Хакеры и кибермошенники, Новости Опции

[Мэри]

Российские власти пообещали проверить информацию хакеров, которые заявили, что якобы взломали секретную переписку представителей Минобороны. "Информация, опубликованная на одном из интернет-ресурсов о российских ВС, будет проверена", - пообещал пресс-секретарь президента РФ Дмитрий Песков, слова которого приводит РИА "Новости". В разное время блог "Шалтай-Болтай" размещал: текст новогоднего обращения президента до того, как оно было озвучено, сценарий митинга в поддержку Крыма, переписку одного из лидеров ДНР Игоря Стрелкова, список секретно награжденных за Крым журналистов. Журналисты обращают внимание на то, что в публикациях "Шалтай-Болтая" затрагивались интересы Вячеслава Володина, Владислава Суркова, Сергея Нарышкина, Дмитрия Пескова и других.По данным источников прессы, в администрации президента нет единого мнения о том, кто стоит за неуловимой группой хакеров. Одни полагают, что это заместитель начальника управления внутренней политики администрации президента Тимур Прокопенко, другие - что это люди Алексея Громова, поскольку он не фигурировал в публикациях хакеров, третьи - что это помощник президента Владислав Сурков.

» Кликните сюда для просмотра оффтоп текста.. «

Использование госслужащими бесплатных почтовых сервисов, в которых упрекнули их хакеры, в Кремле считают "недопустимым". "Для передачи какой-то информации для служебного пользования или тем более секретной - это уже за гранью безумия", - цитирует Пескова "Интерфакс". Пресс-секретарь президента выразил надежду, что во взломе данных Минобороны разберутся "службы, которые занимаются защитой гостайны". "Эти службы достаточно четко делают свою работу", - подчеркнул Песков. Ранее хакерская группировка "Анонимный интернационал" опубликовала на своем сайте информацию о том, что секретные сведения Министерства обороны якобы передавалась через общедоступные почтовые сервисы. В обращении хакеров говорится, что взломщики получили доступ к почтовому массиву и устройствам Ксении Большаковой, помощника и секретаря Романа Филимонова, бывшего руководителя Департамента строительства Министерства обороны РФ. В доказательство проведенного взлома "Анонимный интернационал" выложил файл про войсковые части с размещением комплексов "Искандер", а также частью заретушированный файл по местам базирования АПЛ четвертого поколения на 12 объектах. "С печалькой отмечаем, что если данная информация стала доступна нам, то с большей степенью вероятности она могла быть доступна и спецслужбам ряда заинтересованных стран, так как преступная небрежность сотрудников Департамента строительства Министерства обороны РФ давала широкие возможности для этого на протяжении 2012-2014 годов", - поясняется в блоге. В связи с этим хакеры попросили руководителя Департамента военной контрразведки ФСБ России генерал-полковника Александра Безверхнего "обратить внимание на подобное пренебрежительное отношение к информационной безопасности бывших и нынешних сотрудников структур Министерства Обороны". "При необходимости можем сообщить дополнительную информацию о данных лицах", - пообещали авторы письма. При этом хакеры сообщили, что добытый ими информационный массив в данный момент продается на Бирже информации, и предложили сотрудникам военной контрразведки купить данные со скидкой в 50% с условием верификации покупателей.

news.ru

[hook]

Хакеры использовали почтовый web-сервер для взлома систем американской компании



DLL-файл устанавливал на сервер фильтр ISAPI, предназначенный для фильтрации HTTP-запросов.

ИБ-исследователи из Cybereason обнаружили, что злоумышленникам удалось взломать компьютерную систему и держать под контролем внутреннюю сеть одного американского предприятия с помощью почтового web-сервера. Cybereason не называет пострадавшую от атаки компанию, однако известно, что она предоставляет различные общественные услуги в США.
В ходе расследования эксперты из Cybereason обнаружили подозрительный DLL-файл, загруженный на сервер Microsoft Outlook Web App (OWA), который использовался для удаленного доступа к Outlook. Клиент электронной почты OWA является компонентом Microsoft Exchange Server и используется для доступа к почтовому ящику Exchange Server практически через любой web-браузер. Так как OWA выполняет роль связующего звена между внутренней сетью и интернетом, он является прекрасной мишенью для злоумышленников.
«Из-за того, что аутентификация OWA основана на доменных учетных записях, любой, кто получил доступ к серверу OWA, становится потенциальным «владельцем» всех доменных учетных записей компании», - рассказывают эксперты из Cybereason.
Специалисты отметили, что подозрительный DLL-файл имел аналогичное имя, что и официальный DLL-файл, используемый в механизме аутентификации OWA. Разница заключалась в том, что поддельный DLL-файл был без подписи и загружен из другой папки. Злоумышленники использовали DLL-файл для установки фильтра ISAPI на сервере IIS, предназначенного для фильтрации HTTP-запросов. Установка фильтра в реестре позволяла вредоносному ПО загружаться после каждой перезагрузки сервера.
Установка фильтра позволила злоумышленникам перехватывать все HTTP-запросы в незашифрованном виде и определять, какие из них содержали имена пользователей и пароли. Вредоносное ПО собирало все учетные данные и хранило их в зашифрованном виде в текстовом файле. После расшифровки этого файла экспертам из Cybereason удалось обнаружить более 11 тысяч аутентификационных данных, которые позволяли хакерам получить полный доступ к учетным данным каждого сотрудника.
Вредоносное ПО, используемое в данной атаке, также выступало в качестве бэкдора, позволяющего читать, писать и выполнять команды на SQL-серверах, а также писать и выполнять произвольный код на сервере OWA.

_______________________________


С помощью фишинга и социальной инженерии хакеры добиваются 100%-ной эффективности атак



Жертвами социальной инженерии становятся не только рядовые пользователи, но и управляющий персонал.

Эксперт информационных систем и этический хакер компании CliftonLarsonAllen Аарон Хейден (Aaron Hayden) предупреждает, что большинство компьютерных сетей практически не защищены от фишинга и социальной инженерии (СИ). Специалист утверждает, что использование методов СИ обеспечивает почти стопроцентную гарантию взлома той или иной компании. Об этом Хейден сообщил во время конференции 2015 AHIMA Convention.
Хакер рассказал, что недавно в ходе аудита одной из медицинских компаний смог взломать внутреннюю сеть организации, отправив ее гендиректору фишинговое письмо якобы от имени финансового директора. Пентестеру удалось получить доступ к логину и паролю руководителя.
Имея на руках учетные данные сотрудника, хакер может от его имени осуществлять в сети произвольные действия. Если злоумышленнику удалось получить доступ к аккаунту администратора, он может установить вредоносное ПО для перехвата других данных. Более того, киберпреступник сможет разослать фишинговые письма от имени пострадавшего пользователя, вследствие чего еще большее количество жертв пострадает от его действий.
Как сообщает директор по развитию бизнеса High-Tech Bridge Екатерина Хрусталева в своей статье в журнале IT Manager, противостоять социальной инженерии можно, применив три шага по обеспечению безопасности компании. При этом организация должна позаботиться не только об их интеграции, но и о своевременном их использовании.
Первый шаг заключается в четком обрисовывании и донесении до персонала протоколов безопасности. Все сотрудники должны знать, кто и в какое время и место может работать с коммерчески ценной информацией, а также какие шаги необходимо предпринять в случае инцидента информационной безопасности, возникшего вследствие применения способов СИ. Второй шаг заключается в аудите системы безопасности компании и проведении пентестов. Хрусталева рекомендует прибегнуть к независимым сторонним «этическим хакерам», которые смогут подобрать и внедрить наиболее эффективные средства противодействия таким атакам. Заключительный шаг предусматривает проведение тренингов по безопасности для всех сотрудников без исключения.

securitylab.ru