Российские хакеры причастны к нескольким крупномасштабным кибератакам



Связанных с правительством России хакеров обвиняют в осуществлении атаки на ряд западных компаний.

Как сообщает агентство Bloomberg, российские хакеры оказались причастны к серии киберинцидентов, о которых ранее не было известно широкой публике. Связанные с правительством РФ киберпреступники предположительно осуществили взлом Варшавской фондовой биржи, саботировали работу немецкого сталелитейного завода, а также атаковали ресурсы Палаты представителей США и газеты New York Times.
Атака на Варшавскую фондовую биржу состоялась в октябре 2014 года. Злоумышленники вывели сайт из строя на два часа и получили доступ к информации о техническом устройстве ресурса. Источники Bloomberg, имеющие отношение к расследованию, сообщают, что хакеры выдали себя за исламистов, поддерживающих террористическую организацию «Исламское государство». Тем не менее, на самом деле злоумышленники принадлежали к группировке APT28 (она же Fancy Bear или Pawn Storm), связанной с российскими властями.
В начале 2014 года те же киберпреступники осуществили атаку на SCADA-системы сталелитейного завода ThyssenKrupp в Германии. Во внутренних сетях предприятия было обнаружено вредоносное ПО, которое ИБ-специалисты ранее связывали с деятельностью российских спецслужб. Тем не менее, было принято решение не связывать данный инцидент напрямую с властями РФ.
Российских хакеров также подозревают в осуществлении атаки на французский телеканал TV5Monde. Об этом агентству Bloomberg сообщили представители ИБ-компаний. В результате кибератаки телеканал в течение двух дней не мог выйти в эфир, а восстановление работоспособности его IT-систем обошлось администрации канала в 15 млн евро.
По версии специалистов из Trend Micro, группировка APT28, которую эксперты связывают с вышеперечисленными атаками, может оказаться подразделением ФСБ РФ. На такой вариант косвенно указывает тот факт, что хакеры неоднократно проводили кибератаки на политических оппонентов президента РФ Владимира Путина. Осведомители Bloomberg считают, что именно группировка APT28 стоит за нападением на газету New York Times, состоявшимся в прошлом году. Тогда злоумышленники получили доступ к аккаунту одного из корреспондентов издания и с его помощью пытались скомпрометировать учетные записи других журналистов газеты.

____________________________________

Хакеры похитили данные клиентов благотворительных магазинов America's Thrift Stores



Злоумышленники получили доступ к некоторым номерам и срокам действия платежных карт.

Представитель сети благотворительных магазинов America's Thrift Stores Кеннет Собаски (Kenneth Sobaski) сообщил, что возможно все операции купли-продажи компании, осуществленные в период с 1 по 27 сентября текущего года, были скомпрометированы хакерами. Собаски заявил, что источник атаки находится в Восточной Европе. Злоумышленники получили доступ к некоторым номерам платежных карт жертв. Вредоносное ПО, которое использовали хакеры, стало причиной компрометации данных пользователей нескольких розничных магазинов в Северной Америке.
Собаски сообщил, что атака произошла из-за программномого обеспечения, которое использовал сторонний провайдер, название которого не уточняется. Секретная служба США заявила, что были похищены только номера платежных карт и их сроки действия. Другие данные, включая имена, адреса, номера телефонов, адреса электронной почты скомпрометированы не были.
ИБ-экспертам удалось обнаружить атаку и удалить вредоносное ПО. В настоящее время системы безопасности компании усовершенствованы, и у покупателей нет причин для беспокойства. Расследование продолжается, и пока не уточняется число скомпрометированных в ходе атаки платежных карт.
Напомним, что недавно ИБ-исследователи из «Доктор Веб» обнаружили новый PoS-троян, который был создан путем совмещения нескольких кодов других вредоносных программ. Вредоносное ПО пересылает все собранные данные о банковской карте и другую перехваченную информацию на C&C-сервер злоумышленников.

Исламские хакеры безуспешно атакуют американский энергосектор



В настоящее время террористы не применяют сложные инструменты, предназначенные для взлома компьютерных систем.

Хакеры Исламского государства предпринимают попытки взлома сетей американских энергетических компаний. Об этом сообщили представители ФБР в ходе конференции GridSecCon, на которой присутствовали представители энергопредприятий.
Следователи не сообщили ни подробностей об инцидентах, ни обнародовали доказательства конкретных атак, однако уточнили, что все попытки оказались безуспешными. Отмечается, что в настоящее время террористы не применяют сложные инструменты, которые предназначены для взлома компьютерных систем и вызова отказа в работе.
«Твердые намерения, но, к счастью, скромные возможности. Мы опасаемся, что они [хакеры – прим. ред.] купят новые техники», - цитирует издание CNNMoney слова руководителя отдела по борьбе с киберпреступностью ФБР Джона Ригги (John Riggi).
В ведомстве опасаются, что Исламское государство или его сторонники приобретут на черном рынке вредоносное ПО, которое затем будет использоваться для инфицирования компьютеров и уничтожения электроники. При этом, атаки на энергетические компании могут существенным образом повлиять на энергоснабжение страны.
По словам Ригги, американские спецслужбы проводят тщательный мониторинг компьютерных сетей и оперативно делятся полученной информацией с правоохранительными органами.


____________________________




Киберпреступники взломали внутренюю сеть биржи Dow Jones



В осуществлении преступления власти подозревают российских хакеров.

В среду, 14 октября, администрация биржи Dow Jones заявила о взломе внутренней сети финансового рынка неизвестными киберпреступниками. По словам представителей Dow Jones, хакеры похитили персональные данные примерно 3,5 тысяч брокеров.
По версии Bloomberg, в настоящее время власти США подозревают в осуществлении преступления российских хакеров. Агенты ФБР, Секретной службы США и Комиссии по ценным бумагам и биржам США считают, что члены неназванной преступной группировки похитили закрытые финансовые данные и новостные статьи в целях получения преимущества на торгах.
Администрация Dow Jones заявила, что биржа не располагает информацией о произошедшем. Как заявила изданию The Register вице-президент по связям с общественностью Колин Шварц (Colleen Schwartz), правоохранительные органы не связывались с руководством биржи и не сообщали никакой информации.

___________________________


Злоумышленники атакуют пользователей Ubuntu Phone



Злоумышленники атакуют пользователей Ubuntu Phone

Компания Canonical выпустила бюллетень безопасности для 15 пользователей, установивших приложение test.mmrow для Ubuntu Phone. В то время как список потенциальных жертв сравнительно невелик, сама проблема оказалась довольно серьезной. Неизвестные злоумышленники разработали способ, позволяющий обходить проверки, которые, предположительно, должны обезопасить процесс инсталляции приложений в ОС Ubuntu Phone.
По словам руководителя отдела программного инжиниринга Canonical Олли Раеса (Olli Ries), вредоносное приложение создавало скрипт, который модифицировал заставку входа и позволял атакующему получить доступ с правами суперпользователя. Приложение генерировало на целевом устройстве «неограниченную политику безопасности». Затем создавался shell-скрипт, способный повышать привилегии до уровня суперпользователя и извлекать TAR-файл, содержащий изображения, отображающиеся при перезагрузке телефона в режим восстановления.
На первый взгляд, конфигурация приложения позволяет предположить, что программа использует стандартный шаблон ограничения, однако на деле используется неограниченный шаблон в альтернативной директории, пояснил Раес.
Специалист подчеркнул, что проблема затрагивает только операционную систему Ubuntu Phone. Корректирующее обновление будет выпущено уже в ближайшее время.

___________________________


В Малайзии арестован хакер, передававший ИГИЛ данные об американских военных



Преступнику грозит до 35 лет тюремного заключения.

В Малайзии был арестован хакер, похитивший данные о тысяче американских солдат и передавший их в руки ИГИЛ. Об этом сообщает издание ABC News. В настоящее время преступник ожидает экстрадиции в США.
Обвинение утверждает, что гражданин Косово Ардит Феризи (Ardit Ferizi) взломал базу данных неразглашенной американской торговой сети и похитил персональные данные более чем тысячи солдат Вооруженных сил США. Преступник передал полученную информацию Джунаиду Хуссейну (Junaid Hussain) – гражданину Великобритании, который, по версии США, руководит операциями ИГИЛ в социальных сетях. После этого Хуссейн разместил список в сети, призывая всех «правоверных мусульман» к убийству американских военных.
«Мы проникли в вашу электронную почту, компьютерные системы и социальные сети. Мы следим за каждым вашим шагом. У нас есть ваши имена и адреса. Мы соберем все ваши личные данные и передадим их солдатам Халифата. Вскоре, с позволения Аллаха, они перережут ваши глотки на ваших же землях!» - сообщается в приложении к списку. Персональная информация военных была удалена, но специалисты Министерства юстиции США сохранили копию сообщения для использования его в качестве доказательства вины хакера.
Как сообщил ассистент Генерального прокурора США Джон Карлин (John Carlin), арест продемонстрировал решимость США в войне против ИГИЛ и защите американцев от действий террористов. Преступнику грозит до 35 лет тюремного заключения.

Российский хакер научился взламывать переписку "ВКонтакте"



Российский эксперт в области информационной безопасности Михаил Фирстов рассказал в своем блоге о том, что ему удалось написать программный код, позволяющий перехватывать переписку пользователей "ВКонтакте".

Пользователи, по словам Фирстова, могут использовать приложения для iOS и Android и должны находиться в той же сети Wi-Fi, что и взломщик.
В беседе с сотрудниками TJournal специалист рассказал, что возможность получать сообщения в незашифрованном виде заложена в мобильных приложениях "ВКонтакте", которые по какой-то причине передают их через незащищенный протокол HTTP. Незашифрованное соединение, по его словам, используется даже в том случае, если в настройках стоит галочка "Всегда использовать защищенное соединение".
По мнению Фирстова, HTTPS был отключен специально, так как в мобильных приложениях принято экономить трафик. Позднее исследователь рассказал, что в последнем обновлении приложения VK App для iOS передача сообщений по HTTP была исправлена. Для перехода на протокол HTTPS нужно включить эту опцию на сайте.
В свою очередь, пресс-секретарь "ВКонтакте" Георгий Лобушкин рассказал изданию, что в версии для iOS защищенное соединение используется всегда, а в приложении Android его можно включить. "В таком случае получить доступ к переписке пользователя перехватом Wi-Fi-трафика невозможно", - отметил он.
Георгий Лобушкин также добавил, что в ближайшем будущем соцсеть планирует "полностью отказаться от использования HTTP".

___________________________________


CNN: юные хакеры "взломали" директора ЦРУ и попросились в РФ



Группа хакеров, которая называет себя CWA, утверждает, что взломала личную электронную почту директора ЦРУ Джона Бреннана и министра национальной безопасности Джея Джонсона.

Информацию, которую группе якобы удалось собрать, они выкладывают в Twitter.
Хакеры заявили CNN, что было невероятно просто получить к доступ к электронной почте высокопоставленных американских чиновников. При этом по крайней мере один из самопровозглашенных хакеров еще учится в старших классах школы.
Корреспондент CNN Лори Сигэлл побеседовала с одним из этих предполагаемых хакеров. Она сообщает, что довольно быстро вышла с ними на связь, потому что они активно публиковались в Twitter.
"У меня была возможность поговорить с двумя из них. Они постоянно меняли количество, то их было 3, то 9, то 6. Они постоянно немного меняли показания.Но я спросила их, почему они так поступили, что ими двигало. Я должна вас сразу предупредить: они изменили свои голоса, чтобы сохранить личность в тайне. Послушайте, что они мне сказали":

Хакеры ИГИЛ зачастили в российский интернет



Кибертеррористы атаковали за последний год более 600 российских сайтов и проявляют интерес к более защищенным ресурсам госведомств/

Специалисты по информбезопасности компании Group IB отмечают активность хакеров запрещенной в России террористической организации ИГИЛ в российском сегменте интернета. С лета 2014 года до середины 2015 года они атаковали сайты более чем 600 российских компаний и государственных организаций среднего и мелкого уровня, блокируя их и размещая там пропагандистские материалы. По мнению экспертов, таким образом хакеры тренируются, чтобы устроить атаки на более защищенные сайты крупных компаний и госструктур.
С лета 2014 года Group IB уже зафиксировано более чем 600 атак хакеров-исламистов на сайты компаний и организаций в России. Они действовали по уже стандартному сценарию: после взлома закрывали доступ ко всем разделам сайта, а на главной странице размещали баннер со своей пропагандой и оскорблениями мировых политиков, выступавших против ИГИЛ. Иногда вывешивались фото политиков либо видеозаписи, сделанные во время акций террористов. При атаках сайтов исламисты использовали самые разные методы — от фишинга и DDoS-атак до запуска троянских программ или поиска уязвимостей вручную.
— Обычные хакеры зачастую взламывают ресурсы ради кражи информации или денег — так они монетизируют свой труд, — рассказал «Известиям» глава Group IB Илья Сачков. — Радикальным исламистам ничего этого не нужно — их интересует паника, хаос и сбой деятельности организаций.
Чаще всего в атаках на российские ресурсы были замечены кибер-группировки Team System Dz, FallaGa Team и Global Islamic Caliphate.
Изучив данные кэша поисковиков Google и «Яндекс», эксперты выяснили, что они атаковали сайты в России в хаотичном порядке. Так, их жертвой стал сайт девелопера элитного жилья «Анапа-Лазурное» и крымского ЧОПа «Русичъ-Юг». Под атаку попали сайты администрации Борисоглебского района Ярославской области, НПП «Гидрокомплект», который строит подземные коммуникации, центра сердечной медицины «Черная речка».
Начальник информационно-компьютерного отдела администрации Борисоглебского района Сергей Бородулин рассказал «Известиям», что сайт пытались взломать несколько раз, и трижды хакерам это удалось.
— Было несколько взломов, когда у нас на сайте появлялась эта плашка, но каждый раз это было днем, поэтому нам понадобилось совсем немного времени, чтобы всё убрать, — рассказал Бородулин. — Хакеры в первый раз изменили файл index в коде страницы, и нам понадобилось минут пять, чтобы вернуть сайт к работе. Во второй раз они этот файл удалили, и мы потратили час на то, чтобы восстановить сайт из резервной копии.
По его словам, игиловцы использовали DDoS-атаку для поражения ресурса. При этом, по его словам, на работе сайта и администрации атаки никак не сказались.
— Мы не подавали заявления в полицию, потому что трудно отследить конкретное место, откуда шла атака, а те, кто атаковал, явно находятся за пределами юрисдикции России, — пояснил Бородулин.
В «Анапе-Лазурном» рассказали «Известиям», что их сайт атаковали летом этого года, а послание ИГИЛ висело несколько часов перед тем, как его сняли.
— Мы увидели этот баннер и сразу же связались с айтишником, который у нас на аутсорсе обслуживает сайт, — сообщили «Известиям» в компании. — Прошло еще какое-то время, прежде чем баннер был снят.
Представитель «Анапы-Лазурного» сообщила, что они пока не подавали заявления в полицию.
Представитель ЧОП «Русичъ-Юг», чей сайт также подвергся атаке, рассказал, что в их случае хакеры могли просто перепутать объект атаки.
— У нас похожее название с военизированным подразделением «Русич», поэтому могли просто нас перепутать, — сообщил он «Известиям».
Баннеры ИГИЛ также появлялись на сайтах Калининградской художественной галереи, международного агентства регистрации рекордов «Интеррекорд», коллегии адвокатов «Альянс» из Хабаровска, компании «Волс-инвест», занимающейся прокладкой оптоволоконных линий связи.
— На нашем сайте во время новогодних праздников появился баннер с символикой некой палестинской организации, — рассказала «Известиям» директор Калининградской художественной галереи Галина Заболотская. — Специалисты нашей техподдержки через два дня после обнаружения убрали баннер, а 8 января мы подали заявление в полицию. Однако хакеров пока так и не нашли.
По ее словам, поначалу сотрудники галереи посчитали, что это чья-то злая шутка или происки недоброжелателей. После этого случая техподдержка галереи усовершенствовала защиту и структуру своего сайта.
На счету одного из членов Тeam System Dz — L’APoca-Dz — более 30 хакерских атак на различные российские ресурсы. Это Североуральский краеведческий музей, городской портал «Мытищи» и МБОУ лицей № 5 Уфы.
Эксперты объясняют хаотичный выбор хакеров ИГИЛ тем, что они пытаются взламывать различные платформы и системы защиты, чтобы набраться опыта и понять специфику российского сегмента.
— Они выбирают, что можно сделать на основе тех знаний, которые они уже получили, поэтому их атаки пока хаотичны: они ломают те сайты, которые меньше защищены, и одновременно стараются вызвать панику, — пояснил «Известиям» Сачков.
Эксперты опасаются, что, набравшись опыта и знаний, хакеры попытаются атаковать более защищенные объекты и системы автоматического управления объектов инфраструктуры — электростанций, водоканалов.
Косвенными помощниками хакеров из ИГИЛ могут стать их российские коллеги.
— На русскоязычных хакерских форумах всё чаще мелькают IP-адреса посетителей из стран, которые контролирует ИГИЛ, — рассказал «Известиям» Сачков. — Террористы читают на форумах, что умеют делать русские хакеры, и пытаются понять, как их инструменты можно использовать для своих атак. Например, русские хакеры получали доступ к стратегическим объектам, но не знали, как на этом заработать. Зато хакеры ИГИЛ знают, что делать с этой информацией, к тому же они готовы ее покупать у русских коллег.
Директор учебного центра по компьютерной безопасности «Информзащита» Михаил Савельев считает, что современные войны ведутся во всех сферах.
— Нельзя исключать, что, понеся значительный ущерб от российских бомбардировок, члены ИГИЛ или те люди, кто за ними стоит, захотят отомстить, в том числе и кибератаками на сайты российских госструктур, — пояснил «Известиям» Савельев.

По его словам, хакеры проводят атаки трех типов: чтобы привлечь внимание к ИГИЛ, чтобы нарушить технологические процессы, которые могут привести, например, к остановкам производства или технологическим авариям, а также ради кражи секретной информации или гостайны.
— К сожалению, на 100% защититься от этих атак невозможно, поскольку всегда остается риск халатности или необнаруженных уязвимостей в программном обеспечении этих сайтов и систем, — говорит Михаил Савельев.
Гендиректор компании Solar Security, специализирующейся на компьютерной безопасности, Игорь Ляпунов не видит сейчас особой опасности от хакеров ИГИЛ.
— Дело в том, что хакерское сообщество мотивировано в большинстве случаев далеко не на политические или религиозные призывы. Кроме того, данное сообщество сейчас достаточно интернационально или даже космополитично и старается дистанцироваться и от «работодателей», и от их «целей», — считает Игорь Ляпунов.
В Управлении «К» МВД РФ и Роскомнадзоре «Известиям» заявили, что борьбой с хакерами, которые взламывают сайты и компьютерные сети государственных органов в РФ, занимаются специалисты центра информационной безопасности Федеральной службы безопасности РФ и специального подразделения Федеральной службы охраны. Получить оперативный комментарий представителей спецслужб не удалось.
Как ранее писали «Известия», государственные структуры, в том числе и гражданские, на всех уровнях противодействуют присутствию ИГИЛ в российском сегменте Сети.
В результате мониторинга интернета Роскомнадзором выявлено 899 URL (адрес ресурса в сети интернет), содержащих призывы к участию в вооруженных формированиях ИГИЛ. На 863 адресах после направления уведомления информация была удалена, по 36 — ограничен доступ. По словам представителя ведомства, экстремистской информации, связанной с ИГИЛ, в русскоязычном интернете становится меньше.

Хакеры продолжают обновлять банковский ботнет Dridex



Новые версии вредоносного ПО были выявлены ИБ-специалистами 16 и 20 октября.

Банковский ботнет Dridex продолжает периодически появляться на просторах интернета, даже несмотря на то, что в сентябре текущего года ФБР изъяло серверы, связанные с вредоносом.
Напомним, в конце августа в Европе были арестованы главные подозреваемые в создании и применении вредоносного ПО Dridex. Согласно следственной информации, 30-летний гражданин Молдовы Андрей Гинкул несет ответственность за причинение банкам ущерба на сумму $3,5 млн в результате мошенничества с использованием компьютера.
ИБ-исследователь из компании Avira Мориц Кролл (Moritz Kroll) обнаружил, что Dridex до сих пор частично функционирует. «Я проверил образец вредоноса с помощью Botchecker компании и выявил, что первый узел сети отвечает на запросы и передает основные компоненты Dridex и список вторых узлов сети», - рассказал Кролл.
Как известно, арест создателей и изъятие серверов не всегда означают конец вредоносной деятельности ботнета. Кролл сообщил, что Dridex до сих пор распространяется под видом документа Word через спам-рассылку. Напомним, в начале октября текущего года компания Palo Alto Networks заявила о начале фишинговой кампании, направленной в основном на пользователей из Великобритании. Отправляемые хакерами фишинг-письма содержали документ Microsoft Word, в котором жертве обманным путем предлагалось активировать макрос, предназначенный для отображения подконтрольных злоумышленникам интернет-ресурсов и загрузки банковского трояна Dridex.
Стоит отметить, что новые версии вредоносного ПО были выявлены ИБ-специалистами 16 и 20 октября. Кролл отмечает, что вирусописатели продолжают регулярно обновлять Dridex.

Pawn Storm атакует чиновников, расследующих падение малазийского Boeing 777 MH17



Был обнаружен ряд подозрительных серверов, собирающих имена пользователей и паролей следователей.

Хакеры из группировки Pawn Storm, известные своими кибернападениями на НАТО, Белый Дом и другие организации, атакуют дознавателей, расследующих катастрофу малазийского самолета Boeing 777 MH17, который был сбит в июле 2014 года над Донецком.
Эксперты ИБ-компании Trend Micro обнаружили ряд подозрительных SFTP, VPN и Outlook Web Access (OWA) серверов, конфигурация которых позволяла собирать имена пользователей и паролей чиновников, расследующих инцидент. Специалисты полагают, что серверы были запущены в сентябре-октябре 2015 года - в преддверии публикации отчетов о ходе расследования. Предполагается, что злоумышленники рассылали дознавателям фишинговые письма со ссылками на поддельные серверы, надеясь таким образом заполучить учетные данные.
«Результаты анализа позволяют сделать вывод, что, вероятнее всего, Pawn Storm осуществляла атаки на различные организации с целью получения информации о крушении рейса MH17», - отметил старший аналитик Trend Micro Фейк Хаккеборд (Feike Hacquebord).
По мнению исследователя, злоумышленникам не удалось получить чьи-либо пароли. Кроме того, несколько попыток компрометации учетных записей следователей были обнаружены на ранних стадиях.
Pawn Storm известна тем, что эксплуатирует бреши нулевого дня. В частности, в середине октября появилась информация о том, что группировка эксплуатировала ранее неизвестную уязвимость нулевого дня в Adobe Flash Player (уже исправлена) в ходе атак на различные правительственные организации.

_____________________________________


Вымогательское ПО LowLevel04 использует необычный способ подключения



Злоумышленники шифруют все файлы на компьютере жертвы и требуют у нее выкуп в размере $1 тысячи.

ИБ-эксперты компании Bleeping Computer обнаружили новый вид вымогательского ПО под названием LowLevel04, использующее для распространения достаточно необычный механизм. Для того чтобы заразить новые ПК, вредонос подключается к ним с помощью соединения «Удаленный рабочий стол» в Windows. Затем вымогательское ПО шифрует все файлы с использованием алгоритма AES и требует у жертвы выкуп в размере 4 биткоинов (~$1000) в качестве платы за разблокировку.
Впервые LowLevel04 появился в начале нынешнего месяца. По словам одного из пострадавших пользователей, все его документы были внезапно зашифрованы, а на рабочем столе появился текстовый документ. В нем злоумышленники сообщили, что все файлы были зашифрованы, а для разблокировки необходимо заплатить выкуп.
По словам исследователей, злоумышленники использовали брутфорс-атаку по Remote Desktop, чтобы распространить вредонос. В настоящее время преступники используют LowLevel04 в атаках на греческих и болгарских пользователей.

СМИ: хакеры сообщили о взломе личной почты Голиковой



Хакеры из группировки "Анонимный интернационал" опубликовали переписку, которая, по их утверждению, принадлежит председателю Счетной палаты и экс-министру здравоохранения Татьяне Голиковой.
Как передает NEWSRU.com, взломщики утверждают, что Голикова якобы использует для служебной переписки Gmail.
По заявлению хакеров, согласно материалам из переписки чиновницы, Голикова обсуждала по почте свой план лечения в клинике, которая находится в Австрии. При этом в план были внесены различные косметические процедуры, утверждают взломщики почты.
Кроме того, хакеры сообщают, что Голикова переписывалась с мужем Виктором Христенко по поводу бизнеса, связанного с импортом иностранных самолетов.
Хакеры также процитировали другое письмо, где собеседники обсуждали заказ на бриллиантовое кольцо, а также целый набор украшений из сапфиров.

Иранские хакеры проявляют интерес к мобильным RAT



Работа с AndroRAT и DroidJack не требует наличия особых технических навыков.

Иранские хакеры демонстрируют повышенный интерес к мобильным троянам удаленного доступа, в частности, к вредоносам, разработанным для инфицирования Android-устройств. Такой вывод сделали специалисты аналитической компании RecordedFuture по итогам проведенного ими исследования.
По словам экспертов, наибольший интерес у злоумышленников вызывают трояны AndroRAT и DroidJack, которые могут скрываться в замаскированных под легитимные приложения. Эксперты подчеркивают, что такие угрозы, как njRAT, широко используются в кампаниях по шпионажу и в различных видах криминальной деятельности, тогда как XtremeRAT применяется в атаках, нацеленных на предприятия в Израиле, Египте и Саудовской Аравии.
Согласно статистике компании IDC, Android является наиболее популярной мобильной операционной системой на Ближнем Востоке и в Африке – порядка 80% устройств работают под управлением этой платформы.
Все варианты Android-троянов обладают широким рядом функций, позволяющих осуществлять шпионскую деятельность и получить контроль над устройством. RAT способны перехватывать SMS-сообщения, просматривать журналы звонков, историю браузера, контакты и другие важные данные, в том числе учетные.
Как пояснил аналитик RecordedFuture Родриго Бижу (Rodrigo Bijou), DroidJack и AndroRAT представляют меньшинство в рамках общей активности троянов удаленного доступа, однако доступность и необязательность наличия особых технических навыков для работы с ними способствуют популярности данных вредоносов. Скорее всего, отмечает исследователь, трояны так и будут оставаться наиболее очевидным выбором для злоумышленников, намеренных атаковать мобильные ОС на Ближнем Востоке.

__________________________________


Хакеры использовали 900 камер наблюдения для DDoS-атак



Американская компания Incapsula обнаружила ботнет из около 900 IP-камер, с помощью которых злоумышленники организовали масштабную DDoS-атаку. Об этом представители Incapsula рассказали в корпоративном блоге компании.
В атаке участвовали подключенные к интернету камеры из разных стран мира, несколько десятков из них было расположено и в России. Злоумышленники взламывали интерфейс на основе UNIX для встроенных в камеры ОС Linux. Сначала они сканировали сети и определяли, какие из камер наиболее уязвимы для взлома, а затем взламывали их через прямой перебор паролей.
В итоге хакеры создали целую сеть из подключенных к интернету устройств наблюдения, которая позволяла им отправлять около 20 тыс. запросов в секунду для организации DDoS-атаки. При этом логи камер показали, что доступ к ним получали с IP-адресов, имеющих разную географию: как предполагают исследователи, это свидетельствует о крайне низкой сложности взлома.

Ботнет по всему миру:



Ранее «Ростелеком» договорился об оснащении камерами наблюдения вестибюлей и станций московского метро.

Хакер взломал форумы Foxit Software и vBulletin



Злоумышленник проэксплуатировал никем не обнаруженную брешь нулевого дня в vBulletin.

Как передают издания Softpedia и DataBreaches, форумы компаний Foxit Software и vBulletin подверглись хакерской атаке. Ответственность за инцидент взял на себя египетский киберпреступник Мохаммед Усама (Mohammed Osama), также известный как Coldroot. Об успешной атаке он сообщил на своем микроблоге в Twitter.
Хакер обнаружил уязвимость нулевого дня в vBulletin, одном из самых популярных форумных движков. Подробная информация о бреши в настоящее время недоступна, но предполагается, что злоумышленник осуществил SQL-инъекцию, после чего загрузил на официальный форум компании vBulletin собственный шелл и с его помощью похитил персональные данные всех зарегистрированных пользователей, включая логины, инициалы, секретные вопросы и ответы на них, а также значения соли для паролей. В настоящее время официальный сайт и форум vBulletin отключены, а представители компании не выходят на связь.
Сразу после осуществления атаки на vBulletin злоумышленник выбрал следующей целью форум компании Foxit. Схема осталась неизменной, и в результате атаки хакер смог получить неавторизованный доступ к персональным данным всех зарегистрированных пользователей.
Представители компаний, чьи форумы были взломаны, в настоящее время не дают никаких комментариев относительно произошедшего инцидента. Новость будет обновляться по мере поступления дополнительной информации.

__________________________________________


Anonymous раскрывают личности членов Ку-клукс-клана



Активисты опубликовали список данных предположительных членов организации.

Активисты из Anonymous предприняли новые шаги в войне, объявленной ими Ку-клукс-клану (ККК) около года назад. На прошлой неделе коллектив пообещал раскрыть личности 1 тыс. участников ультраправой организации. В воскресенье и понедельник, 1 и 2 ноября, Anonymous опубликовали первую порцию данных, которые, по их словам, принадлежат членам ККК. Активисты выложили на сайте Pastebin четыре отдельных списка, в которые вошли 57 телефонных номеров и 23 электронных адреса.
Как сообщает International Business Times, опубликованные Anonymous списки пока остаются непроверенными. Журналисты издания попытались дозвониться по некоторым из представленных телефонных номеров, но безуспешно. Один из источников издания заявил, что номера и адреса являются действительными, однако не принадлежат членам ККК. По словам источника, один из электронных адресов принадлежит участнику организации «Сыны ветеранов Конфедерации».
После публикации номеров и адресов Anonymous выложили на Pastebin имена девяти политиков (четырех сенаторов США и мэров пяти городов), которые, по их заверению, являются членами ККК.
Активисты заявили, что раскроют личности 1 тыс. членов ККК в четверг, 5 ноября. Примечательно, что в этот же день состоится так называемый «Марш миллиона масок», организованный Anonymous в знак протеста против глобальной слежки правительств за гражданами.
В одной из официальных учетных записей ККК в Twitter организация бурно отреагировала на действия Anonymous и заявила о намерении провести 5 ноября собственный митинг.

__________________________________________


Хакеры используют новые технологии для создания DDoS-ботнетов



Pv6 и устройства «интернета вещей» позволяют создать DDoS-ботнеты невероятной мощности.

Новые технологии могут значительно облегчить жизнь людей, но вместе с ними часто появляются новые угрозы кибербезопасности. Исследователь Рене Паап (Rene Paap) уверен, что в ближайшее время киберпреступники смогут создать DDoS-ботнеты невиданной раньше мощности, которые будут состоять из уязвимых устройств «интернета вещей».
Эксперт сослался на отчет Verizon Data Breach Investigation Report, в котором указывалось, что в нынешнем году количество DDoS-атак увеличилось как минимум вдвое. Злоумышленники используют неверно настроенные службы наподобие NTP, DNS и SSDP, что позволяет им подменять исходные IP-адреса и отправлять огромное количество запросов на целевые серверы.
Большинство DDoS-атак в настоящее время осуществляются по устаревшему протоколу IPv4, но хакеры все чаще и чаще прибегают к IPv6. По данным CNET, относительная новизна IPv6 не позволяет провайдерам и администраторам должным образом контролировать сетевой трафик и отсеивать вредоносные пакеты. Помимо этого, гейтвеи, связывающие IPv4- и IPv6-сети, вынуждены хранить информацию об обрабатываемом ими сетевом трафике, из-за чего злоумышленникам становится проще их взломать.
«Интернет вещей» также стал привлекательным вектором осуществления DDoS-атак. Согласно отчету компании InfoSec Institute, большинство «умных» устройств для дома и малого бизнеса почти не защищены от хакерских атак. Во многих девайсах «интернета вещей» содержатся серьезные уязвимости, а настройки безопасности по умолчанию не выдерживают никакой критики. К примеру, в некоторых устройствах используются жестко запрограммированные логины и пароли.
Паап уверен, что сложившуюся ситуацию можно назвать «сценарием судного дня». Используя отсутствие полноценных средств мониторинга IPv6-трафика, слабый уровень защиты IPv4/IPv6-гейтвеев и огромное количество незащищенных устройств «интернета вещей», злоумышленники смогут создавать DDoS-ботнеты огромных масштабов.

«Киберхалифат» взломал 54 тыс. учетных записей в Twitter



Хакерская группировка «Киберхалифат» скомпрометировала 54 тысячи учетных записей в Twitter, в том числе принадлежащие некоторым сотрудникам ЦРУ и ФБР. Атака произошла в отместку за смерть британского хакера Джунаида Хусейна (Junaid Hussain), который был убит в августе текущего года с помощью беспилотного летательного аппарата. Вся скомпрометированная информация, включая телефонные номера агентов ЦРУ, ФБР и АНБ США, была опубликована злоумышленниками в Сети, пишет DailyMail.
Напомним, что Хуссейн стал главным подозреваемым во взломе учетной записи Пентагона в Twitter и персональной адресной книги бывшего премьер-министра Великобритании Тони Блэра. Предполагается, что именно он является основателем хакерской группировки «Киберхалифат». В ходе атаки больше всего пострадали учетные записи пользователей из Саудовской Аравии, однако среди жертв есть и британцы.
После нескольких месяцев затишья «Киберхалифат» напомнил о себе постом в учетной записи в Twitter: «Мы вернулись. Нам нужны годы, чтобы опубликовать все полученные нами данные. Мы поднимем наш флаг в сердце Европы». Хакеры предоставили ссылку на базу данных скомпрометированных учетных записей в Twitter, утверждая, что среди пользователей есть члены королевской семьи Саудовской Аравии.
Пострадавшие пользователи Twitter, чьи персональные данные, включая пароли, оказались в Сети, жалуются на то, что представители соцсети оповестили о взломе не всех жертв. Стоит отметить, что в этом году «Киберхалифат» опубликовал видео, в котором фигура, замаскированная под участника Anonymous, грозит разрушительными кибератаками, нацеленными на главные континенты мира. Как утверждают террористы, в их арсенале имеется достаточно возможностей для осуществления слежки и перехвата коммуникаций пользователей в западных странах.

Хакеры атаковали очередной почтовый сервис.



На этот раз жертвой оказалась австралийская компания FastMail.

За две недели с начала октября наблюдался всплеск атак на почтовые сервисы. Хакеры атаковали сразу несколько ресурсов с целью получения выкупа. На днях стало известно, что злоумышленники осуществили DDoS-атаку на австралийский сервис FastMail, из-за которой на некоторое время был потерян доступ к нескольким службам. Атака повторялась дважды, и хакеры потребовали у FastMail выкуп в размере 20 биткоинов ($7,5 тысяч) за прекращение нападений.
ИБ-специалисты FastMail кинули на борьбу со злоумышленниками все свои ресурсы: воспользовались фильтрами своего хостера и вышестоящих провайдеров для того, чтобы отфильтровать спам-трафик на всех уровнях сети. В настоящее время почтовый сервис полностью возобновил свою работу.
По словам представителей FastMail, это уже не первый раз, когда сервис атакуют хакеры, однако компания никогда не идет на переговоры со злоумышленниками. Все данные об инциденте уже переданы специалистам австралийского координационного центра CERT.
Помимо FastMail, жертвами кибератак стали ProtonMail, Runbox, Zoho и Hushmail. Хакеры из Armada Collective потребовали у ProtonMail заплатить выкуп в размере 15 биткоинов (около 384 тыс. руб.). По словам представителей почтового сервиса, координированная атака на ключевую инфраструктуру вывела из строя дата-центр и системы провайдера, что затронуло не только ProtonMail, но и сотни других организаций. Компании ничего не оставалось, как выплатить выкуп, однако атака повторилась вновь. Когда инцидент достиг разрушительных масштабов, Armada Collective связалась с ProtonMail и заявила о своей непричастности к атаке. Группировка даже начала возвращать компании выплаченный ею выкуп.

____________________________________________

Мошенники распространяют вредоносы через видеорекламу.



Вредоносная реклама отображается на некоторых особо посещаемых сайтах.

Использование видеорекламы для распространения вредоносного ПО является не новой техникой, однако в последних инцидентах примечателен не сам метод, а популярность сайтов на которых эти рекламные ролики отображаются. В числе пострадавших ресурсов оказались некоторые самые посещаемые интернет-порталы по версии Alexa.
Вредоносную деятельность первыми заметили специалисты из The Media Trust, компании, которая разрабатывает инструменты безопасности для обнаружения вредоносного ПО. Начиная с 29 октября, в течение 12 часов на трех тысячах популярных сайтах начало отображаться видеообъявление в виде всплывающего окна под заголовком «Tripbox». Окно содержало предупреждение о том, что необходимо установить обновление, например, для браузера Safari. Если пользователь начинал установку, на его устройство загружался бэкдор.
Соучредитель и гендиректор The Media Trust Крис Олсон (Chris Olson) отметил, что видеореклама позволяет злоумышленникам тщательнее скрывать внедренное вредоносное ПО. «Мошенники скрывают вредоносы таким образом, что получается своеобразный "цифровой бутерброд" из шаблона и кода. Таким образом подвох очень трудно обнаружить», - отметил Олсон.
Цены на видеорекламу падают, поэтому злоумышленники все чаще обращаются к таким объявлениям с целью инфицирования максимального количества устройств. По словам Олсона, рекламным компаниям необходимо серьезнее проверять рекламные сети.

securitylab.ru
____________________________________________

Хакеры предположительно взломали секретный портал ФБР.




Скомпрометированными оказались имена федеральных и международных агентов.

Группа хакеров заявила, что взломала портал для обмена сообщениями ФБР США (Law Enforcement Enterprise Portal) и получила доступ к многочисленным конфиденциальным системам. В числе скомпрометированной информации оказалась база данных с именами арестованных федеральными агентствами США преступников, а также инструменты, предназначенные для обмена информацией ФБР с американскими и зарубежными партнерами.
Хакерская группа, известная как Crackas With Attitude или CWA, также взяла ответственность за утечку в Сеть около 2 400 имен федеральных, государственных и международных агентов правоохранительных органов. Злоумышленники предупреждают, что в интернете может оказаться еще больше информации.
Напомним, в прошлом месяце CWA взломали учетную запись директора ЦРУ Джона Бреннана (John Brennan) на сервере AOL, а буквально на днях стало известно о том, что хакеры добрались до электронной почты заместителя директора ФБР Марка Джулиано (Mark Giuliano) и его супруги.
Скомпрометированный злоумышленниками портал ФБР описывается разработчиками, «как безопасная интернет-система для обмена информацией, которой владеют агентства по всему миру, занимающиеся борьбой с терроризмом, уголовным розыском, разведкой и пр.». CWA опубликовала скриншот, согласно которому в руках хакеров оказалась информация о именах и местонахождение 9 046 сотрудников этих агентств. По словам злоумышленников, портал содержал уязвимость, которую они успешно проэксплуатировали. Представители ФБР отказались давать комментарии по поводу инцидента.

piratemedia.net

____________________________________________

МВД сорвало глобальную хакерскую атаку на российские банки



Сотрудники МВД России задержали международную группу хакеров, планировавших глобальную атаку, нацеленную на хищение денег практически из всех российских банков. Об этом говорится в сообщении ведомства, поступившем в редакцию «Ленты.ру».

По словам официального представителя МВД Елены Алексеевой, «участниками преступной группы были скомпрометированы крупнейшие международные платежные системы, что позволяло им осуществлять многомиллионные хищения». Ущерб от деятельности данной преступной группы исчисляется сотнями миллионов рублей. Предотвращены хищения на сумму более 1.5 миллиардов рублей. В настоящее время задержанные дают признательные показания.
Кроме того, злоумышленники специализировались на «взломе» банкоматов, используя специально изготовленные технические устройства. «Для атак на системы дистанционного банковского обслуживания они разрабатывали и активно применяли вредоносные программы», — отметила Алексеева. Здесь речь идет не только о российских банках, но и финансовых организациях США, Европы и Азии.
Среди участников группы были четко распределены роли и обязанности — от разработки устройств и программного обеспечения до непосредственного хищения денег. «В Московской области была создана тренировочная база для оттачивания навыков работы с аппаратными средствами и тестирования "скимминговых" устройств на реальных банкоматах», — пояснила представитель МВД.
Сыщикам удалось выйти на след организатора преступной группы и его сообщников. В их числе оказался молодой хакер, способный осуществлять целевые атаки не только на процессинговые центры отдельно взятых банков, но и на мировые системы обмена межбанковскими финансовыми сообщениями. «Для совершения хищений молодой человек создал и зарегистрировал по всем международным стандартам собственную платежную систему», — добавили в ведомстве.
Установлены личности злоумышленников, занимавшихся оформлением банковских карт на подставных лиц и координировавших вывод и обналичивание похищенных денег. Фигуранты дела задержаны. В ходе обысков обнаружены документы, подтверждающие их причастность к многочисленным преступлениям. Изъяты тысячи банковских карт и сим-карт мобильных операторов, сотни мобильных телефонов и десятки компьютеров, содержащих переписку между участниками преступного синдиката.

lenta.ru

Anonymous отомстят ИГИЛ за теракты в Париже



Активисты проведут одну из наиболее масштабных операций против ИГИЛ.

Активисты из Anonymous пообещали усилить борьбу с «Исламским государством» в ответ на совершенные на прошлой неделе теракты в Париже. Об этом представители группы сообщили в записанном видеообращении. Оно появилось на нескольких языках на хостинге YouTube и ряде каналов, предположительно принадлежащих Anonymous.
В франкоязычной версии мужчина в маске Гая Фокса, говорящий от имени группы, заявил, что активисты проведут одну из наиболее масштабных киберопераций против ИГИЛ, используя весь свой опыт.
«Эти теракты не останутся безнаказанными […] Приготовьтесь к масштабной реакции от Anonymous. Война объявлена. Будьте готовы», - заявил активист, добавив, что группа приносит соболезнования семьям жертв, пострадавших в терактах.
В феврале этого года в ответ на нападение на редакцию журнала Charlie Hebdo Anonymous объявила войну ИГИЛ и провела серию DDoS-атак, нацеленных на ресурсы, пропагандирующие радикальный исламизм. Также под прицел активистов попали учетные записи в Twitter, предположительно вовлеченные в распространение террористических идей.
Anonymous известна своими кибератаками на правительства и организации. В частности, в конце сентября этого года участники группы запустили кампанию #OpNimr, направленную против властей Саудовской Аравии. Таким образом активисты протестовали против многочисленных случаев нарушения прав человека в стране.

Anonymous успешно атаковали 5500 Twitter-аккаунтов ИГИЛ



Перед атаками активисты проверяют учетные записи с целью убедиться, что они действительно связаны с ИГИЛ.

Спустя один день после заявления об ужесточении кибервойны с ИГИЛ активисты Anonymous начали претворять свои угрозы в действие. Во вторник, 17 ноября, они сообщили о выведении в offline 5500 учетных записей в Twitter, принадлежащих членам террористической организации или связанных с ее деятельностью.



В связи с недавними терактами в Париже Anonymous запустили кампанию Operation Paris и создали специальный сайт и учетную запись #OpParis в Twitter. Любой желающий может сообщить активистам об обнаруженном им аккаунте члена ИГИЛ, опубликовав ссылку на него на своей странице в Twitter или на сайте Pastebin, используя протокол IRC.



Напомним, после терактов в СМИ появилась информация о том, что для связи друг с другом преступники использовали игровую консоль Sony PlayStation 4.
«Нас спрашивают, почему мы не атакуем принадлежащие боевикам ИГИЛ учетные записи в PSN (PlayStation Network – ред.). Что ж, над этим стоит подумать, но наша главная цель – это Twitter», – заявили Anonymous.



Сотруднику BBC Рори Келлан-Джонсу (Rory Cellan-Jones) удалось связаться с организатором операции #OpParis в Twitter. На вопрос о преследуемых целях в рамках Operation Paris, активист (итальянец, как выяснил журналист) ответил, что они намерены вычислить виновников терактов в Париже и связанных с ними организации. Anonymous хотят добыть информацию о людских ресурсах ИГИЛ, помешать пропаганде и закрыть террористам доступ к социальным медиа.
По словам активиста, перед осуществлением кибератак Anonymous тщательно проверяют учетные записи с целью убедиться, что они действительно связаны с ИГИЛ. «Мы гарантируем, что не станем обвинять тех, кто не связан непосредственно с террористами», – отметил руководитель операции.
По данным Келлан-Джонса, ИБ-эксперты скептически относятся к #OpParis. Разведывательные ведомства предпочли бы, чтобы члены ИГИЛ оставались активными в социальных медиа, где их было можно отследить, а не ушли в глубины «темной паутины». В ответ на это активист заявил, что Anonymous намерены остановить пропаганду террористов.
«Мы не можем бороться с ними с помощью пистолетов и винтовок. Мы уверены, что остановить пропаганду – это эффективный способ ослабить их людские ресурсы и присутствие в интернете», - отметил активист.

Microsoft предупреждает о крайне опасной APT-группе



Хакеры эксплуатируют уязвимости в Flash, Java, Microsoft Word и Internet Explorer.

Ранее в этом году ряд крупных ИБ-компаний опубликовали отчеты о хакерской группе, известной под такими именами, как APT28, Sofacy, Fancy Bear, Sednit или Operation Pawn Storm, которая предположительно связана с российским правительством. Согласно недавнему отчету Microsoft, Pawn Storm не единственная крупная АРТ-группа в киберпространстве. Техногигант выявил вредоносную деятельность еще одного предприятия, которое получило название Strontium.
Расследование Microsoft показало, что Strontium впервые проявила себя еще в 2007 году. Жертвами хакеров стали государственные органы, военные организации, в особенности НАТО, дипломаты, журналисты и политические деятели. Ранее в этом году специалисты выяснили, что АРТ-группа осуществляет фишинг-кампании, ориентированные на пользователей продуктов от Microsoft, с целью хищения их учетных данных Outlook. Strontium отправляет фишинг-письма перед запланированными техногигантом важными конференциями, а также распространяет вредоносные ссылки через соцсети.
Согласно отчету Microsoft, жертвами этих злоумышленников становятся небольшие группы людей, все атаки являются целевыми, поэтому эксперты предполагают, что Strontium спонсируется государством. В своих кампаниях хакеры эксплуатируют уязвимости нулевого дня в таких продуктах, как Flash, Java, Microsoft Word и Internet Explorer.

Раскрыты новые подробности об атаке на Sony Pictures



Хакеры использовали недавно открытые анти-криминалистические инструменты.

ИБ-исследователи из Damballa Уиллис Макдональд (Willis McDonald) и Лусиф Харуни (Loucif Kharouni) заявили, что злоумышленники, которые осуществили атаку на компьютерную систему компании Sony Pictures Entertainment, используя вредоносное ПО для очистки дисков, также применили недавно открытые инструменты для анти-криминалистических целей. Эксперты обнаружили эти инструменты в последней версии вредоносной программы Destover. С помощью именно этого вредоноса хакеры осуществили кибератаку на Sony Pictures в ноябре прошлого года.
По словам специалистов, выявленные инструменты, которые включают в себя манипулятор временной метки setMFT, помогают изменить временные метки файлов и удалить логи. Обнаруженные инструменты очень важны хакерам, так как «позволяют удалять их следы, пока они движутся по корпоративной сети». «Destover уничтожает все файл с инфицированной системы, что делает ее бесполезной. Злоумышленники атаковали не с целью получения выгоды, а, скорее, по идеологическим соображениям», - отметили эксперты.
Напомним, Sony Pictures считает, что ответственность за взлом лежит на хакерах из Северной Кореи. При этом в компании говорят, что атаку могли осуществлять с территории Китая. Существует предположение, что атака на Sony Pictures могла стать ответом КНДР на проникновение АНБ США в сети государства. Однако у компании нет никаких доказательств причастности КНДР.

Хакеры атаковали сеть курортов и отелей Starwood



Вредоносное ПО инфицировало PоS-терминалы в 54 заведениях.

Представители Starwood, которая владеет сетью отелей и курортов, сообщили, что были выявлены нарушения систем безопасности в 54 заведениях компании, включая отели в Новом Орлеане, Сан-Франциско, Нью-Йорке, Бостоне и Сиэтле. Кибератаки привели к утечке финансовой информации клиентов Starwood, в том числе похищенными оказались имена, номера платежных карт, коды безопасности и сроки действия карт.
Злоумышленники использовали PоS-вредоносы для перехвата данных о кредитных картах, которые были использованы в финансовых операциях. К слову, одной из самых крупных жертв подобного вредоносного ПО стала компания Target. За период с 27 ноября по 15 декабря 2013 года злоумышленники скомпрометировали 40 млн платежных карт клиентов торговой сети. Были похищены такие конфиденциальные данные, как имена пользователей, номера и даты окончания срока действия карт и трехзначный код безопасности CVV.
Похищенные данные используются для создания копий скомпрометированных карт, пустых банковских счетов и пр. Представители Starwood утверждают, что нет никаких доказательств хищения PIN-кодов или контактной информации клиентов. Вредоносное ПО было обнаружено в ряде PоS-терминалов на курортах Starwood, в том числе в ресторанах, сувенирных магазинах и пр. В настоящее время нет никаких данных о том, что это был за вредонос. ИБ-исследователи считают, что кибератака продолжалась в течение нескольких месяцев в 2014 и 2015 гг.
На данный момент Starwood устранила все проблемы. Данные скомпрометированных карт будут бесплатно мониторится ИБ-компаниями в течение года. Пострадавшие клиенты считают, что этого недостаточно.

________________________________________

Похищены данные поставщика сертификационных экзаменов Pearson VUE



В числе пострадавших оказались проходящие тест на сертификат Cisco.

Компания Pearson VUE, которая является поставщиком сертификационных экзаменов Cisco, IBM, Oracle и Microsoft, обнаружила, что система Pearson Credential Manager, которая поддерживается системами сертификационного учета многих предприятий, инфицирована вредоносным ПО. Это привело к утечке данных. «Неизвестные получили доступ к некоторой информации наших клиентов», - отметили в компании.
О взломе рассказал Оливер Джонс (Oliver Jones), который хотел пройти сертификационный экзамен через систему учета Cisco, поддерживаемую Pearson VUE. Джонс не мог получить доступ к системе в течение недели, как указывалось на ресурсе «в связи с техническими неполадками». Представители Cisco сообщили Pearson VUE о случившимся инциденте. Руководство Cisco также приняло решение не возобновлять работу системы до выяснения всех подробностей.
По словам Cisco, скомпрометированными оказались данные лиц, проходящих сертификационные экзамены компании, включая имя, почтовый адрес, адрес электронной почты и номер телефона. ИБ-эксперты Pearson VUE отметили, что кроме Pearson Credential Manager другие системы не были скомпрометированы. В компании также уверяет, что номера социального страхования и данные платежных карт похищены не были.

Раскрыты новые подробности о рекордном хищении 1,2 млрд интернет-данных



Хакер mr.grey предлагал на черном рынке данные пользователей Twitter и "ВКонтакте".

Согласно недавно обнародованным в суде Милуоки, штат Висконсин, США, документам, известный под псевдонимом mr.grey хакер, который заявлял, что имеет доступ к данным пользователей Facebook и Twitter, был связан с рекордным хищением 1,2 млрд учетных данных и 500 млн электронных адресов.
Напомним, в августе 2014 года после публикации доклада ИБ-компании Hold Security ФБР начало расследование по факту умышленного хищения преступниками более чем 1,2 млрд учетных записей. Hold Security сообщила, что получила данные преступной группировки, которая носит название CyberVor и специализируется на краже учетных данных пользователей. Правоохранители предполагают, что CyberVor является российской хакерской группировкой.
Согласно обнародованным документам, ФБР нашло список доменных имен и утилит с помощью которых злоумышленники распространяли спам-контент. Агенты обнаружили в списке зарегистрированный в 2010 году адрес электронной почты, который был связан с mr.grey. Мониторинг российских хакерских форумов привел правоохранителей к сообщению хакера, опубликованному в 2011 году, согласно которому он мог предоставить данные об учетных записях пользователей Facebook, Twitter и "ВКонтакте".
По словам представителя Hold Security Алекса Холдена (Alex Holden), mr.grey имел доступ к базе данных 1,2 млрд пользователей, информация которых была скомпрометирована русскими хакерами с помощью вредоносных программ.

_______________________________________

Сеть отелей Hilton подтвердила факт утечки данных



Похищены имена держателей карт, номера и сроки действия карт, а также секретные коды безопасности.

Во вторник, 24 ноября, руководство сети отелей Hilton сообщило о том, что киберпреступники похитили из компьютерных систем ее PoS-терминалов данные кредитных карт. Масштабы утечки не уточняются, однако компания предупредила об атаке всех своих клиентов, использовавших кредитные карты в отелях Hilton Worldwide в период с 18 ноября по 5 декабря прошлого года и с 21 апреля по 27 июля нынешнего года.
С помощью вредоносного ПО злоумышленникам удалось похитить такую информацию, как имена держателей карт, номера и сроки действия карт, а также секретные коды безопасности. Руководство сети отелей заверило клиентов, что инцидент не затронул их домашние адреса и персональные идентификационные номера.
Напомним, что о расследовании возможной утечки данных в Hilton Worldwide стало известно еще в сентябре нынешнего года. Месяцем ранее компания Visa разослала финансовым организациям конфиденциальные предупреждения об инциденте, произошедшем в период с 21 апреля по 27 июля 2015 года.
По словам руководства Hilton Worldwide, в настоящее время проводится расследование атаки в сотрудничестве с правоохранительными органами, эмитентами кредитных карт и сторонними следователями.

Facebook уведомила Госдеп США о хакерской атаке



Целью иранских хакеров было получение данных о лицах с двойным гражданством.

Эксперты Facebook оказались первыми, кто обнаружил атаку иранских хакеров на электронную почту членов Госдепартамента США, занимающихся вопросами отношений с Ираном. Похоже, что инцидент носит политический характер, а его целью было получение доступа к данным о лицах с двойным гражданством (иранским и американским), проживающим на территории Ирана.
Как сообщает New York Times со ссылкой на неназванный источник в Госдепе США, за атакой стоят хакеры из иранского военно-политического формирования «Корпус Стражей Исламской революции». По словам источника, нападение было «тщательно продуманным и демонстрирует степень осведомленности о сотрудниках, занимающихся иранским вопросом в настоящее время, когда ядерная сделка завершена».
Недавняя волна атак была зафиксирована после периода затишья, и эксперты отметили эволюцию применяемых иранскими хакерами тактик, методов и процедур. Ранее их целью в основном были предприятия финансового сектора, саботаж и разрушение целевой инфраструктуры, а сбор информации был не в приоритете. Недавние атаки осуществлялись явно в рамках кампании по кибершпионажу.
Напомним, что ранее Facebook ввела систему оповещения пользователей о кибератаках. Именно благодаря ей стало известно об атаке иранских государственных хакеров.

Хакеры похитили данные 5 млн данных пользователей Vtech



Злоумышленники получили доступ к информации 200 тыс. детей.

Крупнейший производитель детских электронных игрушек Video Technology (Vtech) стал жертвой кибератаки, в результате которой произошла утечка персональных данных около 5 млн взрослых и 200 тыс. детей, сообщает Motherboard.
14 ноября нынешнего года неавторизованным злоумышленникам удалось получить доступ к базе данных магазина приложений Vtech Learning Lodge. В руках хакеров оказались имена пользователей, идентификационные номера электронной почты, пароли с контрольными вопросами и ответами для их восстановления, IP-адреса, почтовые адреса, история загрузок, а также сведения о поле и возрасте детей. Жертвами утечки стали пользователи по всему миру, в том числе в США, Китае, Нидерландах, Дании, Канаде, Великобритании, Бельгии. Ирландии, Франции, Германии и др. По заверению представителей Vtech, инцидент не затронул финансовые данные клиентов.
Создатель ресурса Have I Been Pwned, ИБ-эксперт Трой Хант (Troy Hunt) проанализировал утекший архив данных. Исследователь обнаружил, что в нем содержатся хеши паролей, зашифрованные с помощью алгоритма MD5, которой довольно легко взломать, а контрольные вопросы для восстановления паролей хранятся в виде простого текста.

___________________________________________


В России хакеры заразили 16 тыс. Android-смартфонов для хищения средств



Преступники незаконно переводили средства с кредитных карт клиентов одного из российских банков.
Сотрудники полиции в Ярославской области пресекли деятельность группировки, которая инфицировала 16 тыс. Android-смартфонов с целью хищения средств с банковских карт. Об этом сообщает информагентство РИА Новости со ссылкой на официального представителя МВД России Елену Алексееву.
«Сотрудники управления "К" МВД России и отдела "К" ГУ МВД России по Нижегородской области совместно с оперативниками ЦИБ ФСБ России пресекли противоправную деятельность группы лиц, осуществлявших хищения денежных средств со счетов клиентов одного из крупнейших российских банков», - рассказала Алексеева.
По информации ведомства, в 2015 году полицейскими была обнаружена группировка, которая несанкционированно переводила средства с кредитных карт клиентов одного из российских банков в Ярославской и Нижегородской областях. Как выяснилось в ходе следствия, злоумышленники действовали не только в вышеуказанных регионах, но и на территории Украины.
Для хищения средств мошенники использовали вредоносное ПО для смартфонов на базе Android, что позволило им в короткие сроки создать ботнет, состоящий из более чем 16 тыс. мобильных гаджетов.
Следствием установлено, что организатором преступной группировки является 35-летний житель Ярославля, сейчас он задержан и заключен под стражу. Как сообщают в ведомстве, в ходе обыска была изъята компьютерная техника, мобильные телефоны, 223 SIM-карты, 34 USB-модема, а также банковские карты. В настоящее время ботнет прекратил свое существование.

Китайские правительственные хакеры атакуют Гонконг



Большое количество атак свидетельствует о том, насколько важным для КНР является Гонконг.

Как сообщает Reuters, по заказу правительства КНР хакеры атакуют про-демократических политиков и организации в Гонконге. Злоумышленники размещают вредоносное ПО в популярных сервисах для обмена файлами, таких как Dropbox и Google Drive, а также применяют более сложные техники. К таковым в частности относятся «белые списки», когда вредонос заражает системы только определенных пользователей, зашедших на скомпрометированный сайт. По словам экспертов, подобные методы используют только хорошо обученные хакеры из Китая и России, как правило, с целью получения информации.
Большое количество атак свидетельствует о том, насколько важным для КНР является Гонконг, где 79-дневные протесты в прошлом году буквально «заморозили» один из финансовых центров страны. Масштабы протестов вызвали у Пекина опасения по поводу политических настроений в провинциях.
По словам главы Демократической партии Гонконга Лам Чэук-тина (Lam Cheuk-ting), его организация является самой скоординированной оппозиционной силой в Китае, и вполне закономерно, что она подвергается кибератакам по заказу Пекина. Политик заявил, что и он, и другие члены партии становились жертвами хакеров.
Точку зрения Лам Чэук-тина поддерживают эксперты из FireEye. По их данным, атаки через Dropbox осуществляются «конкретно на тех, чьи сети хотел бы контролировать Пекин». Эти атаки позволили бы китайскому правительству получать информацию о планирующихся протестах и про-демократических лидерах. В первом полугодии 2015 года половина клиентов FireEye в Гонконге и Тайване подвергались атакам профессиональных и правительственных хакеров. Это в 2,5 раза больше среднего показателя по всему миру.
Министерство иностранных дел КНР, Министерство общественной безопасности КНР и Бюро по связям Центрального народного правительства в Гонконге отказались комментировать этот вопрос. Представители Министерства обороны заявили, что данная проблема находится вне компетенции ведомства.

securitylab.ru

_______________________________________


Греческие СМИ пожаловались на хакеров из России



Группа киберпреступников из России требует выкуп с ряда крупных греческих банков, угрожая в случае отказа провести масштабную DDOS-атаку на серверы финорганизаций.
Об этом сообщила греческая газета Protothema.

Затребованная хакерами сумма составляет 750 биткоинов (около 266 тысяч долларов по текущему курсу). По информации издания, ранее 26 ноября злоумышленники провели пробную атаку на серверы шантажируемых банков. Пока данные ни одного из них не были скомпрометированы. Названия самих банков также не разглашаются.
Российские банки уже становились мишенями для вымогателей биткоинов. Так 30 сентября стало известно, что пять крупнейших российских банков успешно отразили скоординированную DDoS-атаку на свои сайты. До этого им приходили письменные угрозы, в которых хакеры требовали выкуп в размере 50 биткоинов за отказ от атаки.
Биткоины (Bitcoin) — это децентрализованная виртуальная валюта, которая эмитируется в результате непрерывного вычисления хеш-функции. Ее можно использовать для оплаты услуг и товаров онлайн. Курс криптовалюты зависит от биржи, на которой она торгуется. Согласно индексу NYXBT Нью-Йоркской фондовой биржи 27 ноября один биткоин стоил примерно 355 долларов.

newsland.com

______________________________________

Хакеры уничтожили базу данных управления финансов мэрии Бердска / Сотрудница открыла неизвестное приложение к письму



Сотрудница открыла неизвестное приложение к письму.

Хакеры уничтожили большую часть данных управления финансов мэрии города Бердска Новосибирской области, сообщает ТАСС.
Как рассказала коллегам начальник пострадавшего управления Ирина Вагнер, на электронную почту чиновникам пришло письмо, в котором говорилось о том, что некто вызывает управление в суд и прилагает судебный иск. Сотрудница управления открыла неизвестное приложение к письму, активировав вредоносную «начинку».
Вредоносная программа распространилась на сервер управления и все компьютеры сети, уничтожив большую часть данных. Часть удалось спасти, сейчас чиновники оперативно восстанавливают то, что было утеряно.
СМИ напоминают, что прошлой неделе депутаты горсовета Бердска новым мэром замглавы Центрального округа Новосибирска Евгения Шестернина. Его предшественник на этом посту Илья Потапов в апреле 2015 года приговорен к 10 годам колонии за взяточничество и злоупотребление должностными полномочиями. Его бывший заместитель Владимир Мухамедов получил 9 лет тюрьмы за посредничество при получении взяток. Обоим назначен штраф по 500 млн рублей.

newdaynews.ru

______________________________________

Как зарабатывают русские хакеры



Анонимные группировки хакеров активизировались на волне сирийского конфликта, терактов в Париже и обострения отношений России и Турции.

Вслед за приходом исламистских группировок, по неустановленной причине атакующих пользователей Рунета, появились сообщения о турецких хакерах. В большинстве случаев подобные атаки оказывались заурядным сетевым хулиганством, в то время как совокупный ущерб от атак русскоязычных хакеров в корпоративной и банковской сфере составил почти $790 млрд за последние 4 года.
Спекуляция на конфликтах.
Военная операция РФ в Сирии, обострение отношений с Турцией и резонансный запуск системы оплаты проезда по федеральным трассам "Платон" сопровождались атаками киберпреступников. За последнюю неделю произошло несколько подобных эпизодов. В большинстве случаев атаки носили провокационный характер, подавались как нападения исламистских и турецких хакеров и не наносили какого-либо экономического ущерба.
Так, 20 ноября на нескольких станциях московского метро пассажиры при попытке воспользоваться бесплатной сетью подземки, обнаружили угрожающую надпись и черный флаг "Исламского государства" (ИГ, запрещена в РФ). Пользователи сделали скриншоты и отправили их в полицию. Провайдер исключил взлом сети. Позже московские власти заявили, что взлома сети в московском метро не было, а действия по подмене Wi-Fi были приравнены к хулиганским. Столичный департамент транспорта направил запрос для проверки инцидента в ГУВД и ФСБ.
Война в Сирии стала поводом для атаки хакеров на музыканта Валерия Кипелова. На его официальном сайте 25 ноября появилось сообщение о том, что он прекращает свою музыкальную деятельность и отправляется воевать против ИГ. В полицию в связи со взломом сайта группа обращаться не намерена, но "частично обращение хакеров отражает нашу гражданскую позицию", отметил представитель группы.

dp.ru

В ходе атаки на VTech скомпрометированы данные 11 млн пользователей



Хакеры получили доступ к персональным данным и личным сообщениям клиентов.
В воскресенье, 29 ноября, SecurityLab.ru сообщал о кибератаке на китайскую компанию VTech, специализирующуюся на производстве детских электронных игрушек. В ходе взлома стало известно об утечке персональных данных примерно 200 тысяч клиентов. Как выяснилось, в результате кибератаки пострадало гораздо большее количество пользователей. Согласно официальному заявлению VTech, злоумышленники скомпрометировали данные как минимум 11,2 млн клиентов, из которых 6,4 млн – несовершеннолетние.
Устройства VTech имеют доступ к сети Интернет и собственный магазин Learning Lodge, где пользователи могут загружать различные приложения, песни и видеоролики. Компания также предоставляет сервис для обмена сообщениями KidConnect. Для регистрации необходимо указать персональные данные, включая инициалы, физический адрес и адрес электронной почты. По данным представителей VTech, злоумышленники получили доступ к базе данных пользователей KidConnect и Learning Lodge. Наибольшее количество пострадавших приходится на США и Францию (5,106 млн и 2,041 млн пользователей соответственно).
Хакерам не только удалось скомпрометировать персональные данные клиентов, но и получить доступ к личным сообщениям и отправленным файлам. Журнал переписки между пользователями, переданные аудиозаписи и изображения хранились на серверах компании в незашифрованном виде.
По версии представителей VTech, утечка произошла по причине недостаточной защищенности базы данных. На время расследования инцидента компания временно отключила магазин приложений Learning Lodge и сервис KidConnect.
Ниже представлена таблица с количеством пострадавших пользователей:



__________________________________________


Хакеры атаковали суперкомпьютер правительства Австралии



Австралия обвиняет Китай в причастности к кибератаке.

Правительственное агентство Австралии, Бюро метеорологии, стало жертвой масштабной кибератаки. Как сообщает австралийская национальная вещательная компания ABC со ссылкой на источники в правительстве, устранение последствий инцидента обойдется в миллионы долларов.
Бюро метеорологии принадлежит один из крупнейших суперкомпьютеров в Австралии, предоставляющий критическую информацию целому ряду правительственных организаций. Системы суперкомпьютера охватывают всю страну, в том числе Министерство обороны, поэтому инцидент затронул и другие ведомства.
Кибератаки на правительственные организации являются привычным делом, однако этот инцидент отличается небывалой масштабностью. По словам источника ABC, правительство не сомневается в причастности к инциденту КНР. Пекин всячески отрицает все обвинения.
«Как мы уже не раз повторяли, китайское правительство выступает против кибератак в любой форме. Мы подчеркиваем, что основой кибербезопасности должно быть взаимное уважение. Мы считаем безосновательные обвинения и спекуляции неконструктивными», - заявила пресс-секретарь Министерства иностранных дел Хуа Чуньин (Hua Chunying).

__________________________________________


Хакеры сообщают о краже 23 млрд учетных данных пользователей PayPal



Хакеры заявляют о получении доступа к 23,8 млрд учетных записей.
Как сообщает чешская компания Cybersecurity Help s.r.o., неизвестные злоумышленники опубликовали данные учетных записей 1300 пользователей PayPal. Хакеры заявляют о получении доступа к 23,873,667,087 аккаунтам.
Логины и пароли были опубликованы на сайте Pastebin и обнаружены сканером компании во вторник, 1 декабря.



Исследователи попытались проверить подлинность учетных записей, но после неудачной попытки входа столкнулись с блокировкой по IP-адресу со стороны PayPal. Если опубликованные данные валидны, хакеры могли получить такое огромное количество учетных записей лишь путем взлома серверов PayPal.
В настоящий момент нет никакой информации относительно достоверности данных. Комментарии компании PayPal также отсутствуют. SecurityLab будет внимательно следить за развитием событий и опубликует подробности, как только они будут доступны.

Преступники похищают данные банковских карт через фальшивый WhatsApp



После установки обновления вредонос требует ввода данных кредитной карты.

Ассоциация банков Сингапура (Association of Banks in Singapore) предупредила пользователей Android-смартфонов о новом вредоносном ПО, распространяющемся через поддельные обновления для ОС или приложения WhatsApp. Об этом сообщает портал ChannelNewsAsia со ссылкой на главу организации Онганг Ай Бун.
По данным ассоциации, за последние три месяца злоумышленники инфицировали порядка 50 смартфонов. В случае с поддельным обновлением WhatsApp на экране устройства появляется сообщение с предложением установить новую версию мессенджера, а если пользователь откажется, то рискует потерять доступ к сервису.
После загрузки и установки обновления вредонос требует от владельца смартфона ввести персональные данные и информацию кредитной карты, после чего отправляет сведения мошенникам. При помощи вредоносной программы преступники способны перехватывать SMS-сообщения с одноразовыми паролями, направляемые банками своим клиентам при совершении покупок через интернет.
Согласно словам Онганг Ай Бун, злоумышленники используют похищенные данные для приобретения разнообразных товаров в интернете – от авиабилетов до электроники. Хотя стоимость одной покупки в среднем не превышала $200, ущерб, нанесенный некоторым жертвам, составил несколько десятков тысяч долларов.

securitylab.ru

________________________________________


Британская спецслужба призналась в хакерской деятельности



Центр правительственной связи Великобритании впервые признался в суде, что занимается компьютерным хакерством. Об этом пишет The Financial Times.

Ряд интернет-компаний и активистов, выступающих за соблюдение норм о конфиденциальности информации, подали жалобу в специальный трибунал, рассматривающий дела о злоупотреблении органов власти.
Пока делу не был дан ход, ЦПС отказывался подтвердить либо опровергнуть, допускал ли он в своей работе хакерские приемы (класс операций Computer Network Exploitation, CNE). Однако затем ведомство сделало ряд официальных признаний, уточнив, что подобную деятельность вело не только по отношению к объектам в своей стране, но и за рубежом.
ЦПС заявил об использовании «стойких» закладок CNE, которые функционируют в зараженном устройстве и передают нужную информацию в течение продолжительного периода, и «непостоянных» процессов, когда закладка прекращает существование в конце интернет-сессии пользователя.
Провайдеры и организация Privacy International утверждают, что действия ЦПС являются незаконными, и просят суд исследовать вопрос о том, были ли соблюдены нормы внутреннего законодательства и акты о защите прав человека при установке подобных вредоносных программ.
Истцы также выразили опасение по поводу шпионажа через мобильные устройства. В письменных аргументах есть ссылки на показания бывшего подрядчика американских спецслужб Эдварда Сноудена. Он рассказал, в частности, о программе Nosey Smurf, позволяющий посредством установленного хакерского ПО активировать микрофон на смартфонах.

В свою очередь, ЦПС настаивает, что использование CNE является законным. Спецслужба утверждает, что не занималась неизбирательной массовой слежкой. В качестве своего успеха центр упомянул, что до сентября 2015 года благодаря подобной деятельности были вскрыты шесть предполагаемых террористических заговоров.
ЦПС отмечает, что в некоторых случаях CNE может быть единственным способом получения разведывательной информации о террористической деятельности подозреваемого либо о серьезном преступлении на территории другой страны.
Центр правительственной связи (Government Communications Headquarters, GCHQ) — британская спецслужба, ответственная за ведение радиоэлектронной разведки и обеспечение защиты информации правительственных органов и вооруженных сил.
Технологии спецслужб, прежде всего американских, по сбору и отслеживанию данных интернет-пользователей подверглись серьезной критике после массовых разоблачений Сноудена, получившего временное убежище в России. Согласно его данным, силовые ведомства тайно следили за пользователями сервисов Google, Facebook, Microsoft, Yahoo, Skype, YouTube, PalTalk, AOL и Apple, причем все компании добровольно предоставляли доступ к своим данным. В результате программа, получившая название PRISM, была свернута правительством Барака Обамы.

newsland.com securitylab.ru

________________________________________

Сайт австралийского метеобюро подвергся мощной кибератаке



На полное восстановление работы портала уйдет несколько лет.
Сайт метеорологического бюро Австралии (BoM) подвергся мощной хакерской атаке, сообщают австралийские СМИ. Предположительно, атака могла быть проведена из Китая.
По предварительным данным, на полное восстановление работы портала уйдет несколько лет, и на это необходимо будет потратить несколько миллионов долларов.
Представители метеослужбы пока не комментируют инцидент. При этом там отметили, что их электронные системы находятся в полностью рабочем состоянии.
О том, какие именно системы были взломаны и какая информация интересовала хакеров, пока не сообщается.
Метеобюро Австралии, в частности, предоставляет информацию о погоде коммерческим авиалиниям, анализирует потребление воды и сотрудничает с министерством обороны страны.
В атаках на серверы зарубежных компаний и ведомств с целью шпионажа часто обвиняют хакеров из Китая, однако китайские власти отрицают поддержку кибершпионажа и заявляют, что Пекин сам часто становится жертвой киберпреступников.

korrespondent.net

ЛК: Группировка Pawn Storm атакует системы НАТО



Хакеры используют вредоносное ПО для заражения изолированных от интернета компьютеров.

Одна из наиболее опасных российских киберпреступных группировок расширила поле своей деятельности. Хакеры из Pawn Storm предположительно используют вредоносное ПО для инфицирования USB-хранилищ и компьютеров в сети «воздушного зазора». Об этом сообщают специалисты «Лаборатории Касперского» в блоге компании.
По данных исследователей ЛК, хакеры используют уязвимости нулевого дня для установки вредоносного ПО на изолированные от интернета компьютеры через USB-хранилища. Начиная с августа нынешнего года, злоумышленники осуществили несколько серий атак, используя бреши в Microsoft Office, Java, Adobe Flash Player и ОС Windows. Например, вредонос JHUHUGIT распространялся через уязвимость в Flash Player и устанавливался путем эксплуатации бреши повышения привилегий в Windows.
Исследователи отметили увеличение активности группировки. За последние несколько лет хакеры стали примерно в 10 раз чаще проявлять себя в различных кибератаках и APT-кампаниях. Более того, злоумышленники как минимум несколько раз атаковали компьютеры НАТО, разработали поражающий iOS 7 вредонос XAgent и участвовали во взломе французского телеканала TV5Monde.
Предположительно связанная с правительством РФ хакерская группировка Pawn Storm (также известная как Sofaty, APT28, Fancy Bear, Sednit и STRONTIUM) известна как минимум несколькими крупномасштабными кибератаками, осуществленными в нынешнем году. Злоумышленники взломали почтовую систему Пентагона, атаковали расследовавших падение малазийского Boeing 777 MH17 чиновников, а также на несколько дней отключили вещание французского телеканала TV5Monde.
НАТО - военно-политический блок, объединяющий большинство стран Европы, США и Канаду. Основан 4 апреля 1949 года в США.

securitylab.ru

_________________________________________


Хакеры Anonymous объявили 11 декабря днем троллинга ИГ



Активисты организации объявили 11 декабря "Днем троллинга ИГ".

Хакеры Anonymous анонсировали массовую кибератаку на страницы боевиков запрещенной в России организации "Исламское государство". Активисты объявили 11 декабря "Днем троллинга ИГ" и призвали всех пользователей соцсетей присоединиться к акции.
"Они используют страх для того, чтобы заставить нас замолчать и спрятаться. Но они забывают, что людей, которые против них, гораздо больше, чем их сторонников. Поэтому главная цель нашей массовой акции 11 декабря — показать им, что мы не боимся и не станем прятаться, что нас большинство и мы реальная сила. Мы покажем им, что они на самом деле не имеют никакого отношения к религии, что они не с Богом", — говорится в сообщении Anonymous, опубликованном на сайте Ghostbin.
Хакеры намерены 11 декабря выкладывать в Twitter, Instagram, Facebook и YouTube сатирические фото и другой контент с хештегом #OpParis. Также в Anonymous отметили, что сайты "Исламского государства" будут захвачены, а их контент подвергнется изменениям.
Anonymous также призвали администрацию Facebook принять участие в их акции. Кроме того, они обратились к интернет-пользователям за помощью в поиске аккаунтов террористов, которые можно было бы взломать.

ren.tv

_________________________________________


Хакеры обвинили компанию CloudFlare в связи с террористами ИГ



Хакеры Anonymous заявили, что компания CloudFlare защищает веб-сайты террористов ИГ ради денег.

Хакеры Anonymous заявили, что американская компания CloudFlare предоставляет сторонникам группировки «Исламское государство»* DNS-серверы, зарабатывая на защите сайтов террористов ИГ огромные деньги. При этом джихадисты используют эти интернет-ресурсы для вербовки людей в свои ряды. Но руководство компании все обвинения отвергает, называя действия активистов Anonymous «диванной аналитикой».
По словам хакеров, служба CloudFlare активно защищает веб-сайты, которые используют террористические группировки, предоставляя исламистам сервера доменных имён. То есть эта служба предотвращает DDoS-атаки. При этом компания CloudFlare получает финансовую выгоду за то, что хранит сайты, связанные с террористами, на своих серверах.
Один из хакеров написал в адрес компании множество сообщений, но в ответ приходила лишь информация о том, что служба CloudFlare работает по принципу реверсивного проксирования. Это означает, что у них нет полномочий для отключения сайта от таких услуг. Активисты Anonymous сообщили, что продолжат атаковать и взламывать сервера вручную, если это будет необходимо.

newsland.com

Anonymous взломали сайт Европейского космического агентства



Активисты похитили данные более 8 тыс. подписчиков и сотрудников ESA.

Активисты Anonymous взломали поддомены официального сайта Европейского космического агентства (European Space Agency, ESA) и похитили персональные и учетные данные тысяч подписчиков и сотрудников агентства.
14 декабря нынешнего года Anonymous атаковали поддомены (due.esrin.esa.int, exploration.esa.int, sci.esa.int) сайта ESA и, используя слепую SQL-инъекцию, проникли в базу данных агентства. Похищенная информация включает полные имена, адреса электронной почты, пароли в открытом виде, юридические адреса, названия организаций, номера телефонов и факсов более 8 тыс. зарегистрированных пользователей. На вопрос журналистов портала Hackread о причине атаки активисты выразились коротко и ясно: «Рождество приближается и нам захотелось развлечься. Так что мы сделали это просто ради смеха».
Напомним, в начале декабря нынешнего года активисты Anonymous опубликовали в открытом доступе логины и пароли примерно 1 415 чиновников, прибывших в Париж на ежегодную конференцию ООН по вопросам климата. Спустя несколько дней, 11 декабря, атаке подвергся персональный сайт премьер-министра Японии Синдзо Абэ. Данную атаку активисты провели в знак протеста против решения правительства страны вернуться к китобойному промыслу.
Anonymous – идеология интернет-пользователей без постоянного членства и состава. Последователи идеи отстаивают общедоступность информации, выступают против коррупции, притеснения свобод правительствами и корпорациями и т.д. Символом движения являются маски Гая Фокса, получившие известность благодаря киноленте «V значит Вендетта».

_______________________________


Хакеры атакуют британских хостинг-провайдеров



Хакерская группировка Armada Collective осуществляет крупномасштабные DDoS-атаки.

Киберпреступники продолжают осуществлять DDoS-атаки на серверы британских хостинг-провайдеров. Буквально через несколько дней после атаки на ресурсы Easily от действий хакеров пострадал британский хостинг Moonfruit. Как сообщает издание Neowin, в связи с угрозой кибератаки компании пришлось временно отключить все размещенные на собственной платформе сайты.
10 декабря нынешнего года хостинг подвергся массовой DDoS-атаке. Сервисы и клиентские сайты были недоступны в течение 45 минут. В настоящее время ведется совместное расследование с правоохранительными органами для выяснения причин инцидента. На момент написания статьи работоспособность сервиса восстановлена в полном объеме. По словам представителей компании, после инцидента было принято решение о внесении изменений в серверную инфраструктуру Moonfruit, и 14 декабря нынешнего года все сервисы и клиентские сайты были отключены на 12 часов для проведения техобслуживания.
По словам директора Moonfruit Мэтта Кейси (Matt Casey), ответственность за инцидент несет группировка Armada Collective. За последние несколько месяцев члены группировки осуществили несколько крупных атак. Сперва от действий хакеров пострадали клиенты компании Qrator Labs, а через месяц злоумышленники атаковали безопасный почтовый сервис Protonmail. В случае с Moonfruit преступники требовали от директора хостинга выкуп и угрожали полностью остановить работу сервиса в случае неуплаты. Кейси решил не вести переговоров с хакерами, и в четверг, 10 декабря, серверы Moonfruit подверглись DDoS-атаке.
На прошлой неделе была осуществлена аналогичная DDoS-атака на крупную британскую хостинговую компанию Easily.
Moonfruit – популярный в Великобритании хостинг-сервис, позволяющий клиентам быстро создать сайт на основе готовых шаблонов либо собственноручно. Услугами компании пользуется преимущественно малый бизнес.
DDoS-атака – распределенная атака типа отказ в обслуживании, которая являет собой одну из самых распространенных и опасных сетевых атак. В результате атаки нарушается или полностью блокируется обслуживание законных пользователей, сетей, систем и иных ресурсов.

_______________________________


Хакеры эксплуатируют уязвимость нулевого дня в Joomla!



До выхода исправления хакеры успешно использовали уязвимость в течение двух дней.

Сегодня стало известно о выходе исправления к критической уязвимости в одной из самых популярных и распространенных систем управления контентом – Joomla!
Уязвимость существует из-за недостаточной обработки входных данных, во время записи в базу информации о браузере пользователя. Удаленный пользователь может с помощью специально сформированного заголовка HTTP User-Agent внедрить и выполнить произвольный PHP код на целевой системе с привилегиями web-сервера.
Успешная эксплуатация уязвимости позволит злоумышленнику получить полный контроль над уязвимым сайтом.
Согласно информации Sucuri, злоумышленники приступили к активной эксплуатации уязвимости еще 12 декабря этого года. В журналах web-сервера на скомпрометированных сайта присутствовали следующие данные:
2015 Dec 12 16:49:07 clienyhidden.access.log
Src IP: 74.3.170.33 / CAN / Alberta
74.3.170.33 – – [12/Dec/2015:16:49:40 -0500] “GET /contact/ HTTP/1.1″ 403 5322 “http://google.com/” “}__test|O:21:\x22JDatabaseDriverMysqli\x22:3: ..
{s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0: .. {}s:21:\x22\x5C0\x5C0\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\x22:5:..
{s:8:\x22sanitize\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}s:8:\x22feed_url\x22;s:60:..
До настоящего времени все атаки на сайты осуществлялись со следующих IP адресов:
74.3.170.33
146.0.72.83
194.28.174.106
Уязвимость распространяется на версии Joomla! 1.5 по 3.4.5 включительно. Производитель уже успел выпустить исправление безопасности. Новая версия 3.4.6 доступна на сайте вендора.
В качестве временного решения можно использовать подручные средства для блокирования эксплуатации уязвимости путем замены потенциально опасных данных в заголовке HTTP User-Agent. Пример конфигурации для web-сервера Apache:
RewriteCond %{HTTP_USER_AGENT} .*\{.* [NC]
RewriteRule .* - [F,L]
В настоящий момент нет данных о количестве сайтов, которые были скомпрометированы вследствие эксплуатации этой бреши.

Phantom Squad грозятся на праздники вывести из строя PlayStation Network и Xbox Live



Хакеров возмущает неспособность или нежелание многомиллионных компаний обеспечить надлежащую защиту продуктов.

Пользователи PlayStation Network и Xbox Live наверняка помнят DDoS-атаку на сервисы, устроенную в прошлом году Lizard Squad перед зимними праздниками. Похоже, с тех пор группировка утратила интерес к PlayStation Network и Xbox Live и не планирует повторить «подвиг», а если и планирует, то не сообщает.



Инициативу в свои руки решили взять хакеры из Phantom Squad, заявившие о намерении на целую неделю вывести из строя PlayStation Network и Xbox Live на рождественские праздники. На момент написания заметки твит с заявлением был удален (легко можно найти в кэше Google), однако не похоже, чтобы Phantom Squad отказалась от намерений. По словам хакеров, целью атак является демонстрация отсутствия такого понятия как кибербезопасность.
«Нас часто спрашивают, зачем нам атаковать PSN и Xbox Live. Потому что кибербезопасности не существует. Если бы кибербезопасность существовала, то, что мы делаем, было бы невозможным», - заявили Phantom Squad.
Судя по публикациям в Twitter, хакеров возмущает неспособность или нежелание многомиллионных компаний обеспечить надлежащую защиту продуктов.
«Нет, PSN и Xbox не тратят деньги на усиление безопасности… Поэтому до тех пор, пока у них не откроются глаза, PSN и Xbox Live по-прежнему будут уязвимы», - гласит один из твитов.
Громкие заявления Phantom Squad, безусловно, в итоге могут ничего не значить. Тем не менее, несколько дней назад группировка взяла ответственность за атаку на Reddit. Администрация ресурса подтвердила инцидент.
12 декабря хакеры заявили об атаке на Xbox и PlayStation, и снова инцидент был подтвержден. Ни Microsoft, ни Sony не имеют отношения к управлению сервисами PlayStation Network и Xbox Live, однако компаниям известно об атаках. Принять решение, продолжать атаки или нет, Phantom Squad попросила у подписчиков в Twitter.

________________________________________


Сотрудники ФБР арестовали трех хакеров



Украденную информацию злоумышленники использовали в масштабной спам-кампании, продолжавшейся на протяжении четырех лет.

Сотрудники ФБР арестовали трех хакеров, взломавших сети ряда компаний и похитивших персональные данные более 60 миллионов граждан. Украденную информацию злоумышленники использовали в масштабной спам-кампании, продолжавшейся на протяжении четырех лет, сообщается в пресс-релизе Федеральной прокуратуры округа Нью-Джерси. В результате деятельности мошенники заработали более $2 млн. Информация о пострадавших компаниях пока не раскрывается.
Как выяснилось в результате расследования, злоумышленники взломали корпоративные сети четырех компаний с целью хищения электронных адресов клиентов. На данные адреса затем рассылались спам-сообщения с рекламой страховых компаний или интернет-аптек, предлагающих наркотические препараты без рецепта. За каждое спам-письмо преступники получали от $5 до $9.
Для обхода спам-фильтров злоумышленники использовали почтовые системы компаний, ранее подвергавшихся взлому.
Тимоти Ливингстону (Timothy Edward Livingston), Томашу Хмеляжу (Tomasz Chmielarz) и Девину Макартуру (Devin James McArthur) предъявлены обвинения в заговоре с целью осуществления мошеннических действий. Девин Макартур, являясь сотрудником одной из компаний, предоставил доступ к данным остальным участникам группировки. По сведениям прокуратуры, злоумышленники похитили персональную информацию более 24 млн клиентов компании.

________________________________________


Киберпреступники вновь начали использовать вымогательское ПО TeslaCrypt



За последние две недели количество атак с использованием TeslaCrypt увеличилось в девять раз.

На протяжении последних двух недель исследователи безопасности наблюдали резкий рост количества атак с использованием вымогательского ПО TeslaCrypt. Появившийся в марте нынешнего года вредонос был ориентирован в том числе на геймеров – 50 из 185 шифруемых TeslaCrypt типов файлов были связаны с сохранениями игр и пользовательским контентом. Тем не менее, в процедуре шифрования вымогательского ПО была обнаружена уязвимость, и в апреле 2015 года исследователи Cisco выпустили утилиту для расшифровки пострадавших от вредоноса файлов.
Авторы вредоносного ПО продолжили работу над TeslaCrypt и вскоре начали продавать вредонос на хакерских ресурсах. Как результат, в конце ноября нынешнего года специалисты Symantec сообщили о резком скачке ежедневного количества заражений. С начала декабря количество новых атак с использованием TeslaCrypt возросло с 200 инцидентов в день до 1800 ежедневно.
По словам экспертов, за резким увеличением количества заражений может стоять неизвестная киберпреступная группировка. Хакеры рассылают TeslaCrypt с помощью фишинговых писем с вредоносным вложением. В сообщениях киберпреступники просят подтвердить недавно проведенную банковскую операцию, открыв прикрепленный файл. Во вложении содержится сценарий JavaScript, обходящий большинство антивирусных программ и загружающий на компьютер жертвы TeslaCrypt.
В случае успешной атаки вымогательское ПО шифрует все файлы и изменяет их расширение на .VVV. На рабочем столе появится текстовый документ или HTML-страница с требованием выкупа в биткоинах.
Вымогательское ПО - вид вредоносного ПО, блокирующий доступ к системе либо шифрующий отдельные файлы (например, важные документы). За восстановление доступа либо расшифровку файлов пользователь должен оплатить выкуп.

Исследователь заявил об уязвимости в системе охраны резиденции Путина



Ошибка содержалась в программе подводной защиты.

Пользователь ресурса Habrahabr под псевдонимом Densneg в среду, 16 декабря, заявил о получении доступа к исходному коду ПО системы подводной охраны различных акваторий, использующейся в том числе для защиты правительственных объектов.
Автор ссылается на неизвестного хакера, получившего заказ на коммерческий взлом петербуржской фирмы-производителя ПО. Для осуществления атаки помощник хакера провел «полевое исследование», проанализировав Wi-Fi-трафик компании и собрав необходимые для проникновения на сервер данные.
Специалист смог получить секретные слова для доступа к электронной почте. Как выяснилось, секретные данные хранились на выделенном сервере на территории предприятия. Сервер работал под управлением ОС Ubuntu 12.04 LTS. Ядро операционной системы содержало уязвимость CVE-2014-0196, позволяющую выполнить произвольный код. Проэксплуатировав ошибку, хакер смог получить права суперпользователя.
На сервере было обнаружено примерно 70 гигабайт различной информации, включая исходный код программы для защиты акваторий. Разработанное в 2006-2013 годах ПО связано с устройством подводной защиты «Трал-М», используемым для обнаружения мелких целей, пытающихся проникнуть на охраняемый объект — например, боевых пловцов. Программа отображала охраняемые зоны, показывала обнаруженные цели и записывала данные. В одном из датированных 2008 годом файлов хакер обнаружил расстановку охраняемых зон у здания правительства Московской области. Согласно информации на сервере, система используется в том числе для защиты летней резиденции президента РФ в Сочи.
Получить вознаграждение за проделанную работу хакеру не удалось ни от заказчика, ни от руководства взломанной компании. Более того, директор пострадавшего предприятия пригрозил специалисту расправой за разглашение похищенной информации.
Несмотря на угрозы, автор исследования опубликовал в открытом доступе исходный код нескольких модулей программы. По словам хакера, стоимость подобной разработки составляет миллионы рублей.

Турецкие сайты подверглись масштабной DDoS-атаке



Эксперты называют организаторами атаки российские спецслужбы.

На протяжении прошлой недели большинство турецких сайтов подвергались массовой DDoS-атаке. Злоумышленники были нацелены на домены в зоне .tr, где в основном размещаются сайты местных предпринимателей и правительственных учреждений. Об этом сообщает издание Buzzfeed.
По словам пожелавшего остаться анонимным инженера турецкой правительственной компании, специалисты в течение нескольких дней не могли остановить атаку. Для недопущения подобных атак в будущем понадобится полная реструктуризация IT-инфраструктуры.
Главной целью атаки стал регистратор доменов NIC.tr – в течение прошлой недели злоумышленники атаковали пять серверов компании. Пиковая мощность атаки составила 40 Гб/сек. По мнению турецких экспертов, DDoS-атаку на местные сайты осуществляют российские правительственные хакеры.
В качестве ответной меры Национальный центр реагирования на киберинциденты Турции заблокировал поступление внешнего трафика на сайт NIC.tr. В то же время регистратор доменных имен обратился к национальным интернет-провайдерам Superonline и Vodgone с просьбой о помощи в распределении запросов для ослабления атаки.

__________________________________


Иранские хакеры атаковали дамбу в Нью-Йорке



Злоумышленники осуществляют целевые атаки на объекты энергетической инфраструктуры, промышленности и финансового сектора.

В распоряжении издания The Wall Street Journal оказались документы, свидетельствующие о причастности иранских хакеров к атаке на IT-инфраструктуру дамбы неподалеку от Нью-Йорка, США. Осуществленное в 2013 году нападение не причинило ущерба, но злоумышленникам удалось раскрыть ряд важных данных.
По итогам расследования наиболее вероятным оказался вариант с иранскими киберпреступниками. Ответственная за взлом группировка также осуществила атаки на ряд объектов критической инфраструктуры, включая финансовые организации.
ИБ-эксперты неоднократно обнаруживали взлом IT-систем объектов критической инфраструктуры. Пока в ходе атак злоумышленники нацеливались на получение доступа к конфиденциальной информации.
В ходе одной из кампаний хакеры получили доступ к 82 электростанциям, размещенным на территории США и Канады. Установить национальность злоумышленников удалось благодаря комментариям в коде используемого для взлома вредоносного ПО. Узнав об инциденте, ФБР США выпустило предупреждение о риске осуществления кибератак на объекты энергетической инфраструктуры.
Собранная киберпреступниками информация не использовалась для выведения из строя энергетических объектов или вмешательства в рабочий процесс. Тем не менее, в случае ухудшения дипломатических отношений между Ираном и США хакеры могут осуществить ряд разрушительных атак. Об этом заявил бывший эксперт по кибербезопасности ВВС США Роберт Ли (Robert Lee).

__________________________________


Группировка SkidNP грозится вывести из строя Steam и Minecraft



Злоумышленники обвиняют компании в слабых мерах защиты от DDoS-атак.

На прошлой неделе SecurityLab.ru сообщал о хакерской группировке Phantom Squad, угрожающей вывести из строя игровые сервисы Xbox Live и PlayStation Network (PSN) на период зимних праздников. Тогда злоумышленники взяли ответственность за атаки на PSN и Xbox Live, осуществленные 12 декабря нынешнего года, и пригрозили повторить нападение ближе к Рождеству. По данным Neowin, атаки могли быть осуществлены другой киберпреступной группировкой, а под угрозой нападения оказались еще два сервиса – Steam и Minecraft.
Вскоре после заявления Phantom Squad о грядущем взломе PSN и Xbox Live сайт группировки подвергся дефейсу. Конкуренты из группы SkidNP обвинили хакеров в присвоении чужой славы. Изначально заявление было опубликовано якобы от имени группировки Lizard Squad, но позднее злоумышленники убрали все отсылки к группировке. По словам одного из хакеров, SkidNP никоим образом не связана с Lizard Squad.





Как сообщил изданию Neowin член группировки SkidNP под псевдонимом Obstructable, в ходе зимних праздников злоумышленники будут атаковать сервисы Steam и Minecraft. По словам хакера, злоумышленники пытаются заставить компании наподобие Microsoft, Valve и Sony уделять больше внимания защите от DDoS-атак. В настоящее время любой желающий может вывести из строя сервисы Xbox с помощью обыкновенной DDoS-атаки и специализированного ПО.
Заявление хакеров вызвало беспокойство среди пользователей. По мнению Кима Доткома, в случае успешного осуществления атак ответственность будет лежать не на хакерах, а на самих компаниях. Похожего мнения придерживаются члены группировки Anonymous – в четверг, 17 декабря, на странице хактивистов появилось аналогичное заявление.



"Внимание, Sony и Microsoft. У вас был целый год, чтобы обновить свои сети. Если Lizard Squad и в этот раз атакует PSN и XBOX на Рождество, мы очень разозлимся!"



"Если PSN или XBOX Live опять подвергнутся DDoS-атаке, виноватыми окажутся Sony и Microsoft. От таких корпораций стоило бы ожидать соответствующей защиты от DDoS-атак."

130 знаменитостей стали жертвами хакера



Злоумышленник похитил сценарии невыпущенных фильмов наряду с интимными фото и видео звезд.

Житель Багамских островов арестован за взлом электронной почты 130 именитых представителей шоу-бизнеса и спорта. 23-летний Алонсо Ноулз (Alonzo Knowles) обвиняется в хищении сценариев еще невыпущенных фильмов и телешоу, фото и видео интимного характера и даже готовящегося к выходу музыкального альбома неназванной звезды. Среди похищенной информации также значатся номера социального страхования и копии паспортов.
Злоумышленник, называющий себя Джефф Мокси (Jeff Moxey), предложил известному радиоведущему купить у него сценарий нового сезона популярного телесериала. Радиоведущий уведомил о происшествии исполнительного продюсера сериала и правоохранительные органы.
Ноулз был арестован в понедельник, 21 декабря, во время попытки продать 15 сценариев и номера социального страхования профессиональных спортсменов и актрис за $80 тыс. спецагенту под прикрытием. Злоумышленник также показал подставному покупателю видео интимного характера в качестве «примера того, что он может достать».
Молодому человеку вменяется нарушение авторских прав и хищение личности. По каждому пункту обвинения Ноулзу грозит до пяти лет лишения свободы. Согласно судебным документам, данное дело не имеет никакого отношения ни к имевшему место несколько лет назад взлому учетных записей голливудских знаменитостей, ни к атаке на киностудию Sony Pictures Entertainment. С помощью фишинговых писем злоумышленник инфицировал компьютеры жертв вредоносным ПО, позволявшим получить доступ к конфиденциальной информации.

Хакеры атаковали облэнерго на западе Украины



Из-за кибератаки часть населенных пунктов осталось без энергоснабжения.[b]

В Украине зафиксирована первая в истории государства успешная хакерская атака на АСУ ТП-систему. Как сообщает издание «ТСН», в среду, 23 декабря, неизвестным хакерам удалось взломать систему управления телемеханикой компании «Прикарпатьеоблэнерго», специализирующейся на передаче и снабжении электроэнергией потребителей в Ивано-Франковской области в западной Украине. Как результат, на протяжении нескольких часов большая часть области и сам город остались без энергоснабжения.
В ходе кибератаки злоумышленники инфицировали внутренние сети «Прикарпатьеоблэнерго» неизвестным вредоносным ПО. В результате действия вредоноса произошло непредвиденное отключение электроподстанции. В настоящее время работоспособность восстановлена в полном объеме, но система управления телемеханикой остается отключенной. По словам представителей «Прикарпатьеоблэнерго», внутренние сети компании до сих пор инфицированы вредоносным ПО.
Подробная информация о кибератаке будет представлена в ходе пресс-конференции, которая должна состояться во второй половине сегодняшнего дня. В настоящее время дополнительные данные об инциденте отсутствуют. Статья будет обновляться по мере поступления информации.

________________________________


[b]Протурецкие хакеры взломали сайт Московского бюро по правам человека



В последние несколько месяцев МБПЧ активно противодействует деятельности ДАИШ.

Неизвестные взломали сайт Московского бюро по правам человека (МБПЧ) – правозащитной организации, осуществляющей мониторинг ксенофобии в России. Согласно сообщению на официальном ресурсе организации, часть материалов уничтожена, расположение оставшихся – нарушено. На главной странице хакеры разместили всплывающее окно с обращением премьер-министра Турции Ахмета Давутоглу с призывом остановить военные действия в Сирии.
В осуществлении взлома правозащитники подозревают турецких радикалов. В последние несколько месяцев МБПЧ активно противодействует запрещенной в России организации «Исламское государство», размещая в Сети материалы по предотвращению вербовки граждан РФ в ряды ДАИШ.
По словам главы Московского бюро по правам человека Александра Брода, на сайте также публиковались материалы, содержащие критику действий турецких властей, рассматривался инцидент со сбитым российским бомбардировщиком Су-24. Все это могло вызвать ответную реакцию радикалов, считает Брод.
В настоящее время работа ресурса восстановлена.
Московское бюро по правам человека (МБПЧ) – организация, проводящая ежедневный мониторинг нарушений прав человека в РФ и специализированный мониторинг проявлений агрессивной ксенофобии. Получаемая в ходе мониторинга информация размещается на популярных интернет-сайтах, в российских и зарубежных СМИ.

________________________________


Неизвестные атаковали систему обработки платежей сети отелей Hyatt



Служба безопасности проводит расследование с целью установить виновных и оценить возможный ущерб.

Руководство сети отелей Hyatt обратилось к клиентам с просьбой проверить выписки с банковских карт в связи с обнаружением вредоносного ПО в системе обработки платежей. Компания просит сообщать обо всех неавторизованных платежах. Как указывается в пресс-релизе, в настоящее время проводится расследование инцидента с целью установить виновных и оценить возможный ущерб.
Hyatt Hotels Corporation, управляющая отелями в 52 странах мира, не раскрывает информацию о количестве клиентов, пострадавших в результате взлома. Как рассказала изданию The Guardian представитель компании Стефани Шеппард (Stephanie Sheppard), об инциденте стало известно 30 ноября текущего года. Почему компания ждала практически месяц, прежде чем обнародовала информацию о взломе, Шеппард не сообщила.
Hyatt Hotels пополнила список крупных отелей, пострадавших от атак киберпреступников в нынешнем году. В сентябре американская компания Hilton Worldwide сообщила о проведении расследования возможной хакерской атаки на PoS-терминалы в сувенирных магазинах и ресторанах сети отелей Hilton.
Месяцем позже атаке подверглась сеть элитных отелей Trump Hotel Collection (THC), принадлежащих бизнес-магнату и кандидату в президенты США Дональду Трампу (Donald Trump). Злоумышленникам удалось похитить данные всех клиентов отелей с 9 мая 2014 года по 2 июня 2015 года использовавших кредитные и дебетовые карты для оплаты проживания в гостиницах.

________________________________


В 2015 году хакеры похитили свыше 100 млн медицинских записей американцев



Атакам подверглись восемь из десяти крупнейших в США здравоохранительных учреждений.

Миллионы американцев в 2015 году стали жертвами целого ряда кибератак на организации здравоохранения. Как сообщает телеканал Fox News со ссылкой на Министерство здравоохранения и социальных служб США, в нынешнем году злоумышленникам удалось получить доступ к более 100 млн медицинских записей.
Жертвами хакеров стали восемь из десяти крупнейших в стране здравоохранительных учреждений. В нынешнем году наиболее масштабной считается атака на компанию Anthem, занимающуюся медицинским страхованием. Инцидент произошел в феврале и привел к утечке данных 78,8 млн человек. Примерно тогда же была осуществлена атака на другую страховую компанию, Premera Blue Cross. Злоумышленники похитили банковские и медицинские данные и номера социального страхования 11 млн человек.
В августе нынешнего года страховая компания Excellus Health Plan подтвердила факт атаки двухлетней давности, затронувшей 10 млн ее клиентов.
2015 год стал рекордным по количеству инцидентов безопасности в сфере здравоохранения. Государство требует от компаний придерживаться политики защиты персональных данных, в противном случае им придется отвечать перед соответствующими регуляторами и генеральным прокурором США. По мнению представителя Минздрава Девена Макгро (Deven McGraw), компании не уделяют достаточно внимания безопасности данных.
Эксперт из Mandiant Чарльз Кармакал (Charles Carmakal) обвиняет в атаках Китай. «Нам известно о нескольких киберпреступных группировках из Китая, занимающихся атаками на организации здравоохранения. Мы уверены, что знаем, кто они (хакеры – ред.), но не можем сказать, на кого они работают. Возникает вопрос, являются ли они наемными хакерами, и работают ли на китайское правительство», - заявил исследователь.

________________________________


Система мониторинга СМИ «Медиалогия» не прошла «проверку на прочность



Хакеру удалось получить доступ к административному интерфейсу сайта, расшифровав пароль.

Анонимному российскому хакеру, известному как w0rm, удалось взломать сайт компании «Медиалогия» получить доступ к системе мониторинга СМИ. Как хакер рассказал в беседе с журналистами ресурса vc.ru, заинтересованность «Медиалогией» вызвана высокой значимостью системы в политической и медийной сферах.
«Одна из наших основных задач - обращать внимание общественности на проблемы безопасности в интернете. «Медиалогия» предлагает инструмент мониторинга процессов информирования/дезинформирования пользователей сети, поэтому появился интерес посмотреть, как же обстоят дела с безопасностью самой системы», - отметил w0rm.
Хакеру удалось получить доступ к административному интерфейсу сайта, расшифровав довольно простой пароль, взятый из базы данных MySQL. В результате w0rm смог редактировать рейтинги цитируемости и проникнуть в системы «Гласс» и «Призма», предназначенные для анализа СМИ и сообщений в соцсетях.
По словам хакера, сообщение об уязвимости было отправлено на почту «Медиалогии» еще в начале декабря, однако компания никак не отреагировала на информацию.
В августе 2015 года w0rm получил доступ к корпоративной информации «Мегафона», в том числе к системе управления проектами компании. В декабре хакер сообщил о взломе IT-систем «АвтоВАЗа», с помощью которых можно управлять поставками автомобилей.
Информационно-аналитическая система «Медиалогия» создана для мониторинга средств массовой информации и проведения медиа-анализа в режиме реального времени. Объектом интереса системы являются федеральные, региональные, зарубежные, отраслевые издания, телевидение, пресса, информационные агентства, а также интернет-ресурсы. По результатам мониторинга компания составляет рейтинги средств массовой информации.

Phantom Squad атаковала игровые сервисы на Рождество



Злоумышленники заявили об атаке на серверы Electronic Arts, Steam и PlayStation.

В четверг, 24 декабря, геймеры столкнулись с невозможностью поиграть в некоторые online-игры. Проблема возникла из-за кибератаки на серверы компании Electronic Arts (EA), занимающейся распространением видеоигр. Пользователи не могли получить доступ к FIFA 16, Madden NFL 16, Star Wars: Battlefront, Titanfall и другим играм на серверах EA.
По данным издания TechWorm, ответственность за инцидент взяла на себя Phantom Squad, грозившаяся на Рождество «положить» Xbox Live и PlayStation Network. Группировка заявила об атаке на EA в Twitter, однако затем удалила публикацию. Ранее злоумышленники обещали вывести из строя Xbox Live и PlayStation Network, но ничего не упоминали о Electronic Arts. Компания восстановила работу серверов, не называя причину сбоя.



В канун католического Рождества злоумышленники заявили об успешной атаке на серверы Steam и PlayStation. На странице PlayStation в Twitter было опубликовано подтверждение проблем с доступом к играм, приложениям и пр.
Если верить заявлению Phantom Squad в Twitter, группировке также удалось получить доступ к базе данных стриминговой платформы XSplit. Операторы сервиса факт атаки не подтверждают.



______________________________________


«ЛК» раскрыла подробности о деятельности хакеров, грабивших клиентов российского банка



Мошенники собирали номера мобильных телефонов из открытых профилей в соцсети «ВКонтакте».
В конце ноября SecurityLab писал о ликвидации преступной группировки, инфицировавшей 16 тыс. Android-смартфонов с целью хищения средств с банковских карт. Эксперты компании «Лаборатория Касперского», принимавшие участие в расследовании, раскрыли некоторые стороны деятельности хакеров.
Как рассказал руководитель отдела расследования компьютерных инцидентов «ЛК» Руслан Стоянов, мошенники практиковали довольно незамысловатую схему. Используя базу телефонных номеров, злоумышленники рассылали SMS-сообщения, содержащие вредоносную ссылку. В случае успешного заражения устройство становилось частью ботнета, а оказавшийся на гаджете троян начинал поиск информации о банковских сервисах и сбор соответствующих индикаторов. После получения доступа к системе online-банкинга злоумышленники выводили средства жертвы на собственные счета.
Как отметил Стоянов, участники группировки не обладали значительными техническими навыками. Всю необходимую информацию и инструменты мошенники приобретали на открытых хакерских форумах. Злоумышленники использовали программу-парсер для сбора номеров мобильных телефонов из открытых профилей в соцсети «ВКонтакте». Полученная информация использовалась с целью создания базы для рассылки вредоносного спама.
Подобное ПО в изобилии продается или сдается в прокат на русскоязычных теневых форумах, говорит эксперт. Помимо телефонных номеров, программы могут собирать и другую информацию, публикуемую пользователями в соцсетях. К примеру, имена и фамилии, различные контактные данные, настройки профиля и пр. Обладание данной информацией дает злоумышленникам немало возможностей для мошенничества. Рассылка спама (рекламного и вредносного), похищение денег через Premium SMS-сервисы, подделка SIM-карт - самые очевидные способы использования собранных данных.
По словам Стоянова, в России существует значительное количество преступных группировок, промышляющих хищением средств при помощи банковских троянов. Как отметил эксперт, банковские вредоносы (мобильные и десктопные) – проблема глобального масштаба, хотя многие трояны вначале испытываются на территории СНГ.
«В группе особого риска те страны, где распространены мобильные тарифы с предоплатой и различные SMS-сервисы, включая те, что позволяют производить операции с банковскими картами с помощью SMS», - подчеркнул Стоянов.

______________________________________


Несовершеннолетний хакер осужден за взлом страницы «ВКонтакте»



17-летний кемеровчанин вымогал у жертвы деньги, угрожая распространить личную фотографию в Сети.
В Кемерове осужден несовершеннолетний вымогатель, взломавший страницу девушки в соцсети «ВКонтакте». 17-летний кемеровчанин вымогал у жертвы деньги, угрожая распространить личную фотографию в Сети.
Согласно сообщению на официальном сайте прокуратуры Кемеровской области, летом 2015 года подросток взломал учетную запись незнакомой девушки в социальной сети «ВКонтакте» и скопировал провокационный снимок. Затем обвиняемый направил пострадавшей сообщение с требованием перевести на указанный счет 1,5 тыс. рублей. В том случае, если оплаты не будет, злоумышленник пообещал опубликовать фото в интернете.
Девушка обратилась в полицию и сотрудники отдела «К» ГУ МВД пресекли преступные действия. Как признался юный вымогатель, таким образом он решил заработать на карманные расходы.
Рудничный районный суд г. Кемерово признал подростка виновным в совершении преступлений, предусмотренных ч. 1 ст. 272, ч. 1 ст. 137, ч. 1 ст. 163 УК РФ (неправомерный доступ к компьютерной информации, незаконный сбор сведений о частной жизни лица без согласия и вымогательство). За совокупность преступлений суд назначил кемеровчанину наказание в виде полутора лет лишения свободы условно с испытательным сроком полтора года.

Anonymous ради шутки атаковали компанию Honda



На главной странице autos.honda.com.co изображен корабль и звучит песня «Лодка любви».

Неутомимые Anonymous продолжают «ради шутки» атаковать международные организации и крупные компании. Спустя две недели после взлома поддоменов сайта Европейского космического агентства (European Space Agency, ESA) жертвой активистов стал автопроизводитель Honda Motor.
При попытке зайти на сайт autos.honda.com.co открывается страница с символьным изображением корабля и измененным текстом заглавной песни американского комедийного сериала «Лодка любви». Слово «love» в тексте заменено на «lulz». Саундтреком к картинке служит все та же «Лодка любви».
В отличие от других атак Anonymous, имеющих политическую или социальную подоплеку, данный взлом был осуществлен исключительно ради развлечения. Если навести курсор на открытую вкладку autos.honda.com.co, появляется сообщение: «Ваша безопасность оставляет желать лучшего, вот и чувствуйте себя так же».
Напомним, на днях Anonymous атаковали Телекоммуникационное сообщество стран Азиатско-Тихоокеанского региона в знак протеста против введения в азиатских странах цензуры в интернете. В начале текущего месяца активисты опубликовали персональные данные 1415 участников ежегодной конференции ООН по вопросам климата, а 10 декабря был выведен из строя сайт премьер-министра Японии Синдзо Абэ.



На момент копипаста статьи атака производилась..... фото с сайта.

________________________________


Хакеры попытались похитить 60 млн рублей со счетов казанского «Алтынбанка»



СБ банка совместно с сотрудниками полиции удалось заблокировать большую часть переводов.

Стали известны подробности поражающей масштабом и продуманностью «рождественской» кибератаки на казанский банк «Алтынбанк». В ходе атаки злоумышленники попытались похитить 60 млн рублей. Согласно сообщению пресс-службы банка, большую часть средств удалось заблокировать.
Утром 24 декабря некоторые компьютеры в головном офисе «Алтынбанка» начали самопроизвольно отключаться. Как тогда же выяснилось, некоторые переводы средств клиентов банка, произошедшие накануне вечером, были выполнены по подложным реквизитам.
Мошенники внедрили в компьютерную сеть банка вредоносное ПО, подменившее в платежных поручениях клиентов наименование и банковские реквизиты получателя денег. Кроме того, вредонос должен был парализовать работу банка, удалив всю информацию на компьютерах и отключив каналы связи, в том числе межбанковские.
В общей сложности по подложным реквизитам было перечислено 60 млн рублей на счета юрлиц. Далее деньги разошлись по десяткам счетов других юридических лиц в разных регионах России.
Службе безопасности банка совместно с сотрудниками полиции удалось заблокировать большую часть переводов и не допустить уничтожение информации на компьютерах банка. По факту кражи возбуждено уголовное дело по 4 части статьи 158 УК РФ (кража, совершенная организованной группой и/или в особо крупных размерах).
В понедельник, 28 декабря, «Алтынбанк» возобновил проведение электронных платежей физических лиц в полном объеме. Подключение банка к системе электронных платежей ЦБ (БЭСП) восстановлено.

________________________________


Anonymous взломали сайт Телекоммуникационного сообщества стран Азиатско-Тихоокеанского региона



Активисты выразили свой протест против введения цензуры в интернете.
Группировка Anonymous осуществила дефейс официального сайта Телекоммуникационного сообщества стран Азиатско-Тихоокеанского региона. Об этом сообщает издание HackRead.
Активисты получили доступ к административному интерфейсу сайта под управлением Drupal и осуществили дефейс главной страницы. Взломщики также похитили и опубликовали в интернете хранящуюся на ресурсе конфиденциальную информацию.



Как заявил один из взломщиков в эксклюзивном интервью HackRead, причиной атаки стал протест против введения цензуры интернета в странах Азии. При осуществлении атаки активистам Anonymous помогали хакеры из других группировок.
Во время Всемирной конференции по вопросам сети Интернет, прошедшей в декабре нынешнего года в Вужене, Китай, глава КНР Си Цзиньпин заявил о праве каждого государства на осуществление цензуры в интернете. Речь Цзиньпина вызвала негодование в рядах активистов Anonymous и стала причиной дефейса сайта Телекоммуникационного сообщества стран Азиатско-Тихоокеанского региона.

Хакерская группировка RUH8 опубликовала сотни тысяч перехваченных SMS россиян



В общей сложности архив размером 8 МБ содержит 294 677 SMS-сообщений.

Проукраинская хакерская группировка RUH8 опубликовала в свободном доступе сотни тысяч перехваченных SMS-сообщений россиян. В общей сложности архив размером 8 МБ содержит 294 677 SMS-сообщений (105 552 отправителей, 37 269 получателей). В документах указаны дата, номер отправителя, получатель (как отметили хакеры, «скрыт из человеколюбия») и текст сообщения.



«Я хочу напомнить россиянам, что нет ничего тайного, что не сделалось бы явным, ни сокровенного, что не сделалось бы известным […] ФСБ вас не защитит, МВД вас не защитит, ФСТЭК вас не защитит […]Rete nostrum, в сети вас ждем мы», - гласит заявление на сайте хакерской группировки.
В октябре 2014 года RUH8 взломали официальный сайт органа законодательной власти Астраханской области и разместили на главной странице сообщение о выходе Астраханской области из состава России и создании «Нижне-Волжской народной республики». В апреле прошлого года хакеры атаковали web-сайт российской Госдумы и разместили на нем антироссийское обращение от имени депутата Николая Харитонова.

_________________________________


Турецкие хакеры заявили о подготовке кибератак на Россию



Организация намерена атаковать сайты российских министерств, в частности Минобороны.

Хакерская группировка из Турции Ayyıldız объявила о подготовке кибератак на российские сайты, сообщают «РИА Новости» со ссылкой на турецкой издание Аksam.
28 декабря нынешнего года хакеры взломали ресурс anonymoushackers.org, предположительно принадлежащий активистам Anonymous, в ответ на заявление последних о запуске крупномасштабной кампании против Турции. На ресурсе появилась надпись «Вы атакованы киберармией Ayyıldız» и изображение основателя Турецкой Республики Мустафы Кемаля Ататюрка и турецкого флага.
«Мы преподали урок тем, кто хочет унизить турецкое государство. На очереди – Россия», – заявил лидер Ayyıldız, называющий себя Джеткан Бир Яфес. Организация намерена атаковать сайты российских министерств, в частности Минобороны.
23 декабря нынешнего года Anonymous обвинили турецкое правительство в поддержке террористической группировки «Исламское государство» (ДАИШ, запрещена в России). По словам представителей движения, если власти Турции не прекратят поддерживать ДАИШ, активисты продолжат атаковать турецкие сайты, правительственные ресурсы, аэропорты и военные объекты страны.
22 декабря глава Московского бюро по правам человека Александр Брод сообщил о взломе официального ресурса организации. Как подозревают правозащитники, атака является ответной реакцией турецких радикалов на размещенные на сайте материалы, содержащие критику действий турецких властей.