Firefox OS

Первый зловред для Firefox OS

17-летний хакер Шантану Гауде (Shantanu Gawde) написал первую в мире вредоносную программу для Firefox OS.

Демонстрацию программы вундеркинд проведет на конференции The Ground Zero (G0S) 2013, которая состоится 7-10 ноября в Нью-Дели (Индия). Согласно анонсу, созданный PoC-код способен инфицировать смартфон ZTE One в удаленном режиме и получить доступ к нему с любого ботнета для следующих действий:

Команды на доступ к SD-карте
Копирование всех контактов
Загрузка и выгрузка фотографий, музыки и видео
Геолокация и отслеживание координат пользователя
Удаленное управление FM-радио с возможностью испугать человека

По словам Гауде, все это может привести к серьезным проблемам для пользователей Firefox OS, потому что не существует способа засечь подобную атаку или блокировать ее.

К презентации автор обещает живую демонстрацию эксплойта, а также попробует портировать Firefox OS на смартфон Nexus и поискать новые векторы атаки. В случае успеха он их тоже добавит в презентацию.

Кстати, разработчики приложений для Firefox OS могут претендовать на получение бесплатных смартфонов от Mozilla. Наверное, талантливому подростку можно выслать сразу два.

СОИБ: В маршрутизаторах D-Link обнаружен бэкдор

В маршрутизаторах D-Link обнаружен бэкдор

руппа исследователей обнаружила уязвимость в ряде устройств D-Link , позволяющую получить неаутентифицированный доступ к административным функциям.

Брешь в безопасности позволяет атакующему получить полный контроль над всеми управляемыми пользователем функциями в популярных домашних маршрутизаторах, включая модели DIR-100, DI-524, DI-524UP, DI-604S, DI-604+ и TM-G5240. В статье , опубликованной на сайте /DEV/TTYS0, сообщается о том, что уязвимости также подвержены несколько роутеров Planex, использующих такую же прошивку.

В извлеченной с помощью Binwalk прошивке к D-Link DIR-100 исследователи обнаружили, что для получения доступа требуется изменить заголовок браузера User-Agent на «xmlset_roodkcableoj28840ybtide», после чего роутер не будет запрашивать учетные данные для доступа к web-интерфейсу.

Исследователи /DEV/TTYS0 нашли уязвимость внутри кода, выполняющего простые сравнения строчных данных. В одном из подобных сравнений «в случае совпадения строк функция check_login пропускается, а alpha_auth_check возвращает значение 1, означающее, что аутентификация пройдена успешно».

Некоторые комментаторы сообщили, что им удалось успешно запустить бэкдор против устройств, обнаруженных поисковиком Shodan.

Craig, автор /DEV/TTYS0, сообщает, что бэкдор существует в версии прошивки 1.13 для ряда устройств Dir100-RevA.

На данный момент защиты от уязвимости не существует. Пользователям рекомендуется отключить доступ к административным функциям через WAN-порт.

Anonymous Caucasus атаковали Центробанк, Сбербанк и другие российские банки

Anonymous Caucasus атаковали Центробанк, Сбербанк и другие российские банки

Малоизвестная хакерская группировка Anonymous Caucasus взяла на себя ответственность за атаки на несколько крупных российских банков, включая Сбербанк и Центробанк.

О предстоящей DDoS-атаке на банки «Кавказские анонимусы» сообщили заблаговременно: программный ролик на YouTube от имени Anonymous Caucasus был опубликован 30 сентября 2013 г. В нем предполагаемые организаторы атак сообщили, что, начинают операцию против российских банков в отместку за геноцид кавказских народов.

«Мы хотим, чтобы российское правительство и российские граждане лишились доступа к своим счетам», — говорится в заявлении хакеров.

На странице Anonymous Caucasus в Facebook 1 октября 2013 г. был опубликован подтверждающий скриншот заглушки сайта Сбербанка, а 3 октября 2013 г. там же сообщили об успехе атаки на сайт Центробанка кодовой фразой «TANGO DOWN!»

Руководитель проекта Kaspersky DDoS Prevention Алексей Афанасьев заявил CNews, что «Лаборатория Касперского» действительно с начала нынешней недели наблюдает серию DDoS-атак на ряд крупнейших российских банков.

По данным антивирусной компании, имели место три волны атаки: 1 октября 2013 г. на сайт Сбербанка, 2 октября на сайт Альфа-банка и 3 октября на сайты ЦБ РФ, Альфа-банка и Газпромбанка.

Сразу по получении логов ботнетов информация о них была передана в службы информационной безопасности банков для принятия ими мер, сообщили в «Касперском». Технические подробности DDoS-атак на банки эксперты компании раскрыть отказались.

Помимо банков, о нападении на которые известно со слов представителей «Лаборатории Касперского», в числе жертв атаки мог оказаться ВТБ, чей адрес в числе прочих упоминался в ролике на YouTube.

Характер сообщения «Касперского» и извинительного постинга Сбербанка от 1 октября 2013 г. позволяют предположить, что хакерская атака была направлена лишь на ограничение доступа к публичным сайтам банков, и вряд ли привела к затруднениям в их операционной деятельности.

В Сбербанке подтвердили CNews имевший место сбой в работе сайта, однако заявили, что «все финансовые сервисы, предоставляемые банком через сеть интернет, полностью сохранили свою работоспособность, а профильные подразделения банка анализируют причины сбоя». Источник CNews в Сбербанке говорит, что сайт был недоступен на протяжении примерно четырех часов.

Официальный сайт Газпромбанка (www.gazprombank.ru) 3 октября 2013 г. действительно подвергался DDoS-атаке со стороны неизвестных злоумышленников, подтвердил CNews представитель банка Сергей Перминов. При этом сайт продолжал и продолжает работать, добавил он. Работоспособность и доступность сайта поддерживаются силами Департамента защиты информации банка совместно с «Лабораторией Касперского».

В ВТБ отказались от комментариев.

Группировка, называющая себя «Кавказскими анонимусами», была только однажды замечена в громких сетевых акциях под этим названием. 21 сентября 2013 г. от их имени на YouTube было опубликовано сообщение, в котором они приняли на себя ответственность за атаки на правительственные интернет-ресурсы Ингушетии.

Первая DDoS-атака 100 Гбит/с без DNS-умножения

Первая DDoS-атака 100 Гбит/с без DNS-умножения

В марте этого года мы наблюдали первую в истории DDoS-атаку мощностью более 100 Гбит/с. Тогда, в марте, такой поток трафика нападающие смогли сгенерировать, используя умножение запросов через DNS-резолверы, которые установлены у каждого интернет-провайдера и часто плохо сконфигурированы, то есть открыты для внешних запросов.

Злоумышленники направляют к открытым DNS-резолверам поток DNS-запросов с IP-адресом жертвы, а резолвер отвечает на указанный адрес. Чтобы максимально усилить трафик, злоумышленники составляют запросы, которые требуют максимально объемного ответа: например, запрос списка всех DNS-записей в определенной зоне. Вы можете отправить такой запрос размером 64 байта (dig ANY isc.org x.x.x.x) и сгенерировать ответ 3223 байта.

Актуальный список открытых резолверов всегда можно найти здесь.

24 сентября 2013 года состоялась новая DDoS-атака мощностью 100 Гбит/с, которая продолжалась девять часов, сообщает компания Incapsula. При этом она не назвала URL сайта своего клиента, жертвы атаки.

В нынешней DDoS-атаке удивительно то, что атакующие вовсе не использовали резолверы, так что это первая в истории атака подобной силы без умножения запросов. Получается, что у кого-то есть в наличии каналы суммарной пропускной способностью аж 100 Гбит/с. Если бы они использовали умножение запросов, то могли бы увеличить трафик в десятки раз.

В iOS 7.0.2 обнаружена опасная уязвимость

В iOS 7.0.2 обнаружена опасная уязвимость

На прошлой неделе разработчики Apple выпустили обновление мобильной операционной системы iOS 7, устранявшее уязвимость, эксплуатируя которую можно было обойти экран блокировки устройства и получить доступ к конфиденциальным данным владельца.

Спустя несколько дней после релиза обновления, хакеры обнаружили в нем подобную брешь и выложили подробную инструкцию взлома на YouTube.

На этот раз обойти экран блокировки можно при помощи голосового помощника Siri, службы видеозвонков FaceTime и ряда несложных манипуляций.

В настоящий момент нет сведений о том, известно ли сотрудникам Apple о новой уязвимости и когда будет выпущен следующий пакет обновлений.

ЛК раскрывает таргетированные атаки против Японии и Южной Кореи

ЛК раскрывает таргетированные атаки против Японии и Южной Кореи

Александр Панасенко

Исследовательский центр «Лаборатории Касперского» выпустил отчет, раскрывающий действия кибершпионской группы Icefog, нацеленной на организации Южной Кореи и Японии и наносящей урон поставщикам компонентов оборонной отрасли США. Активность группы началась в 2011 году, а в середине 2012-го ее деятельность приобрела новый масштаб.

«За последние несколько лет мы стали свидетелями множества таргетированных атак, бьющих по самым различным отраслям. Во многих случаях злоумышленники годами присутствовали в корпоративных и правительственных сетях и перехватывали терабайты ценных данных, – прокомментировал Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского». – Но тактика набегов Icefog демонстрирует новую тенденцию: небольшие группы хакеров начинают охотиться за информацией с «хирургической» точностью. Атака продолжается от нескольких дней до недель и, получив желаемое, злоумышленники подчищают следы и уходят. Мы ожидаем роста числа подобных групп, специализирующихся на фокусированных атаках – что-то вроде современных кибернаемников».

Исследование показывает, что среди целей группы были подрядчики оборонной отрасли (например, корейские Lig Nex1 и Selectron Industrial Company), судостроительные компании (DSME Tech, Hanjin Heavy Industries), морские грузоперевозчики, телекоммуникационные операторы (Korea Telecom), медиа-компании (Fuji TV) и Японо-Китайская Экономическая Ассоциация. Взламывая компьютеры, киберпреступники перехватывают внутренние документы и планы организации, данные учетных записей почты и пароли для доступа к внешним и внутренним ресурсам сети, а также списки контактов и содержимое баз данных.

Во время атак злоумышленники используют вредосноные программы семейства «Icefog» (так же известного, как «Fucobha»). Специалисты «Лаборатории Касперского» обнаружили версии «Icefog» как для Microsoft Windows, так и для Mac OSX.

Тогда как в случае других кибершпионских кампаний компьютеры жертв оставались зараженными месяцами или даже годами, позволяя злоумышленникам постоянно перехватывать данные, операторы Icefog обрабатывают свои цели одну за другой: находят и копируют только необходимую информацию, после чего самоустраняются. Чаще всего операторы заранее знают, что им требуется на зараженных компьютерах. Они ищут определенные имена файлов, показывая навыки японского и корейского языков, и когда находят то, что искали — передают на управляющий сервер.

Эксперты «Лаборатории Касперского» с помощью техники «DNS-sinkhole» получили возможность мониторинга 13 из более чем 70 доменов, используемых злоумышленниками. Это предоставило дополнительную статистику по количеству и географии жертв в мире. Также на управляющих серверах в открытом доступе, но в зашифрованном виде были обнаружены журналы с описанием каждого действия, совершенного атакующими на зараженных компьютерах. В некоторых случаях это помогло определить цели атаки и идентифицировать жертв. В дополнение к Японии и Южной Кореи, было зарегистрировано множество попыток соединений из Тайвани, Гонконга, Китая, США, Австралии, Канады, Великобритании, Италии, Германии, Австрии, Сингапура, Белоруссии и Малайзии. В общей сложности, эксперты «Лаборатории Касперского» наблюдали более 4000 уникальных IP-адресов зараженных машин, принадлежащих сотням жертв, 350 из которых пользовались Mac OS X, и лишь несколько десятков – Microsoft Windows.

Основываясь на ряде улик, оставленных атакующими, специалисты «Лаборатории Касперского» предполагают, что члены этой группы могут находиться в одной из трех стран: Китай, Южная Корея или Япония. Стоит также отметить, что практически все внутренние сообщения, найденные во вредоносной программе, были на китайском языке, так же как и ее код с основным языком операционной системы сервера управления Icefog.

В Великобритании предъявлены обвинения хакерам, подозреваемым в хищении более 2 млн долларов из банка Barclays

В Великобритании предъявлены обвинения хакерам, подозреваемым в хищении более 2 млн долларов из банка Barclays

В Великобритании прошли первые слушания по делу хакеров, которых подозревают в хищении 1,3 млн фунтов /2,1 млн долларов/ со счетов клиентов банка Barclays. Магистратский суд столичного района Вестминстер в субботу предъявил официальные обвинения в краже и мошенничестве четырем из восьми предполагаемых преступников.

Фигуранты по этому делу — мужчины в возрасте от 29 до 47 лет — заявили, что не желают оспаривать предъявленные им обвинения. Они останутся под стражей как минимум до следующих слушаний, которые пройдут в уголовном суде присяжных лондонского района Саутворк. Еще четверо подозреваемых ранее были отпущены под залог и сейчас дожидаются решения своей участи на свободе.

Задержания предполагаемых киберпреступников в возрасте от 24 до 47 лет прошли в минувшие четверг и пятницу. По данным полиции, в апреле этого года хакерам удалось получить доступ к компьютерной системе одного из отделений Barclays. Для взлома сети злоумышленники использовали электронный переключатель /KVM/, который можно беспрепятственно купить в любом интернет-магазине. Предполагается, что это устройство было установлено на компьютер сотрудника банка одним из преступников, представившимся инженером.

Расследование деятельности банды хакеров повлекло за собой многочисленные обыски в разных районах Лондона. В домах подозреваемых и их близких были изъяты крупные суммы денег, драгоценности, наркотические средства и кредитные карты.

LinkedIn обвиняют во взломе чужих email-ящиков

LinkedIn обвиняют во взломе чужих email-ящиков

Кирилл Токарев

Профессиональную социальную сеть LinkedIn обвиняют в том, что она взломала email-ящики собственных клиентов. Якобы администрация сайта проникла во внешние учетные записи пользователей и просматривала адресные книги, а затем рассылала всем контактам рекламную информацию. Интернет-компания называет претензии беспочвенными.

В тексте обвинения говорится, что LinkedIn получает имена, фотографии пользователей и рекламирует собственный продукт и услуги, прикрываясь чужими данными. При этом у пользователей не просили дать согласие на рассылку рекламных сообщений. Обвинители считают бизнес-практику нечестной и вводящей в заблуждение. При этом LinkedIn не предоставляет никакого способа приостановить рассылку подобных рекламных сообщений.

Юридический директор LinkedIn Блейк Левит (Blake Lawit) ответил на обвинения в официальном блоге компании, назвав претензии безосновательными. По его словам, LinkedIn не получает доступ к личным e-mail-ящикам пользователей и не рассылает приглашения.

У LinkedIn более 200 млн пользователей в 200 странах. Клиентов много, однако (по мнению обвинителей) компания постоянно ведет поиск новых пользователей. Впрочем, мы сомневаемся в том, что LinkedIn пошла бы на столь «грязные» уловки, чтобы расширить базу.

Некоторые комментарии, оставленные на страницах LinkedIn, указывают на то, что социальная сеть связывалась с людьми, с которыми владельцы учетных записей более не желали общаться: работодатели, знакомые, бывшие партнерши. Из-за этого пользователи попадают в неприятные ситуации, так как приглашения отсылаются от их имени.

Судебный иск был подан в калифорнийском суде города Сан-Хосе. Истцы требуют неизвестную компенсацию и наложение запрета на использование неподходящих методов привлечения новых пользователей.

Следы нового трояна для Mac OS

Следы нового трояна для Mac OS

В сети распространяется новый троян, направленный против компьютеров Mac. Вредоносная программа замаскирована под фотографию с изображением целующейся парочки. Расширение .app, которое позволило бы опознать именно программу, а не графический файл, не отображается при нормальных настройках компьютера.

При клике на иконку изображения троян устанавливается на компьютер пользователя и открывает бэкдор, а также выходит на связь с командным сервером, контролируемым киберпреступниками. Таким образом, хакеры получают возможность удаленного доступа к содержимому компьютера пользователя.

Как сообщает Лайза Майерс, исследователь компании Intego, специализирующейся на защите Mac, механизмы распространения трояна пока неизвестны. Майерс предполагает, что речь может идти о целенаправленной атаке, и изображение целующейся парочки жертвы получают в сообщениях электронной почты. Так же киберпреступники могут изучать поведение своих жертв в сети и размещать троян на сайтах, которые посещаются объектами атаки особенно часто.

Специалистам Intego удалось установить контакт с командным сервером хакеров (в настоящий момент он отключен). Проанализировав информацию о подключившейся к нему системе, сервер загрузил на использованный для теста компьютер Intego логотип хакерской группировки «Сирийская электронная армия». Впрочем, аналитики пока не спешат с выводами. Сирийские хакеры склонны громогласно объявлять о своих акциях, существенно преувеличивая успехи. Пока же они никак не прокомментировали ситуацию с новым трояном.