Fancy Bear атаковала американский «мозговой центр»



APT-группировка Fancy Bear (другие названия Strontium и APT28) атаковала Центр стратегических и международных исследований в Вашингтоне. Как сообщает CNN, суд штата Вирджиния передал специалистам Microsoft контроль над несколькими принадлежащими группировке доменами под общим названием «Strontium Domains» (LOGIN-CSIS.ORG, CSIS.EVENTS, CSIS.EXCHANGE и CSIS.CLOUD). Согласно материалам суда, сайты представляли собой поддельные страницы авторизации во внутренних системах Центра и могли использоваться преступниками для похищения учетных данных и целенаправленного фишинга. Удалось ли злоумышленникам похитить какую-либо информацию, в материалах суда не указано. Старший директор по связям Центра стратегических и международных исследований Эндрю Шварц (Andrew Schwartz) также не сообщает, были ли атаки успешными. С Центром связано множество высокопоставленных лиц, которые могут быть интересны Fancy Bear, в том числе бывший госсекретарь США Генри Киссинджер (Henry Kissinger). «Центр находится под постоянными кибератаками, осуществляемыми разными государствами. Мы обнаружили этот инцидент сразу же и при участии Microsoft смогли остановить его», – сообщил Шварц. Центр стратегических и международных исследований (The Center for Strategic and International Studies, CSIS) – аналитический институт в США, созданный в 1962 году во время второй волны создания «мозговых центров». Центр проводит исследования по вопросам политики и стратегический анализ политических, экономических вопросов и вопросов безопасности по всему миру

TheMoon переквалифицировался с DDoS-ботнета на прокси



IoT-ботнет TheMoon использовался для проксирования трафика в мошеннической схеме с рекламой на YouTube.
Исследователи безопасности американского интернет-провайдера CenturyLink обнаружили ботнет из устройств «Интернета вещей» (IoT), используемый для проксирования трафика в мошеннической схеме с рекламой на YouTube. Специалисты выявили мошенническую схему во время анализа ботнета TheMoon, в который попали некоторые устройства CenturyLink. Устройства осуществляли брутфорс-атаки на популярные сайты – как оказалось, они были заражены вредоносным ПО TheMoon, вооружившимся совершенно новым модулем. Ботнет TheMoon известен исследователям еще с 2014 года. Как правило, вредонос заражал маршрутизаторы и IoT-устройства с помощью эксплоитов для известных уязвимостей. В начале своей истории ботнет использовался для осуществления DDoS-атак, однако в последние годы стал исчезать с DDoS-сцены. По мнению экспертов, это связано с тем, что теперь TheMoon используется злоумышленниками в качестве прокси для осуществления мошеннических схем. Догадки исследователей подтвердились в начале прошлого года, когда специалисты из Qihoo 360 Netlab обнаружили в TheMoon первый модуль для проксирования трафика. Теперь же эксперты CenturyLink выявили совершенно новый, ранее неизвестный модуль, подтверждающий эволюцию TheMoon от DDoS-ботнета до прокси. Злоумышленники действуют следующим образом. TheMoon заражает уязвимое устройство и загружает на него дополнительный модуль, открывающий на зараженном устройстве прокси SOCKS5, доступ к которому операторы вредоноса продают другим киберпреступникам.

Новая вымогательская кампания направлена против посетителей сайта для взрослых



Вымогатели уверяют, что внедрили в сайт для взрослых скрипт, способный активировать камеру на устройстве жертвы и записывать видео.
Исследователь безопасность Лоуренс Абрамс (Lawrence Abrams) сообщил о новой мошеннической кампании, направленной против посетителей сайтов для взрослых. Жертве приходит электронное письмо с требованием выкупа, в противном случае вымогатели грозятся опубликовать компрометирующее видео с ее участием. Согласно письму, сайт для взрослых Xvideos.com был взломан, и на него был загружен вредоносный скрипт, активирующий камеру на устройстве жертвы и записывающий видео. Кроме того, скрипт способен подключаться к ее компьютеру и похищать хранящиеся на нем данные. В электронном письме также указан старый пароль жертвы, полученный в результате предыдущих утечек. Вымогатели грозятся разослать компрометирующее видео с участием пользователя всем его контактам в Facebook и электронной почте, если он не заплатит $969 в биткойнах. Получив выкуп, злоумышленники обещают незамедлительно удалить видео. По словам Абрамса, мошенническая кампания продолжается уже в течение месяца, однако исследователь узнал о ней только на днях. Указанный в письме криптовалютный адрес 18z5c6TjLUosqPTEnm6q7Q2EVNgbCy16Td уже использовался в подобной вымогательской кампании в начале прошлого месяца. К настоящему времени деньги на кошелек переводились 11 раз. По состоянию на 2 февраля 2019 года на его балансе числилось 0,95 биткойна (около $3261). Абрамс уверяет, что, каким бы убедительным ни было письмо, это всего лишь трюк, и пользователи должны просто удалить его. Если к письму прилагается какое-либо вложение, пользователям настоятельно не рекомендуется его открывать, поскольку в нем может содержаться вредоносное ПО.

Хакеры нашли документы с 18-летними полковниками КГБ 



Группа Anonymous опубликовала несколько PDF-файлов с документами о деятельности британского аналитического центра Integrity Initiative, пишет «Лента.ру». В одном из файлов приводится информация о пяти «сотрудниках резерва военной разведки Украины» в возрасте от 45 до 53 лет, посещавших Великобританию. Все они названы «этническими русскими», причем о двоих говорится, что они родом из «Русской республики». В документах утверждается, что двое из них ранее являлись полковниками КГБ, а еще двое командовали бригадами спецназа. Пятый назван специалистом по связи и «почти наверняка» выходцем из ГРУ.Одновременно с этим в файле идет речь о событиях в Крыму и на востоке Украины в 2014 году. Как отмечает издание, из приведенного в публикации возраста «украинских разведчиков» (от 45 до 53 лет) и их воинских званий (двое из них являлись полковниками КГБ, прекратившего существование в 1991 году), следует, что самый старший из них должен был быть полковником КГБ в 30 лет, а самый младший — в 18 лет. В файлах также приводятся расшифровки бесед «сотрудников украинской военной разведки» с неназванными лицами, в ходе которых говорится о подготовке Украины к войне с Россией, которую один из украинских «разведчиков» охарактеризовал как «украинская столетняя война».

Обнаружена система слежки ФСБ за российскими соцсетями



Группа хакеров, называющие себя Digital Revolution, сообщили о взломе сервера научно-исследовательского института «Квант», принадлежащего ФСБ, и обнаружили систему анализа социальных сетей. На это обратила внимание «Русская служба Би-би-си».
О взломе сервера хакеры сообщили в своем Twitter. Первые упоминания с хештегом #квантнаш появились 1 декабря. 6 декабря в аккаунте был опубликован скриншот письма, адресованного сотрудникам «Кванта», в котором сообщалось о взломе. 19 декабря хакеры выложили несколько документов, в которых описывается принцип работы системы мониторинга соцсетей и СМИ. Анализу подвергаются публикации во «ВКонтакте», «Одноклассниках», Facebook и Instagram.
Издание отмечает, что хакеры опубликовали документы общим объемом 300 страниц. Главная цель системы мониторинга — определение общественного мнения и выявление протестных настроений. Нейросеть, используемая для анализа, может не только найти необходимые публикации по ключевым словам, но и определить их тон.
В июне США ввели санкции в отношении научно-исследовательского института «Квант» за связи с ФСБ, в введении которой он находится. На данный момент сайт института недоступен.

Хакеры опубликовали более двух миллиардов паролей в свободном доступе



Эксперты в сфере кибербезопасности выполнили проверку форумов хакеров. Оказалось, что они в свободном доступе опубликовали примерно 2,2 миллиарда имен и паролей пользователей Yahoo, Dropbox и LinkedIn. В январе австралийский эксперт Трой Хант заявил, что нашел часть базы хакеров на облачном сервисе Mega. Данные собирались 10 лет. В базе хранились 773 миллиона адресов электронной почты и более 21 миллиона паролей, сообщает Wired. Позднее другие пользователи обнаружили еще 5 баз данных с 845 гигабайтами украденной информации. Эксперт по кибербезопасности Крис Роуланд назвал эту находку крупнейшим собранием похищенных данных в истории. Ранее на сайте газеты «Вечерняя Москва» сообщили, что зарубежные хакеры совершили мощную кибератаку на РФ в день выборов президента.

Киберпреступники заражают Linux-серверы новым бэкдором



Бэкдор служит для внедрения майнеров криптовалюты Monero. Специалисты компании Check Point зафиксировали новую вредоносную кампанию, в рамках которой злоумышленники эксплуатируют уязвимость в фреймворке ThinkPHP для заражения Linux-серверов новым бэкдором SpeakUp и внедрения майнеров для добычи криптовалюты Monero. Скомпрометировав систему, атакующие используют троян для модификации локальной утилиты Сron с целью сохранения присутствия, выполнения команд и файлов, загруженных с управляющего сервера. Бэкдор SpeakUp также содержит написанный на Python скрипт, который используется для распространения вредоноса по локальной сети. Скрипт сканирует сети на предмет открытых портов, взламывает системы с помощью списка определенных логинов и паролей, а также может использовать один из семи имеющихся в наличии эксплоитов для перехвата управления непропатченными системами. Арсенал трояна включает эксплоиты для уязвимостей в различных платформах и компонентах, в частности, JBoss EAP (CVE-2012-0874), JBoss Seam (CVE-2010-1871), JBoss AS 3/4/5/6, Oracle WebLogic (CVE-2017-10271), Oracle WebLogic Server (CVE-2018-2894), Apache Hadoop YARN ResourceManager, Apache ActiveMQ (CVE-2016-3088). SpeakUp может работать на системах под управлением шести различных дистрибутивов Linux, а также macOS. Целью злоумышленников является майнинг криптовалюты Monero. По данным специалистов, за три недели, которые длится кампания, ее организаторам удалось добыть примерно 107 монет (около $4,5 тыс.). Несмотря на имеющиеся возможности, киберпреступники пока атакуют только фреймворк ThinkPHP, основное количество пострадавших приходится на страны Азии и Южной Америки. Массовая эксплуатация уязвимости в ThinkPHP началась еще в конце минувшего года после публикации PoC-эксплоита. За прошедшие месяцы исследователи заметили несколько кампаний, так или иначе задействующих данную уязвимость, например, для расширения ботнетов Hakai и Yowai.

В январе спам-кампания по распространению вымогателя Shade, также известного под названием Troldesh, возобновилась с новой силой. По сведениям аналитиков из компании ESET, на этот раз она идет через массовую рассылку электронных писем с вредоносными JavaScript-вложениями. Чаще всего с Shade сталкиваются пользователи из России, на которую приходится 52% всех обнаруженных атак. Также жертвами шифровальщика стали пользователи из Японии, Германии, Франции и Украины. Эксперты считают всплеск вредоносной активности продолжением фишинговой кампании, начавшейся в октябре 2018 года. Ее организаторы рассылают спам на русском языке и выдают себя за представителей «Бинбанка» и торговой сети «Магнит». Во вложенном архиве якобы содержатся подробности заказа, а в действительности — JavaScript-файл «Информация.js». После запуска он скачивает вредоносный загрузчик с одного из сотен взломанных сайтов на базе WordPress. Доступ к последним злоумышленники получают с помощью ботов для брутфорс-атак. Загрузчик имеет недействительную цифровую подпись на основе сертификата, якобы выданного Comodo, и маскируется под системный процесс csrss.exe. Также он копирует себя в одноименную папку: C:\ProgramData\Windows\csrss.exe. Именно загрузчик расшифровывает и запускает Shade. Вымогатель шифрует файлы и добавляет к ним расширение .crypted000007, а затем отображает инструкции по оплате на русском и английском языках. По словам Брэда Данкана (Brad Duncan), куратора SANS Institute ISC, стать жертвой зловреда могут пользователи Windows, пренебрегающие стандартными мерами безопасности. Однако даже в случае заражения избавиться от Shade и вернуть доступ к файлам можно с помощью дешифратора, размещенного на ресурсе NoMoreRansom. Последний создан силами Европола, полиции Нидерландов и «Лаборатории Касперского» специально для борьбы с программами-вымогателями.

Мошенники «зарабатывают» на легитимной функции Gmail



Злоумышленники используют в мошеннических целях «точечные» адреса Gmail. Киберпреступники используют легитимную функцию Gmail в мошеннических целях, в том числе для незаконного получения пособия по безработице, подачи поддельных налоговых деклараций и обхода пробных периодов в online-сервисах. Способ, о котором идет речь, уже далеко не новый и основывается на использовании так называемых «точечных» адресов Gmail. Дело в том, что Gmail игнорирует точки в электронном адресе. «Если в ваш адрес электронной почты кто-то случайно добавит точки, письмо все равно будет доставлено вам. Например, если ваш адрес johnsmith@gmail.com, для вас работают все версии того же адреса с точками, в том числе: john.smith@gmail.com, jo.hn.sm.ith@gmail.com и j.o.h.n.s.m.i.t.h@gmail.com», - говорится в описании функции на странице поддержки Google. Рядовые пользователи почтового сервиса уже в течение многих лет используют эту функцию для регистрации в online-сервисах с бесплатным пробным периодом. Однако недавно мошенники научились использовать ее для похищения данных банковских карт пользователей Netflix. Злоумышленники регистрируют учетную запись Netflix на электронный адрес жертвы с добавлением в него точек, и от сервиса приходит легитимное уведомление о необходимости обновить данные банковской карты. Уведомление приходит как на «точечный» аккаунт, так и на настоящий. Жертва указывает свои данные, и они оказываются в руках у мошенников. Способ работает, поскольку «точечные» учетные записи являются эксклюзивной функцией Gmail, тогда как другие сервисы считают каждый такой аккаунт отдельным электронным адресом. По данным ИБ-компании Agari, одна из мошеннических групп использовала целых 56 «точечных» вариантов одного адреса, с помощью которых ей удалось незаконно получить кредит на сумму $65 тыс. плюс выплаты по безработице, подать заявления на получение пособий по социальному обеспечению и пр.

Участники группировки Lurk обвинили спецслужбы в незаконной слежке



Один из обвиняемых призвал пригласить в суд сотрудников ФСБ и МВД для допроса касательно незаконной слежки. Во вторник, 5 января, в Кировском районном суде Екатеринбурга состоялось слушание по делу о киберпреступной группировке Lurk, похитившей 1,2 млрд руб. со счетов коммерческих компаний и финансовых организаций. В ходе слушания один из подсудимых фактически обвинил российские спецслужбы в незаконном перехвате переписки в Jabber, сообщает Znak.com. Согласно ходатайству, направленному суду подсудимым Александром С., участники Lurk использовали для общения приложение Ejabberd. Его особенность заключается в том, что успешно доставленные сообщения не сохраняются на сервере, а сохраняются только недоставленные. То есть, перехват сообщений возможен только online. По словам Александра С., в материалах дела есть разрешение Московского городского суда на проведение оперативно-разыскных мероприятий в отношении Ejabberd, действие которого заканчивалось 24 октября 2015 года, и аналогичное разрешение от 7 декабря 2015 года. Соответствующее разрешение на период с 24 октября и 7 декабря в материалах отсутствует. Это значит, что оперативно-разыскные мероприятия в этот период проводились без судебного ордера и являются незаконными. В связи с вышесказанным подсудимый просит исключить из обвинения пункты, строящиеся на доказательствах, которые были собраны в указанный период. Он также призывает пригласить в суд сотрудников Центра информационной безопасности ФСБ РФ и Следственного департамента МВД РФ для допроса касательно незаконной слежки. Напомним, расследование в отношении группировки было завершено в 2017 году. В общей сложности обвинения были выдвинуты против 24 человек. Материалы дела занимают 585 томов. Группировка ответственна за похищение 1,2 млрд руб. со счетов клиентов российских банков, создание некогда самого популярного набора эксплоитов Angler и взломе электронной почты Хиллари Клинтон.

Китайские кибершпионы взломали норвежского производителя ПО Visma



Взлом является частью операции, проводимой правительством КНР с целью похищения интеллектуальной собственности у западных компаний. Работающие на китайское правительство кибершпионы взломали сети норвежской компании Visma, специализирующейся на разработке программного обеспечения, в попытке похитить данные ее клиентов. Руководство Visma решило открыто сообщить об инциденте, чтобы предупредить о возможной угрозе другие технологические компании. Visma поставляет программные продукты более 900 тыс. компаний по всей Скандинавии и в некоторые страны Европы. В 2018 году ее годовая прибыль составила $1,3 млрд.
По словам специалистов из Recorded Future, взлом является частью масштабной операции, проводимой Министерством государственной безопасности КНР с целью похищения интеллектуальной собственности и коммерческой тайны у западных компаний. Операция получила название Cloudhopper. Специалисты по безопасности западных стран предупреждают о Cloudhopper еще с 2017 года, однако ничего не сообщают о жертвах. Как отметил директор по безопасности Visma Эспен Йохансен (Espen Johansen), атака была обнаружена сразу же после проникновения злоумышленников в корпоративную сеть, и сети клиентов не пострадали. Тем не менее, среди клиентов Visma есть компании, способные заинтересовать иностранные спецслужбы, отметил Йохансен. За атаками Cloudhopper предположительно стоит кибершпионская группировка APT10. В случае с Visma злоумышленники проникли в корпоративную сеть с помощью похищенных учетных данных. Как отметила специалист Recorded Future Присцилла Мориучи (Priscilla Moriuchi), судя по активности злоумышленников за пределами сети Visma, они искали пути проникновения в сети ее клиентов с целью похитить их производственные секреты.

Группировка Outlaw использует ботнет из Linux-серверов для майнинга Monero



Злоумышленники атакуют организации с помощью DoS-атак и брутфорса SSH, а скомпрометированные серверы добавляются в состав ботнета Outlaw. Исследовательская группа JASK Special Ops раскрыла подробности атак группировки Outlaw на Linux-серверы с целью майнинга криптовалюты Monero. В кампании используется усовершенствованная версия трояна Shellbot, который обеспечивает связь между зараженной системой и C&C-сервером злоумышленников. Бэкдор способен собирать системные и личные данные, завершать или запускать задачи и процессы, загружать дополнительную полезную нагрузку, открывать оболочки удаленной командной строки, отправлять украденную информацию на управляющий сервер, а также получать дополнительные вредоносные программы от операторов. Впервые бот обнаружили в ноябре 2018 года. По данным Trend Micro, создателем вредоносного инструмента является группировка Outlaw. Shellbot представляет собой IRC-бот, распространяемый путем эксплуатации уязвимостей внедрения комманд, который способен заражать Linux-серверы и различные IoT-устройства. Бот также может атаковать Windows- и Android-устройства, но такие случаи довольно редки. В ходе атак в ноябре 2018 года Outlaw удалось скомпрометировать FTP-серверы Японского художественного института и сайта правительства Бангладеш. Специалисты JASK зафиксировали еще одну атаку, к которой, скорее всего, тоже причастна та же группировка. Взлому подверглись несколько Linux-серверов неуказанной компании. На каждую из этих систем загружалось дополнительное вредоносное ПО, включая IRC-боты, криптомайнер XMR-Stak, а также инструмент "haiduc" для дальнейшего продвижения по сети. На данный момент майнинг-пул отключен, некоторые свидетельства указывают, что он был размещен на игровом сервере. Как полагают исследователи, злоумышленники создали собственный пул вместо общедоступных. Злоумышленники атакуют организации с помощью DoS-атак и брутфорса SSH. Скомпрометированные серверы добавляются в состав ботнета Outlaw.

Сайты посольств Венесуэлы в ряде стран мира подверглись хакерским атакам



Сайты посольств Венесуэлы в некоторых странах мира подверглись хакерским атакам. Об этом сообщило в Twitter посольство Венесуэлы в России.
«Мы заявляем о преступной политике хакерства и вмешательства в веб сайты МИД Венесуэлы в ряде стран. Мы решили прекратить публикацию информации онлайн, пока не будут восстановлены условия кибербезопасности», — отмечается в сообщении. Ранее газета El Nacional сообщала, что неизвестные хакеры взломали сайты посольств Венесуэлы в разных странах и разместили там заявление в поддержку лидера оппозиции Хуана Гуайдо. 23 января Гуаидо объявил себя временным президентом Венесуэлы. Позднее ряд стран признали его врио главы Венесуэлы.

Австралийский парламент подвергся кибератаке



Властям страны пока не удалось обнаружить свидетельства утечки данных в ходе инцидента. Австралийские спецслужбы расследуют атаку на компьютерную сеть Федерального парламента страны, сообщило издание ABC. Согласно заявлению представителей Федерального парламента, властям пока не удалось обнаружить свидетельства утечки данных в ходе инцидента. По словам представителей Управления радиотехнической обороны (Australian Signals Directorate, ASD), которое в данное время работает над защитой сети и минимизацией ущерба от инцидента, кибератаку удалось вовремя пресечь. В качестве меры предосторожности специалисты сбросили пароли для компьютерной системы. «У нас нет доказательств того, что это была попытка повлиять на исход парламентских процессов или сорвать или повлиять на избирательные или политические процессы. Точная оценка киберинцидента требует времени [...] расследование проводится совместно с соответствующими службами безопасности», - говорится в заявлении представителей парламента. Как заявил премьер-министр страны Скотт Моррисон (Scott Morrison), атаки не были нацелены ни на одно из федеральных ведомств или агентств, однако он отказался сообщить подробности об инциденте в Парламенте.

Злоумышленники распространяют вредоносную версию ПО для обхода блокировок



Киберпреступники добавили в приложение Psiphon шпионский фреймворк Triout. Злоумышленники заразили легитимное приложение для обхода блокировки сайтов Psiphon шпионским ПО для Android и теперь распространяют его через сторонний магазин приложений. Оригинальная версия Psiphon (запакована как com.psiphon3), загруженная из Google Play Store более 50 млн раз, никакой угрозы не представляет. Тем не менее, пользователи, скачавшие приложение из неофициальных источников, могли вместе с приложением загрузить на свое устройство вредоносный фреймворк Triout с мощными шпионскими функциями. Triout был впервые обнаружен исследователями компании Bitdefender в августе прошлого года. Тогда фреймворк распространялся вместе с приложением для взрослых, однако теперь он заражает устройства через инструмент для обхода блокировок Psiphon. По словам аналитика Bitdefender Ливиу Арсене (Liviu Arsene), модифицированная версия приложения работает так же, как оригинальная, и невооруженным взглядом их не отличить. Однако помимо своих основных функций, вредоносная версия также записывает в фоновом режиме телефонные звонки, регистрирует входящие сообщения, записывает видео, делает снимки и собирает GPS-координаты. Собранные данные Triout отправляет на подконтрольный злоумышленникам C&C-сервер. IP-адрес сервера вывел исследователей на французский сайт розничной торговли magicdeal.fr, законность/незаконность которого пока не подтверждена. Помимо вредоносного фреймворка, злоумышленники добавили в модифицированную версию Psiphon три рекламных компонента для дополнительного заработка. Хотя зараженное приложение было обнаружено 11 октября прошлого года, оно было активно с 2 мая по 7 декабря. Согласно данным телеметрии, за этот период вредоносное приложение загрузили всего лишь 17 пользователей Bitdefender.

Хакеры «взломали» любимый порносайт россиян и обогатились



Пользователи сети стали жертвами шантажистов, которые угрожали распространить в сети их секс-видео и личные данные. Об этом сообщает BleepingComputer. Мошенники разослали адресатам письма, в которых рассказали о взломе популярного порноресурса Xvideos. По их словам, они записали «развлечения» жертвы по время просмотра роликов на веб-камеру и готовы разослать видео всем друзьям и знакомым пользователя. Чтобы запугать юзера, злоумышленники упоминали в посланиях старый пароль жертвы. Удаление якобы существующего видео хакеры оценили в 969 долларов (более 63,5 тысячи рублей) в биткоинах. Сообщается, что криптокошелек, указанный в письмах, используется с января 2019 года. На счету находится несколько тысяч долларов. Эксперты заявляют, что все подобные письма являются фейковыми. Они предупреждают, что некоторые из них могут содержать фальшивые ссылки на «видеофрагменты», которые будут загружать на компьютер вирусы. Специалисты предполагают, что такие виды мошенничества прекратятся нескоро: при минимальных затратах на спам-рассылку хакеры зачастую получают огромные деньги. В декабре 2018 года порноресурс Xvideos был признан самым популярным среди россиян. Сообщалось, что 11 процентов совершеннолетних жителей страны посещают сайты для взрослых хотя бы раз в месяц.

Преступники научились обходить функцию блокировки краденых iPhone



Преступники используют несколько способов разблокировки краденых устройств, заблокированных через iCloud. В далеком 2013 году компания Apple реализовала в iPhone функцию безопасности, призванную сделать устройство непривлекательным для воров. Поскольку iPhone может быть связан только с одной учетной записью iCloud, для того чтобы преступник смог его продать, она должна быть полностью удалена, а сделать это без пароля iCloud невозможно. Без пароля также нельзя откатить iPhone до заводских настроек. Пока учетная запись iCloud действует, настоящий владелец устройства может удаленно заблокировать его и определить местоположение с помощью функции Find My iPhone. Выходит, краденый iPhone, привязанный к iCloud своего настоящего владельца, для воров бесполезен (они смогут продать разве что запчасти). Вышеописанная функция безопасности действительно помогла уменьшить число краж, однако предприимчивые преступники все же научились обходить ее, пишет Motherboard. Воры, программисты и хакеры объединили усилия, чтобы найти способы обхода блокировки iCloud и успешно продавать краденые iPhone. Схема, получившая название iCloud unlock, предполагает использование поддельных квитанций и счетов для того, чтобы убедить Apple, будто вор является законным владельцем iCloud, баз данных с информацией о смартфонах и социальной инженерии в магазинах Apple Store. Для удаления iCloud преступники либо получают пароль от самой жертвы (с помощью фишинга), либо обманом заставляют сотрудника Apple Store разблокировать краденое устройство. Третий вариант встречается редко и заключается в изъятии центрального процессора устройства с материнской платы и перепрограммировании. В некоторых случаях воры даже заставляют самих жертв удалять свои учетные записи iCloud, угрожая им физической расправой. В мессенджерах даже существуют специализированные сообщества хакеров, занимающихся разблокировкой iPhone с целью их дальнейшей продажи. Они обмениваются опытом и публикуют скриншоты успешных взломов. Некоторые хакеры работают над десятками устройств одновременно

Хакер показал, как можно украсть любой пароль за минуту: «в Apple признали поражение»



Немецкий хакер показал пользователям MacOS, как можно украсть их логины и пароли всего за минуту Соответствующие кадры появились в интернет-сети. «Немецкий специалист по информационной безопасности Линус Хенце (Linus Henze) установил, что уязвимость так называемого нулевого дня в macOS позволяет похитить все пароли пользователя. По этому поводу он записал специальное видео YouTube proof-of-concept. Длительность процесса занимает около минуты. Проблему Хенце назвал KeySteal, поскольку она «вытягивает» все пароли из Keychain», — говорится в сообщении. При этом, утверждают журналисты, хакер отказался сообщать о проблеме в Apple, но там «признали поражение». Уязвимость распространена у OS Mojave и более старых версиях операционной системы. «Хенце о проблеме не сообщил разработчику ОС, компании Apple. Но те отреагировали на его заявление уже после публикации видео в Сети, отметив, что да, уязвимость действительно существует. Специалист не стал делиться о проблеме с разработчиком, поскольку вознаграждение за обнаружение какой-либо проблемы может получить только представитель компании», — подчеркивается в сообщении. Как сообщалось ранее,официальные приложения от ряда знаменитых мировых компаний устроили слежку за пользователями со всего мира Приложения от ряда популярных авиаперевозчиков, отелей и магазинов тайно шпионят за пользователями мобильных телефонов, делая снимки экранов без их ведома. К такому выводу пришли журналисты интернет- издания TechCrunch по результатам собственного независимого расследования. По словам журналистов, для слежки за пользователями iPhone с помощью техники, известной как повторное воспроизведение сеанса (session replaying), компании прибегают к услугам сторонних фирм. Речь в данном случае идет об аналитической фирме Glassbox, предлагающей своим клиентам специальное ПО для встраивания в приложения. ПО предназначено для записи всего, что пользователи делают со своими смартфонами. Оно способно без ведома владельцев устройств делать скриншоты, в том числе форм, в которых пользователи указывают свои персональные и банковские данные.

Хакерская группа The Dark Overlord угрожает утечкой документов 9/11



Хакерская группа The Dark Overlord, известная утечкой последнего сезона сериала «Оранжевый – хит сезона» (оригинальное название - Orange is The New Black) с видеосервиса Netflix и утверждающая, что владеет документами, связанными с раскрытием НЛО, заявила, что взломала несколько известных страховых компаний, таких как Hiscox Syndicates и Lloyds of London, а также компанию Silverstein Properties, которая является владельцем Всемирного торгового центра. Хакеры утверждают, что они проникли в десятки адвокатских фирм и украли данные, которые дают ответы на многие вопросы, связанные с многочисленными теориями заговора, стоящими за атакой 11 сентября 2001 года (9/11). В канун нового года The Dark Overlord написала в Твиттере, что они сумели получить несанкционированный доступ к системам Hiscox Syndicates и Lloyds of London, после чего они планируют опубликовать примерно 18 000 документов, связанных с судебными разбирательствами и расследованиями по атаке 9/11. The Dark Overlord также опубликовала документы от компании Blackwell Sanders Peper Martin, которая сейчас называется Husch Blackwell. Хакерская группа утверждала, что документы являются строго конфиденциальными, и они собираются сотворить сенсацию, раскрыв «правду» об атаке 9/11. Буквально через день после публикации материалов в Твиттере, аккаунт хакерской группы был заблокирован. Сейчас данная кибер-преступная группа использует Steemit. Страховые компании – не единственные, кто стал целью для этой хакерской группы. The Dark Overlord предложила авиакомпаниям United Airlines и American Airlines, которые были причастны к скоординированным террористическим атакам исламской террористической группировки «Аль-Каида» (запрещенной в РФ), приведшим к гибели свыше 3000 человек и ранениям более 600 человек, связаться с хакерской группой, если они хотят обсудить вопрос сохранения конфиденциальности их корреспонденции в электронной почте и судебных документов. The Dark Overlord также предложила политикам, которые также могли быть вовлечены в это дело, правоохранительным органам, осуществлявшим расследование, управляющим компаниям и инвестиционным банкам связаться с хакерской группой и сделать запрос на официальное изъятие их документов и материалов из любой возможной публикации всех этих документов. По состоянию на 4 января 2019 года было неизвестно, согласилась ли какая-либо из указанных выше сторон заплатить выкуп. Однако на тот момент они уже получили порядка 13 000 долларов США в виде биткоинов на свой криптовалютный кошелек, который можно просмотреть тут. 16 документов, которые были украдены и опубликованы до сих пор, не тянут на сенсационные заявления, сделанные хакерской группой. Украденные данные не доказывают никакого заговора вокруг террористических актов 11 сентября. Наоборот, до сих пор эти документы даже подрывали какие-либо заключения, сделанные многочисленными теоретиками заговора, которые верят в то, что разрушение небоскребов Всемирного торгового центра было выгодно для компании Silverstein Properties, являющейся владельцем этих зданий. Опубликованные до сих пор документы показывают, что страховые выплаты составили всего лишь часть от стоимости этих зданий. Очень часто хакерские группы воспринимаются людьми как современные Робин Гуды. Однако мы напоминаем вам, что группа The Dark Overlord не состоит из добропорядочных осведомителей и не заинтересована в информировании мировой общественности, но они активно пытаются вымогать деньги у вышеупомянутых страховых компаний, авиакомпаний и всех других вовлеченных в этот инцидент лиц. Хакерская группировка требует выкуп в криптовалюте, чтобы остановить утечку документов в СМИ. The Dark Overlord – это заинтересованная в деньгах кибер-преступная организация, которая не пытается раскрыть «правду» о катастрофических событиях 11 сентября 2001 года, а просто жаждет заработать на этом как можно больше денег, готовая предоставить информацию тому, что заплатит наибольшую цену. Эта группа не является хактивистами , и их мотивирует только погоня за Интернет-деньгами. Мы напоминаем вам, что если их утверждения верны, то украденную информацию может заполучить любой, кто заплатит наибольшую цену, включая и любые иностранные государства.

«Супер Марио» заражает компьютеры вымогательским ПО GandCrab



Зафиксирована новая кампания по распространению вымогательского ПО GandCrab. Специалист компании Bromium Мэтью Роуэн (Matthew Rowen) сообщил о новой вредоносной кампании по распространению вымогательского ПО GandCrab. Для заражения компьютеров злоумышленники используют проверенный годами способ. Жертве приходит электронное письмо с поддельным уведомлением об оплате. Когда она открывает вложенную «квитанцию» и активирует макросы, на экране компьютера появляется изображение героя популярной игры Super Mario, в который с помощью стеганографии злоумышленники внедрили вредоносный код. В настоящее время вредоносная кампания распространяется только на пользователей в Италии. Текст фишинговых писем составлен на итальянском языке, а макросы уточняют регион. Если письмо было получено пользователем за пределами Италии, вредоносное ПО не загружается. Вымогательское ПО GandCrab было впервые обнаружено год назад и вызвало интерес своим весьма необычным способом распространения. В отличие от большинства вымогательских программ GandCrab распространялся не через спам, а с помощью стразу двух наборов эксплоитов (RIG и GrandSoft) и требовал выкуп не в биткойнах, а в менее популярной криптовалюте Dash

617 млн учетных записей с 16 взломанных сайтов выставлены на продажу



Базы данных можно приобрести по отдельности, их совокупная стоимость составляет $20 тыс. в биткойнах. В понедельник, 11 февраля, на черном рынке Dream Market в даркнете были выставлены на продажу 617 млн учетных записей, похищенных у пользователей 16 взломанных сайтов. Как сообщает The Register, за $20 тыс. в биткойнах любой желающий может приобрести 162 млн скомпрометированных аккаунтов Dubsmash, 151 млн MyFitnessPal, 92 млн MyHeritage, 41 млн ShareThis, 28 млн HauteLook, 25 млн Animoto, 22 млн EyeEm, 20 млн 8fit, 18 млн Whitepages, 16 млн Fotolog, 15 млн 500px, 11 млн Armor Games, 8 млн BookMate, 6 млн CoffeeMeetsBagel, 1 млн Artsy и 0,7 млн DataCamp. Изученные специалистами The Register образцы выставленных на продажу записей являются действительными. В основном они состоят из имени владельца аккаунта, электронного адреса и пароля (либо хешированного, либо зашифрованного с помощью односторонней функции). В зависимости от сайта, записи также содержат данные о местонахождении пользователя, его личную информацию и токены авторизации. Данные банковских карт в описании товара не значатся. Все базы данных продаются по отдельности одним и тем же продавцом. По его словам, БД Dubsmash уже была приобретена как минимум одним покупателем. О взломах некоторых сайтов из списка уже было известно ранее, как в случае с MyHeritage и MyFitnessPal . Тем не менее, об утечках данных пользователей других сайтов раньше не сообщалось, а значит, о них либо ничего не было известно, либо сайты решили их замолчать.

Неизвестные взломали серверы почтового сервиса VFEmail и уничтожили все данные



Судя по отсутствию требования о выкупе, целью атаки являлось именно уничтожение данных. Неизвестные киберпреступники взломали расположенные в США серверы почтового провайдера VFEmail и удалили все хранящиеся на них данные пользователей. В результате атаки, произошедшей 11 февраля, были отключены почтовый клиент и web-сайт компании. По словам представителей сервиса, атакующие отформатировали все диски на каждом сервере, в результате были потеряны все виртуальные машины, резервные копии и файловые серверы. При этом злоумышленники не оставили требование о выкупе. Судя по всему, целью атаки являлось именно уничтожение данных. «Да, VFEmail практически уничтожен и вряд ли будет восстановлен. Никогда не думал, что кого-то будет волновать мой труд настолько, что они захотят полностью и тщательно уничтожить его», - написал в Twitter основатель VFEmail Рик Ромеро (Rick Romero). В настоящее время сотрудники компании пытаются восстановить работу сервиса. Согласно сообщению на главной странице официального сайта, отправка писем частично работает, однако все данные американских пользователей уничтожены и восстановить их, скорее всего, не удастся. Официальные сайт компании возобновил работу, однако вторичные домены все еще отключены, также не работают спам-фильтры. Как отметил Ромеро, пострадавшие части инфраструктуры были защищены разными паролями. Для их компрометации были использованы по меньшей мере три различных метода. На данный момент мотивы атаки неясны. Вполне возможно, взлом был осуществлен по причине личной мести.

Вконтакте подвергся массовому взлому



Обнаруженная XSS уязвимость позволяла выполнить произвольный js код на страницах социальной сети. Сегодня на тысячах страниц вконтакте появились странные посты. Вредоносный скрипт, эксплуатирующий XSS уязвимость ( https://github.com/rzhaka/..........yrap.js ), автоматически размещал следующую публикацию на страницах, администрируемых жертвой. Ссылка в новости ведет на пост в группе «Команды ВКонтакте».



Скорее всего обнаруженная уязвимость могла привести к более серьезным последствиям, в том числе и кражам учетных записей, учитывая факт того, что в соцсети не настроена базовая политика Content Security Policy.
Представители «ВКонтакте» рассказали, что держат ситуацию под контролем, а нежелательные публикации начали удалять в течение первой минуты после обнаружения уязвимости.

Gnosticplayers выставил на продажу третий массив похищенных данных



.Киберпреступник под псевдонимом Gnosticplayers выставил на продажу в даркнете очередной, уже третий за последнее время, массив похищенных данных. На этот раз он предлагает данные пользователей GfyCat, Legendas.tv, Jobandtalent, Onebip, StoryBird, StreetEasy, ClassPass и Pizap. Примечательно, что ни одна из вышеупомянутых платформ об утечке данных не сообщала. Напомним, на прошлой неделе на сайте Dream Market появились в продаже 16 баз данных с записями 620 млн пользователей, а затем еще восемь с информацией 127 млн пользователей. В воскресенье, 17 февраля, Gnosticplayers предложил покупателям еще восемь БД с данными 92,76 млн пользователей. Характер содержащихся в БД данных варьируется в зависимости от платформы. Однако все они содержат электронные адреса, имена пользователей и пароли (в открытом виде или зашифрованные). В некоторых БД также указаны полные имена пользователей, почтовые адреса, телефонные номера, IP-адреса и пр. Все БД можно приобрети по отдельности, а их общая стоимость составляет 2,6249 биткойна (около $9,4 тыс.). Откуда у продавца появились взломанные БД, ранее не уточнялось. Тем не менее, в прошлую пятницу в интервью изданию ZDNet киберпреступник заявил, что не является лишь посредником, и все БД были взломаны им самим лично. Как пояснил Gnosticplayers, он хочет продать более 1 млрд похищенных записей, а затем бесследно исчезнуть. Пока что на продажу выставлено порядка 840 млн записей, но уже в ближайшем будущем киберпреступник планирует пополнить ассортимент своего товара (в том числе за счет БД, похищенных у криптовалютной биржи).

По мнению американских экспертов, группа хакеров могла получить доступ к единой системе управления американскими подразделениями на поле боя.
Группа неизвестных хакеров взломала электронную систему управления в американских бронетранспортёрах Stryker Dragoon. По мнению западных экспертов, под угрозой контроля со стороны третьих лиц оказалась даже единая система управления войсками США. Примечательно и то, что все данные машины находились в Германии или странах Прибалтики, где НАТО регулярно устраивает учения. Таким образом, появилась вероятность частичной потери управления войсками и дезорганизации не только американской армии, но и Североатлантического альянса. Лайф разобрался, могут ли хакеры отправить западные армии воевать друг с другом.По итогам военных учений НАТО, прошедших весной прошлого года в Германии и странах Восточной Европы, принимавшие в них участие американские военные подготовили доклад. В частности, он касался использования бронетранспортёра Stryker Dragoon, известного также как XM1296. Эти машины с 2011 года в составе 2-го кавалерийского полка США дислоцированы в Восточной Европе как американский контингент НАТО. А с 2017 года активно привлекаются к учениям в рамках расширенного передового присутствия стран альянса в Прибалтике.

«Русские хакеры» оказались самыми быстрыми в мире



Исследователи безопасности подсчитали, сколько времени требуется на взлом самым передовым киберпреступникам. Эксперты в области кибербезопасности неоднократно отмечали, что «русские хакеры» являются одними из самых передовых в мире. Теперь специалисты CrowdStrike подтвердили это, подсчитав с точностью до секунды, сколько времени требуется на взлом киберпреступникам из разных стран. Как сообщается в отчете CrowdStrike, по скорости взлома русские превосходят иранцев, северокорейцев и китайцев, которые также попали в список самых высококвалифицированных хакеров. Под скоростью взлома исследователи подразумевают время между проникновением киберпреступников в сеть и началом похищения данных. Скорость взлома имеет огромное значение для успеха мероприятия, поскольку современные технологи позволяют обнаруживать и отражать кибератаки быстрее, чем когда-либо раньше. Чем быстрее злоумышленник проникнет в сеть, тем больше времени будет у него на похищение данных до обнаружения атаки. Для определения скорости взлома исследователи проанализировали 30 тыс. кибератак, осуществленных в 2018 году. По подсчетам исследователей, от получения доступа к атакуемой сети и до распространения по ней российским киберпреступникам требуется всего 18 минут и 49 секунд – почти в восемь раз меньше, чем северокорейцам, занимающим второе место по скорости взлома. На третьем месте оказались китайцы, которым на взлом требуется 4-5 часов – в два раза больше времени, чем северокорейцам.

70% от всех кибератак в РФ в 2018 году пришлось на банки



Крупные банки лучше защищены от кибератак по сравнению с небольшими. По данным специалистов компании Group-IB, 74% российских банков не готовы эффективно противостоять кибератакам. Как сообщают эксперты, 70% от всех хакерских атак в прошлом году пришлось именно на банки. Оставшиеся 30% пришлось преимущественно на компании топливно-энергетического сектора и промышленные предприятия. Хотя киберпреступники атаковали банки из разных категорий, наиболее защищенными оказались крупные финорганизации из топ-10. Небольшие банки защищены гораздо хуже, вероятнее из-за того, что реже сталкиваются с киберинцидентами. По оценке Group-IB, во втором полугодии 2017-го и первом полугодии 2018 года киберпреступники нанесли российской финансовой сфере ущерб в 2,96 млрд руб. По данным Банка России, за восемь месяцев 2018 года ущерб составил 76,49 млн руб., хотя годом ранее показатель перевалил за 1 млрд руб. В 2018 году специалисты зафиксировали целый ряд крупных вредоносных кампаний против банков. Только в конце года киберпреступники атаковали более 50 отечественных финорганизаций с помощью фишинговых писем с вредоносным ПО. По словам специалистов, фишинг и социальная инженерия по-прежнему остаются самими распространенными векторами атак. Как сообщают эксперты Group-IB, у большинства атакованных киберпреступниками банков отсутствовал план реагирования на киберинциденты. Финорганизации были не в состоянии оперативно мобилизовать профильные подразделения и организационно и технически отразить атаки. Уровень подготовки персонала также оставляет желать лучшего. Как оказалось, в 70% банков профильные навыки по поиску следов инфицирования вредоносным ПО и несанкционированной активности в интернете отсутствуют или недостаточны. В 70% банков также отсутствуют четкие процедуры по самостоятельному выявлению вредоносного ПО, а в 60% атакованных финорганизаций не могут централизованно и оперативно сменить пароли. Как минимум 17% от всех отреагировавших на кибератаку финорганизаций в течение последующего года подверглись повторной атаке. В 2018 году у 29% банков специалисты выявили активные заражения, о существовании которых внутренней ИБ-службе ничего не было известно.

Хакеры выложили в сеть интимное видео Хэмилтона с Шерзингер



Хакеры «слили» в сеть видео интимного содержания с участием пилота «Формулы-1» Льюиса Хэмилтона и певицы Николь Шерзингер, сообщает «Советский спорт». «Сердце Николь будет разбито из-за того, что пленка попала в открытый доступ. Это видео не рассчитано на широкую публику», – цитирует источника из окружения певицы The Sun. Отмечается, что ролик был снят в 2015 году, когда они еще встречались. Откровенное видео быстро набрало популярность в интернете. По информации СМИ, оно набрало более 300 тыс. просмотров.

Северокорейские хакеры впервые в истории атаковали Россию



В атаках использовался бэкдор KEYMARBLE из арсенала группировки Lazarus. Долгое время считалось, что Россия является запретной целью для хакеров из КНДР из-за дружеских отношений между двумя странами. Однако теперь все изменилось. Исследователи компании Check Point впервые в истории зафиксировали кибератаку, осуществленную северокорейской киберпреступной группировкой Lazarus на цели в РФ. По мнению исследователей, атака была осуществлена подразделением Lazarus под названием Bluenoroff. Задачей данного подразделения является получение финансовой выгоды, тогда как задачей другого подразделения под названием Andariel является осуществление кибератак на Южную Корею. Именно Bluenoroff эксперты приписывают нашумевший взлом серверов Sony Pictures Entertainment в 2014 году и похищение $81 млн у Центробанка Бангладеш. На то, что за кибератаками на цели в России стоит Lazarus, указывает используемое киберпреступниками вредоносное ПО, а именно – многофункциональный бэкдор KEYMARBLE. Министерство внутренней безопасности США описывает его как троян для получения удаленного доступа (RAT), использующий для защиты передаваемых данных и связи с C&C-сервером криптографический алгоритм XOR. KEYMARBLE получает инструкции от удаленного сервера. Заражение атакуемых систем в ходе новой кампании происходило в три этапа. Сначала жертва получала по электронной почте письмо с ZIP-архивом с вредоносными документами PDF и Word. После активации макросов из Dropbox на компьютер жертвы загружался скрипт VBS. После выполнения скрипт загружал со взломанного сервера файл CAB и выполнял его полезную нагрузку. В какой-то момент в ходе кампании злоумышленники отказались от второго шага и модифицировали макросы в документе Word таким образом, чтобы они загружали непосредственно сам бэкдор. Возникает вопрос, зачем КНДР потребовалось атаковать дружественное государство? Безусловно, кто-то другой мог просто выдать себя за северокорейских хакеров, но в данном случае специалисты Check Point уверены, что за атаками действительно стоит Lazarus.

Группировка APT28 атаковала некоммерческие организации в Европе



С помощью целенаправленного фишинга киберпреступники пытались похитить учетные данные и заразить сети вредоносным ПО. Специалисты компании Microsoft зафиксировали кибератаки на европейские некоммерческие организации, занимающиеся политическими исследованиями. Атакам в частности подверглись Совет по международным отношениям Германии, европейские представительства Института Аспена и Германский фонд Маршалла Соединенных Штатов. В сентябре-декабре 2018 года злоумышленники атаковали 104 учетные записи сотрудников вышеупомянутых организаций в Бельгии, Франции, Германии, Польше, Румынии и Сербии. Специалисты Microsoft обнаружили инциденты и незамедлительно сообщили о них атакуемым организациям. Исследователи пока еще изучают источники атак, однако, по их мнению, за большинством из них стоит известная киберпреступная группировка Strontium (она же Fancy Bear и APT28). Как и в случае с аналогичными атаками на организации в США, в большинстве случаев злоумышленники использовали поддельные электронные адреса, выглядящие как настоящие, и вредоносные ссылки. С помощью целенаправленного фишинга киберпреступники пытались выудить у сотрудников учетные данные и заразить сети организаций вредоносным ПО.

Пользователей в США «накрыла» масштабная вредоносная рекламная кампания



Всего за три дня специалисты зафиксировали более 800 млн показов вредоносных рекламных объявлений. В минувшие выходные жители США столкнулись с масштабной вредоносной рекламной кампанией, ориентированной главным образом на сбор персональной и финансовой информации пользователей. Всего за три дня специалисты компании Confiant, отслеживающей вредоносную рекламу, зафиксировали более 800 млн показов вредоносных рекламных объявлений, пишет ZDNet. При клике на рекламу пользователи переадресовывались на различные вредоносные сайты. Обычно цель подобных кампаний - распространение вредоносного ПО, однако в данном случае злоумышленников больше интересовали персональные и финансовые данные жертв, которые они затем продавали или использовали в других мошеннических операциях. Специалисты в течение нескольких месяцев отслеживают деятельность данной группировки, которую они называют eGobbler. Злоумышленники и ранее совершали атаки, однако удвоили усилия в период праздников (речь идет о Дне Президентов – национальном празднике в США, который в этом году праздновался 18 февраля, - прим. ред.), справедливо полагая, что кампания будет более успешной в период, когда сотрудники команд безопасности отдыхают или работают в сокращенном режиме, отметили исследователи. По их словам, вредоносная кампания была направлена исключительно на американских пользователей. За последние полгода это уже третья кампания, нацеленная на жителей США. Первую (ScamClub) эксперты зафиксировали в ноябре 2018 года. В ее рамках атакующие перенаправляли пользователей на сайты с контентом «для взрослых» и мошеннические страницы. В ходе второй кампании (VeryMal), направленной на владельцев устройств Apple, злоумышленники перехватывали сессии в браузерах и переадресовывали пользователей на web-страницы с вредоносным ПО. Специалисты пока не нашли достаточно доказательств, что все вышеперечисленные кампании связаны между собой.

Австралийское подразделение Toyota подверглось кибератаке



Представители Toyota Australia отрицают компроментацию данных сотрудников или клиентов во время кибератаки. 20 февраля австралийское подразделение японского автомобильного гиганта Toyota подверглось кибератаке. Представители Toyota Australia отрицают компроментацию данных сотрудников или клиентов во время кибератаки. «На данном этапе мы считаем, что данные сотрудников или клиентов не были скомпроментированы», - говорится в коротком заявлении компании на своем сайте. «Расследованием занимается IT-отдел компании, который тесно сотрудничает с международными экспертами в области кибербезопасности для восстановления и запуска системы. На данный момент у нас нет больше информации об источнике атаки», - подчеркнула администрация Toyota Australia. Ранее сообщалось о взломе компьютерной сети финансового отдела канадского отделения Nissan. В результате атаки злоумышленники похитили персональные данные 1,13 млн клиентов компании.

Buhtrap и RTM атакуют малый и средний бизнес в России



Главным предназначением троянов является кража средств с банковских счетов юридических лиц. С начала года не прошло и двух месяцев, а банковские трояны Buhtrap и RTM попытались атаковать десятки тысяч устройств, сообщает «Лаборатория Касперского». 90% от этих атак пришлись на пользователей в РФ. Активность Buhtrap и RTM усилилась в третьем квартале прошлого года и с тех пор не снижается. За весь второй квартал 2018 года специалисты «Лаборатории Касперского» зафиксировали всего 318 попыток атак с использованием RTM, однако уже в следующие три месяца данный показатель приблизился к 47 тыс. К концу года число попыток атак перевалило за 90 тыс. За первые два месяца текущего года атаки RTM были заблокированы у 30 тыс. пользователей. Что касается Buhtrap, то в третьем квартале прошлого года решения безопасности ЛК заблокировали 1488 попыток атак с использованием этого трояна – в два раза больше, чем во втором квартале. К концу года активность Buhtrap заметно снизилась (менее 550 попыток атак), однако в начале 2019-го атаки возобновились с новой силой. За неполные два месяца эксперты зафиксировали 200 попыток заражения. Buhtrap и RTM предоставляют своим операторам полный контроль над зараженной системой, а их главным предназначением является кража средств с банковских счетов юридических лиц. Трояны используются преимущественно для атак на малый и средний бизнес, а их главными жертвами становятся бухгалтеры. Buhtrap распространяется с помощью внедренного в новостные ресурсы эксплоита для известной уязвимости 2018-го года, но только если жертва пользуется браузером Internet Explorer. RTM попадает на компьютеры пользователей через фишинговые письма.

Фишеры используют вредоносное ПО Separ для сбора учетных данных компаний



Злоумышленники применяют простую, но эффективную тактику, включающую сочетание использования легитимных исполняемых файлов и коротких скриптов. В рамках фишинговой кампании киберпреступники используют PDF-документы для распространения вредоносного ПО Separ с целью кражи учетных данных пользователей. Согласно исследованию ИБ-компании Deep Instinct, атаки начались в конце января и затронули около 200 компаний и более 1 тыс. пользователей в Юго-Восточной Азии, на Ближнем Востоке и в Северной Америке. В ходе атаки распространители вредоносного ПО Separ применяют простую, но эффективную тактику, включающую сочетание использования легитимных исполняемых файлов и коротких скриптов. «Хотя механизм атаки, используемый этим вредоносным ПО, очень прост, и злоумышленники не предприняли никаких попыток уклониться от анализа, рост числа жертв показывает, что простые атаки могут быть очень эффективными», - отметил ИБ-эксперт Deep Instinct Гай Проппер (Guy Propper). Первые варианты Separ существовали c ноября 2017 года, а версии, на основе которых было создано вредоносное ПО, активны с 2013 года. Данные злоумышленники используют простую, но хитрую тактику, получившую название «living off the land», предусматривающую использование легитимных инструментов для исполнения вредоносных действий. Особенностью атак является использование очень коротких скриптов, пакетных и легитимных выполняемых файлов. Атака начинается с фишинговой отправки сообщений с вредоносным PDF-документом на электронную почту. Для привлечения внимания жертв темы писем чаще всего связаны с различными цитатами, спецификациями оборудования или поставками. После того как жертва откроет вложенный «PDF-документ», запускается VBS-скрипт, который, в свою очередь, исполняет ряд коротких пакетных файлов, замаскированных под связанные с Adobe программы. Данные файлы выполняют несколько вредоносных функций, в том числе изменяют настройки межсетевого экрана и похищают учетные данные. Для сокрытия активности вредонос открывает пустой файл .jpeg. Сбор учетных данных осуществляется с помощью инструмента SecurityXploded, далее информация по FTP загружается на легитимный сервис под названием FreeHostia. Исследователи рекомендуют компаниям ограничить использование скриптов и инструментов скриптинга, а также не переходить по неизвестным и недоверенным ссылкам.

Посольство РФ в Австрии подверглось кибератаке



В посольстве рассматривают произошедшее как злонамеренные действия с целью саботажа работы консульского отдела. Консульский отдел посольства России в Австрии подвергся хакерской атаке. Об этом посольство сообщило в Telegram. Согласно сообщению, с начала 2019 года сотрудники ведомства начали отмечать систематическую неявку беспрецедентно большого числа лиц, записывавшихся через систему электронной очереди на прием в консульский отдел посольства. При этом количество самих заявок по ряду направлений консульской работы возросло в разы. Стали поступать жалобы граждан на то, что запись на прием стала возможной зачастую лишь на месяцы вперед. Специалисты провели проверку на предмет возможной манипуляции информационными сетями извне и выявили более 300 заявок, автоматически оформленных с IP-адресов в Ираке, Тайланде, Индонезии и ряде других стран. Было принято решение удалить эти заявки и блокировать их источники. Как отмечается, с начала 2019 года в отдельные дни на прием не пришел ни один человек. «Очевидно, что речь идет о злонамеренных действиях, нацеленных на фактический саботаж работы консульского отдела посольства. Исключать повторных атак нельзя, будем внимательно отслеживать ситуацию в интересах наших посетителей», - отметил посол РФ в Австрии Дмитрий Любинский. Напомним, в середине декабря минувшего года кибератаке подвергся сайт посольства РФ в Лондоне. Предположительно, атака была осуществлена с территории Великобритании.

The Times (Великобритания): русские хакеры оставили китайцев далеко позади



Пользующиеся государственной поддержкой русские хакеры намного опережают своих западных противников, и на их фоне китайские кибершпионы выглядят как настоящие увальни. У хакерской группы Fancy Bear, которую поддерживает Кремль, а Запад обвиняет в агрессивных кибератаках глобального масштаба против государственных и военных объектов в Европе, в среднем уходит всего 18 минут и 49 секунд на взлом одного компьютера и выход через него на оперативный простор, то есть, на другие машины в сети взломанной организации. У северокорейских хакеров на это уходит в среднем более двух часов и 20 минут, а у китайцев более четырех часов. Иранцам на это требуется пять часов. Исследователи из американской фирмы кибербезопасности «Краудстрайк» рассказали, что это феноменально, поскольку русские хакеры работают почти в восемь раз быстрее своих ближайших конкурентов северокорейцев. «Мы, конечно, ожидали, что они окажутся на первом месте, с учетом того, насколько они в своем ремесле эффективнее других злоумышленников, но даже нас полученные результаты удивили, поскольку мы увидели, как быстро они перемещаются внутри сети, осуществив начальный взлом», — сказал соучредитель «Краудстрайк» Дмитрий Альперович (Dmitri Alperovitch). Чаще всего хакеры начинают кибератаку с проникновения в один компьютер той или иной организации. Например, они обманным путем заставляют пользователя открыть почтовое сообщение или приложение, которое затем заражает машину вредоносным кодом. Затем они проникают во всю систему с целью шпионажа, получения контроля над системой или вывода из строя инфраструктуры. По словам аналитиков, для них стало откровением то обстоятельство, что хакеры в Северной Корее действуют в среднем вдвое быстрее китайцев. «Наверное, отчасти это объясняется тем, что северокорейские злоумышленники почти 20 лет проводят очень агрессивные кибернаступления и накопили богатый опыт», — сказал Альперович. По его мнению, Северная Корея, занимающаяся кражей криптовалют типа биткойна, использует самые современные методы. «Краудстрайк» подготовила доклад, изучив более 30 тысяч попыток взлома за прошлый год. Эта компания первой составила рейтинг скорости хакеров из разных стран. Авторы доклада отмечают, что более медлительный взлом с последующим проникновением отнюдь не означает, что хакер некомпетентен. Они проанализировали взломы сетей в компаниях, государственных учреждениях и прочих организациях из 176 стран, с которыми сотрудничает «Краудстрайк». По словам аналитиков, что бы ни говорили некоторые страны, они в любом случае наращивают свою шпионскую деятельность. Большинство выявленных ими атак исходило из Китая, России, Ирана и Северной Кореи. Некоторые исходили из Южной Кореи, Вьетнама, Индии и Пакистана.
Вчера компания «Майкрософт» сообщила о том, что Fancy Bear, которая ранее взламывала компьютеры Национального комитета Демократической партии в США, перед выборами в ЕС совершала атаки на аналитические центры в Европе. По словам аналитиков, пользующиеся государственной поддержкой хакеры все чаще нацеливают свои усилия на компании связи, чтобы через них получать доступ к большому количеству граждан.

Быстрые хакеры:

Россия

Среднее время прорыва (необходимое для выхода в сеть через первый взломанный компьютер) составляет 18 минут и 49 секунд.
Российские хакеры известны своими атаками на государственные и военные объекты, а также на системы связи стран НАТО.

Северная Корея

Среднее время прорыва два часа 20 минут.
Северокорейские хакеры известны кражей биткойнов и иностранной валюты, а также атаками против Южной Кореи.

Китай

Среднее время прорыва четыре часа.
Известны шпионажем против западных компаний из самых разных отраслей, таких как технологии и добыча полезных ископаемых.
Среднее время прорыва пять часов девять минут.
Известны атаками против инфраструктуры Саудовской Аравии и в меньшей степени Бахрейна.

Киберпреступная группировка предлагает IT-специалистам $1 млн в год



Киберпреступники ищут IT-специалистов, не гнушающихся нелегального заработка. Киберпреступники готовы платить $1 млн в год специалистам в области системного администрирования, тестирования на проникновение и программирования, не гнушающимся нелегального заработка. Как сообщают исследователи компании Digital Shadows, в даркнете появилось объявление о найме на работу от одной из киберпреступных организаций. IT-специалисту, согласившемуся помочь ей в осуществлении киберпреступной деятельности, организация готова платить $64 тыс. в месяц ($768 тыс. в год) с возможностью повышения зарплаты до $90 тыс. в месяц ($1,08 млн в год) через год сотрудничества. Согласно отчету Digital Shadows, за помощь в вымогательстве денег у высокопоставленных лиц (в том числе у глав компаний, юристов и врачей) киберпреступные группировки обычно предлагают зарплату в размере $30 тыс. в месяц ($360 тыс. в год). Те, кто не хочет работать на кого-то, могут недорого (в пределах $10) приобрести на черном рынке руководства по вымогательству и шантажу. Похищенные учетные данные, панели администрирования, конфиденциальная документация, доступ к сайтам и сетям также можно купить на подпольных форумах. Киберпреступники используют множество методов вымогательства, начиная от угроз опубликовать конфиденциальную информацию и заканчивая блокировкой данных жертвы с требованием выкупа, пишут исследователи. Самым популярным способом является шантаж с угрозой опубликовать подробности о супружеской измене.

Фишеры с помощью LinkedIn внедряют бэкдор More_eggs в системы американских компаний



Бэкдор позволяет злоумышленникам удаленно контролировать взломанные компьютеры и внедрять вредоносные программы. Эксперты группы Proofpoint Threat Insight зафиксировали фишинговую кампанию по распространению бэкдора More_eggs с помощью поддельных предложений о работе, нацеленную на сотрудников американских фирм, использующих торговые порталы и системы online-платежей. Созданный на основе JavaScript бэкдор позволяет злоумышленникам удаленно контролировать взломанные компьютеры и внедрять дополнительные вредоносные программы на компьютеры своих жертв. Изначально More_eggs был обнаружен специалистами компании Trend Micro летом 2017 года. С тех пор он использовался в многочисленных фишинговых кампаниях, направленных на восточноевропейские финансовые учреждения или производителей банкоматов и других платежных систем. Атака начинается с отправки личного сообщения якобы с легитимной учетной записи в LinkedIn, за которым следует ряд электронных сообщений, включающих либо вредоносное вложение, либо поддельную ссылку. В течение недели злоумышленник отправляет личные письма на рабочий адрес жертвы, напоминая получателю о предыдущей попытке связаться через LinkedIn. В качестве темы для контакта он использует профессиональную квалификацию жертвы, указанную в LinkedIn. URL-адреса, встроенные в текст фишинговых писем или вложений, переадресовывают пользователя на страницу якобы принадлежащую кадровому агентству. При открытии фальшивой страницы автоматически загружается поддельный документ Microsoft Office, созданный с помощью инструмента Taurus Builder. При активации макроса на компьютер загружается бэкдор More_eggs. Как отмечают ИБ-эксперты, киберпреступники используют несколько методов доставки бэкдора More_eggs на компьютеры своих целей: 1) с помощью URL вредоносной страницы, с которой происходит загрузка промежуточного загрузчика JavaScript или документа Microsoft Word с вредоносным макросом или эксплоитами; 2) кратких ссылок, ведущих на ту же целевую страницу; 3) PDF-документов со ссылкой на вредоносную страницу; 4) защищенного паролем вложения Microsoft Word с макросами, которые загружают More_eggs; 5) электронных писем без вредоносных вложений или URL-адресов, используемых для установки взаимосвязи с пользователем. Загрузив бэкдор More_eggs на скомпрометированные компьютеры, злоумышленники адаптируют свои атаки к любой защите на устройствах жертв.

Группировка Blind Eagle крадет коммерческие тайны под видом киберполиции Колумбии



Киберпреступная группировка, известная как Blind Eagle или APT-C-36, проводит целенаправленные атаки на колумбийские государственные учреждения, корпорации в финансовом секторе, нефтяной промышленности и др. с целью кражи коммерческих тайн, сообщили специалисты подразделения ИБ-компании Qihoo 360. Группировка Blind Eaglе активна с апреля 2018 года. В ходе фишинговых атак злоумышленники под видом Национальной киберполиции (Policía Nacional Cibernética) и Генеральной прокуратуры Колумбии (Fiscalía General de la Nación) производили хищения интеллектуальной собственности крупных компаний и правительственных учреждений страны. Исследователи не выявили, кто стоит за данной группировкой. Учитывая использование испанского языка атакующими, а также время проведения атак, специалисты предположили, что они исходили из Южной Америки. Злоумышленники проводили атаки на Национальный институт слепых Колумбии (Instituto Nacional para Ciegos), колумбийский Банк Западный (Banco de Occidente) и ряд энергетических компаний в стране. Во время нападений они маскировались под различные американские компании, в частности, Chevron и Energizer, Abbott Laboratories и Progressive с целью вызвать доверие у жертв. Ученые проанализировали недавнюю атаку Blind Eagle, которая имела место 14 февраля 2019 года. APT-группа, выдавая себя за Колумбийский национальный гражданский реестр (Registraduria Nacional del Estado Civil), с помощью фишинговых писем атаковала Национальный институт слепых Колумбии. Злоумышленники использовали прокси и VPN-сервисы для сокрытия IP-адреса отправителя письма. Исследователи определили, что сообщения были отправлены через IDC (Internet Database Connector) во Флориде. Сообщение содержало вредоносный документ, при открытии которого загружался RAT Imminent Monitor, способный предоставлять удаленный доступ к скомпроментированному компьютеру, действовать в качестве кейлоггера, извлекать пароли из браузера, загружать, выгружать и исполнять PE файлы, исполнять скрипты, управлять прокси и пр.

Атака MarioNet позволяет создать ботнет из браузеров



Вредоносный код атакующих выполняется даже в том случае, если пользователь покинул или закрыл вредоносную web-страницу. Специалисты Научно-исследовательского центра FORTH (Греция) и Университета штата Нью-Йорк в Стоуни Брук (США) представили новый метод атаки под названием MarioNet, позволяющий создавать ботнеты из браузеров, поскольку вредоносный код атакующих выполняется даже в том случае, если пользователь покинул или закрыл вредоносную web-страницу. MarioNet представляет собой усовершенствованную версию описанной еще 12 лет назад концепции Puppetnets , также предлагавшей возможность формировать ботнет из браузеров. Отличие между двумя методами заключается в том, что MarioNet может использоваться даже в тех случаях, когда пользователь закрыл вкладку или покинул вредоносный сайт. Метод основан на эксплуатации API Service Workers (преемник API Web Workers), реализованном в современных браузерах. Service Worker - скрипт, который браузер запускает в фоновом режиме, отдельно от страницы, открывая дверь для возможностей, не требующих web-страницы или взаимодействия с пользователем. По сути, атака сводится к регистрации «сервис-воркера» при посещении пользователем подконтрольного злоумышленнику сайта, и эксплуатации интерфейса Service Worker SyncManager для продолжения работы скрипта после того, как пользователь покинет ресурс. Атака происходит незаметно и не требует взаимодействия с пользователем, поскольку браузер не выдает уведомления и не требует разрешения перед регистрацией «сервис-воркера». Кроме того, атаку MarioNet можно разделить, например, злоумышленники могут инфицировать браузеры пользователей, посетивших сайт A, а контролировать «сервис-воркеры» с другого сервера. Таким образом атакующие могут на короткое время внедрить вредоносный код на сайты с высокой посещаемостью, заразить браузеры, удалить код с ресурсов и продолжать контролировать браузеры с другого сервера. MarioNet может «пережить» перезапуск браузера, эксплуатируя Web Push API, однако для этого атакующему понадобится получить разрешение пользователя для доступа к данному интерфейсу. Как отмечают исследователи, ботнет из браузеров может использоваться для различной вредоносной деятельности, в том числе криптоджекинга, проведения DDoS-атак, хранения/распространения вредоносного ПО, создания прокси и пр. Атака MarioNet работает практически во всех мобильных и десктопных браузерах, за исключением Internet Explorer (версия для ПК), Opera Mini (мобильная версия) и Blackberry (мобильная версия), поскольку они не поддерживают Service Workers.

Злоумышленники вооружились «улучшенной» стеганографией



Обнаружены атаки с использованием Polyglot-изображений для сокрытия вредоносного ПО. Исследователи компании Devcon обнаружили новую вредоносную кампанию, в ходе которой для сокрытия вредоносного ПО злоумышленники используют довольно необычную технику – Polyglot-изображения. Технику Polyglot легко спутать со стеганографией, но у них есть одно существенное различие. Стеганография предполагает сокрытие вредоносного кода в графическом изображении путем манипуляций с пикселями. Человеческий глаз не может уловить изменения в некоторых пикселях, и вредонос остается незамеченным. Для осуществления атаки также требуется дополнительный, отдельный от изображения JavaScript-код, способный обнаружить модифицированные пиксели и собрать из них вредоносный код. В случае с Polyglot вредоносный файл может быть изображением и JavaScript-кодом одновременно, поэтому для извлечения вредоноса никаких дополнительных скриптов не требуется. Для создания файла, способного быть одновременно и графическим изображением, и скриптом, злоумышленники используют хитрую уловку, основывающуюся на том, как компьютер интерпретирует эти два совершенно разных типа файлов. Атака Polyglot основывается на том, что браузер запускает только код внутри изображения и игнорирует весь остальной контент. То есть, интерпретатор браузера игнорирует данные изображения и запускает только строку полезной нагрузки. По словам исследователей, злоумышленники распространяют вредоносное ПО в BMP-изображениях, замаскированных под безобидную рекламу. После загрузки в браузере изображение превращается в зашифрованное сообщение, смысл которого становится понятен, если прогнать его через дешифратор, поставляемый вместе с изображением.Вредоносный контент распространяется через сеть доставки контента Cloudfront от Amazon Web Services. Предназначением URL является перенаправление пользователей со страницы, которую они изначально посетили, на страницу с лотереей наподобие «Колеса фортуны».

Кибепреступники зарабатывают свыше $3 млрд в год с помощью соцсетей



Источником порядка 40% случаев заражения в социальных сетях служит вредоносная реклама. Несмотря на проблемы, связанные с конфиденциальностью и распространением дезинформации, социальные сети стали неотъемлемой частью жизни пользователей. Для некоторых кибепреступников они стали основными инструментами для осуществления мошеннических и криминальных схем. Согласно докладу специалиста британского Университета Суррей (Surrey University) Майка Макгуайра (Mike McGuire) и американской ИБ-компании Bromium, соцсети, в том числе Facebook, Twitter, LinkedIn и Instagram, предоставляют злоумышленникам возможность распространять вредоносное ПО быстрее, чем с помощью электронной почты или других видов атак. Злоумышленники пользуются доверием пользователей в соцсетях для распространения фишинговых сообщений, вредоносных ссылок, рекламы, плагинов и другого рода вредоносного контента, зарабатывая на этом примерно $3,25 млрд в год. По оценкам исследователей, источником порядка 40% случаев заражения в социальных сетях служит вредоносная реклама, по меньшей мере 30% - вредоносные плагины и приложения. Согласно отчету, одна из пяти организаций хотя бы раз сталкивалась со случаем заражения вредоносным ПО, распространяемым через социальные сети. Согласно оценкам исследователей, за последние пять лет с компроментацией данных столкнулись порядка 1,3 млрд пользователей социальной платформы. Киберпреступники продают и рекламируют свои товары открыто, включая сдачу в аренду ботнетов и продажу данными, а также устанавливают связи для незаконных деятельности, таких как отмывание денег и мошенничество. Кроме того, злоумышленники предлагают инструкции и поддержку вредоносного ПО в Twitter и Facebook. Социальные сети также используются для вербовки сообщников. Согласно отчету, с 2016 года число случаев найма денежных мулов (людей, которые переводят деньги, приобретенные незаконным путем лично, через курьерскую службу или в электронном виде от имени других), привлеченных возможностью быстрого заработка, увеличилось на 36%. Вместе с тем эксперты не рекомендуют организациям вводить запреты на использование социальных сетей, поскольку это сможет нарушить взаимодействие с поставщиками и потребителями, повлиять на объемы продаж и продвижение компании. Вместо этого организации могут снизить воздействие подобных атак, реализовав меры защиты, в частности изоляцию приложений. Таким образом страницы соцсетей со встроенным вредоносным кодом будут изолированы на отдельных виртуальных машинах, не представляя вреда.

Киберпреступники атакуют магазины с помощью подстановки учетных данных



За восемь месяцев 2018 года было зафиксировано 28 млрд попыток подстановки учетных данных, из них 10 млрд пришлось на ретейлеров.

Большой популярностью у киберпреступников, жаждущих легкой наживы, пользуется техника credential stuffing или подстановка учетных данных, когда злоумышленники берут пароли жертвы из одной утечки и пытаются с их помощью взломать ее учетные записи на других ресурсах. Чаще всего жертвами данной техники становятся ретейлеры. Такие данные приводятся в отчете ИБ-компании Akamai «2019 State of the Internet report», опубликованном в среду, 27 февраля. Согласно отчету, во втором полугодии 2018 года основными жертвами атак с подстановкой учетных данных становились представители торговой отрасли. За восемь месяцев исследователи зафиксировали порядка 28 млрд попыток осуществить подстановку учетных данных, из них 10 млрд пришлось на ретейлеров. Главным источником кибератак является США, далее следуют Россия, Канада, Бразилия и Индия. В среднем ежедневно фиксируется до 115 млн попыток скомпрометировать учетные данные пользователей. Чаще всего злоумышленники атакуют магазины одежды, далее следуют универмаги, поставщики офисного оборудования и продавцы аксессураов. Поскольку на черном рынке доступны огромные базы данных похищенных паролей, их подстановка осуществляется не вручную, а с помощью ботов «все в одном» (All-in-One, AIO). AIO-боты оснащены множеством разных функций, в том числе функцией подстановки учетных данных. Как сообщают специалисты Akamai, популярность AIO-ботов стремительно растет. С их помощью злоумышленники взламывают учетные записи магазинов, делают покупки, а затем распродают «купленные» товары. Согласно отчету, AIO-боты способны взламывать до 120 магазинов за раз.

Поддельные скрипты Google Analytics используются для кражи банковских данных



Киберпреступники похищают платежные данные пользователей online-магазинов на Magento.
Специалисты компании Sucuri зафиксировали новую вредоносную кампанию, в ходе которой киберпреступники с помощью скриптов похищают данные банковских карт пользователей online-магазинов на Magento. Скрипты ищут на сайтах формы для введения платежных данных, похищают вводимые пользователем сведения и передают на подконтрольный злоумышленникам C&C-сервер. Для сокрытия вредоносных скриптов киберпреступники используют скрипты Google Analytics и Angular. Как пояснили исследователи, вредоносный код обфусцирован и внедрен в легитимный JavaScript-файл наподобие skin/frontend/default/theme122k/js/jquery.jscrollpane.min.js, js/meigee/jquery.min.js или js/varien/js.js. Обфусцированный скрипт загружает с поддельного адреса Google Analytics www.google-analytics[.]cm/analytics.js and googlc-analytics[.]cm/analytics.js еще один обфусцированный скрипт, замаскированный под скрипт Google Analytics. Некоторые сайты также заражены поддельным скриптом Angular, содержащим такие ключевые слова, как Angular.io, algularToken, angularCdn и angularPages. Злоумышленники используют адрес поддельного менеджера тегов hxxps://www.gooqletagmanager[.]com/gtm.js and hxxps://googletagmanager[.]eu/gtm.js. По данным PublicWWW, по состоянию на 28 февраля этот поддельный скрипт содержался на 39 сайтах, причем под управлением не только Magento, но и других CMS, в основном WordPress, Joomla и Bitrix.

Китайские кибершпионы используют «антикварные» трояны



Группировка Bronze Union создала собственные версии старых инструментов.

Кибершпионская группировка, предположительно работающая на Китай, использует в атаках модифицированные версии широкодоступных инструментов. Исходный код некоторых из них датируется еще 2007 годом. Группировка APT27, также известная как Bronze Union, Emissary Panda, Threat Group 3390, Lucky Mouse, ZipToken, и Iron Tiger, активна как минимум с 2013 года, а в круг ее интересов входят политические, технологические, гуманитарные и производственные организации. По данным исследователей из SecureWorks Counter Threat Unit, в 2017-2018 годах Bronze Union могла похвастаться богатым арсеналом всевозможных инструментов. Хотя некоторым троянам уже более десяти лет, кибершпионы сумели модернизировать их и приспособить под свои нужды. Одним из таких инструментов является троян для удаленного доступа (RAT) ZxShell, исходный код которого был опубликован в 2007 году кем-то под псевдонимом LZX. Хотя различными вариантами трояна пользовались многие киберпреступные группировки, версия, используемая Bronze Union в 2018 году, обладала ранее неизвестными функциями. В частности, в нее был добавлен инструмент для перенаправления пакетов под названием HTran. Еще одним «антикварным» инструментом из арсенала Bronze Union является Gh0st RAT, исходный код которого был опубликован в 2008 году. С того времени несколько раз всплывали новые модификации трояна, однако в 2018 году Bronze Union использовала свою собственную версию Gh0st RAT. В частности, группировка внесла изменения в заголовки трояна. С целью скрыть от обнаружения связь вредоноса с C&C-сервером злоумышленники добавили рандомизацию в идентификатор Gh0st RAT. Благодаря обфускации им удавалось скрывать истинный источник сетевого трафика.

Иранские кибершпионы атакуют Британию и Австралию



Группировка IRIDIUM ответственна за кибератаки на британский и австралийский парламенты.

Иранская киберпреступная группировка, в начале февраля похитившая персональные данные австралийских депутатов, также ответственна за кибератаку на парламент Великобритании в 2017 году. Согласно сообщению лосанджелесской ИБ-компании Resecurity, кибератака на австралийский парламент в начале прошлого месяца является частью «многолетней кибершпионской операции», проводимой иранской хакерской группировкой IRIDIUM. В круг ее интересов входят правительственные, дипломатические и военные организации в Австралии, Канаде, Новой Зеландии, Великобритании и США. Австралия не выдвигала против Ирана никаких официальных обвинений в кибератаке, а первым о возможной причастности к инциденту иранских киберпреступников сообщило издание Wall Street Journal. Компания BBC в свою очередь приписала иранцам кибератаку на британский парламент в 2017 году. Тем не менее, связь между двумя инцидентами была выявлена только сейчас исследователями из Resecurity. В обоих случаях киберпреступники использовали брутфорс-атаки, с помощью которых им удалось получить персональные данные парламентариев. В общей сложности они похитили тысячи записей, содержащих имена, электронные адреса, даты рождения и прочие данные депутатов и их помощников. По мнению исследователей, вмешательство в избирательный процесс не являлось целью группировки – она занималась так называемым «стратегическим сбором информации».

Оператор восьми сервисов по заказу DDoS-атак признал свою вину



Пользователи, зарегистрированные на сайтах оператора сервисов по заказу DDoS-атак, осуществили около 4 млн DDoS-атак против тысяч компаний.

20-летний житель штата Иллинойс (США) Сергий Усатюк (Sergiy Usatyuk) признал себя виновным в создании и управлении восемью сервисами по заказу платных DDoS-атак, функционировавших с августа 2015 года по ноябрь 2017 года. Согласно судебным документам, Усатюк совместно с сообщником в Канаде управлял сайтами ExoStress.in, QuezStresser.com, Betabooter.com, Databooter.com, Instabooter.com, Polystress.com, Zstress.net и Decafestresser. Управление сервисами производилось наряду с ботнетом, состоящем по крайней мере из 31 мощного сервера, арендованного у американских провайдеров облачного хостинга. Под псевдонимом «Andy» Усатюк рекламировал сервисы на web-форуме для киберпреступников HackForums.net. Как указывается в судебных документах, пользователи, зарегистрированные на сайтах Усатюка, осуществили около 4 млн DDoS-атак против тысяч компаний, что привело к значительному ущербу. Полиция выследила Усатюка после того, как он авторизовался на арендованных серверах с домашних IP-адресов. После ареста с его счета были изъяты 10,74 биткойна (примерно $542 924 тыс. на то время), которые, предположительно, были им заработаны на сдаче сервисов в аренду. Кроме того, сотрудники полиции получили доступ к журналам online-чата Усатюка, в котором он совместно с сообщником оказывал услуги техподдержки клиентам. Ранее перед судом в США предстал российский программист Станислав Лисов, известный в Сети под псевдонимами Black и Blackf. Обвиняемый признался в использовании трояна NeverQuest для заражения компьютеров жертв с целью похищения учетных данных для online-банкинга и последующего использования их для незаконного перевода средств. «Booter» или «Stresser» - сервисы, имеющие простые web-интерфейсы и возможности оплаты через Интернет, использующиеся в качестве инструментов для стресс-тестирования, могут выполнять несанкционированные DDoS-атаки и позволять технически неискушенным злоумышленникам получать доступ к сложным инструментам атаки без необходимости понимания цели их использования.

Группировка Magecart Group 4 регулярно совершенствует свои методы скимминга



Из всех группировок, объединенных под названием Magecart, Group 4 является самой профессиональной.

В настоящее время существует несколько десятков киберпреступных группировок, объединенных ИБ-экспертами под общим названием Magecart. Группировки используют различные методы, но с одной и той же целью – похитить данные банковских карт пользователей сайтов электронной коммерции. Не все группировки Magecart обладают одинаковым уровнем знаний и умений. По словам специалистов из RiskIQ, одна из них, Group 4, отличается особым профессионализмом. То, как киберпреступникам удается организовывать свой бизнес, внедрять новые методы работы, минимизировать риски и повышать эффективность, указывает на их весьма выдающиеся способности. После отключения части используемой Group 4 инфраструктуры специалистам RiskIQ удалось продолжить мониторинг активности группировки и совершенствования используемых ею техник. В распоряжении Group 4 есть около сотни зарегистрированных доменов, пул серверов для маршрутизации трафика и доставки на системы жертв вредоносного ПО, пишут исследователи. После реорганизации группировка оставила себе только пять доменов с одним IP-адресом. «Домены, связанные со скимминговыми операциями Group 4, просто являются прокси, указывающими на большую внутреннюю сеть. После применения некоторой начальной фильтрации скиммер направляет запросы конечной точке, предоставляющей скрипт скиммера (или легальный скрипт, если посетитель не осуществляет платеж)», - сообщили исследователи. Для маскировки вредоносной активности группировка использует множество легальных библиотек, скрывающих скиммер на странице платежей до начала его активности. Более того, для защиты своей инфраструктуры от полного разрушения киберпреступники добавили пулы примерно из десяти последовательных IP-адресов примерно у пяти разных хостеров. Сами скиммеры регулярно обновляются и получают новые функции, которые предварительно проходят тестирование. Новый функционал как правило отключен по умолчанию, отметили исследователи. В настоящее время код только проверяет наличие платежных форм и похищает данные. Благодаря столь ограниченному функционалу злоумышленникам удалось сократить объем кода всего до 150 строк – это в десять раз меньше по сравнению с тем, каким код был раньше.