Перейти к содержанию

INC.

Пользователи
  • Публикаций

    148
  • Зарегистрирован

    20 марта
  • Посещение

Посетители профиля

317 просмотров профиля
  1. Майские праздники обернулись для сотни владельцев карт «Кукуруза» хищением денежных средств. Мошенники получили доступ к логинам и паролям от мобильного и интернет-банка, а далее, пользуясь уязвимостью приложений, подключили Apple Pay и вывели средства. Сейчас проблема устранена, хотя вопросы к уровню безопасности «Кукурузы» в целом остаются. Начиная со 2 мая на сайте Banki.ru стали появляться жалобы владельцев карт «Кукуруза» о хищении у них средств. Жертвы атаки получили СМС, что их карта подключена к Apple Pay, сразу после этого были выведены деньги на номер Tele2. Все жертвы указывают, что СМС или пуш-уведомлений с кодом подтверждения для подключения Apple Pay они не получали. Карта «Кукуруза» — это мультифункциональная бонусная платежная карта, которую предлагает своим клиентам объединенная компания «Связной/Евросеть». Карта работает в платежной системе Mastercard, эмитент карты РНКО «Платежный центр». Жертвы атаки указывали, что причин хищения две — утечка их логинов и паролей, а также возможность подключения в мобильном приложении «Кукурузы» Apple Pay без подтверждения операции СМС или пуш-уведомлением. Собеседник “Ъ”, знакомый с ходом расследования инцидента, сообщил, что при атаке применялся метод «смежного взлома» — был атакован сервис, где были данные о владельцах «Кукурузы». «Часть паролей совпала и удалось совершить вход, часть была просто похожа и злоумышленникам взлом не удался»,— отметил он. Общая сумма ущерба, по словам знакомых с ситуацией собеседников “Ъ”, могла составить несколько миллионов рублей. В «Евросети» и РНКО факт хищения средств у владельцев «Кукурузы» подтвердили, отметив, что среди 20 млн выпущенных карт доля пострадавших невелика. «Это обычная активизация мошенников перед праздниками,— пояснили в РНКО "Платежный центр".— Суммарно мы получили менее 100 обращений» По словам СЕО компании «Связной/Евросеть» Александра Малиса, пострадали 80 владельцев карт. В РНКО «Платежный центр» отметили, что не были взломаны системы РНКО и его партнеров. «По имеющейся информации, был взломан один из социальных сервисов, не связанный с "Кукурузой", далее злоумышленники проверяли — не совпадает ли логин и пароль на сервисе с логином и паролем в мобильном или интернет-банке»,— отметили там. Взломанный сервис до установления всех фактов атаки не называют. В компании «Связной/Евросеть» отметили, что аномальное количество попыток входа с неверным паролем фиксировалось с 1 мая, с 4 мая начали поступать жалобы клиентов, а 6 мая были установлены основные обстоятельства атаки и ужесточили параметры мониторинга. Именно в эти дни, отмечают в компании, начали сбрасывать пароли клиентов, которые потенциально были скомпрометированы, а также ввели обязательную двухфакторную аутентификацию на подключение Apple Pay. По словам Александра Малиса, также прошло обновление мобильного банка, которое ввело дополнительное подтверждение при смене устройства, а также защиту от подбора логина и пароля для входа. «Похищенные средства удалось остановить,— отмечает господин Малис.— Всем пострадавшим они были возвращены». В компании говорят о похищении около 2 млн руб. В РНКО «Платежный центр» уверяют, что нарушений положения ЦБ «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» допущено не было, так как оно относится к переводам денежных средств, а привязка карты к Apple Pay не является операцией по переводу. Подключение к Apple Pay было реализовано в соответствии с требованиями Apple и политиками риск-менеджмента. Любое усложнение бизнес-процесса отрицательно влияет на удобство использования, в компании соблюдают баланс между безопасностью и удобством, отметили там. Банки, работающие с Apple Pay, указывают, что без подтверждения СМС привязывать карту опасно, хотя сервис этого не требует. «Банк получает информацию об уровне риска как учетной записи Apple ID, так и об устройстве, к которому осуществляется привязка карты, но эта информация носит лишь рекомендательный характер,— отметил собеседник “Ъ” в крупном банке.— Для подтверждения факта того, что привязка инициирована держателем карты, используют СМС». Ранее эксперты Positive Technologies отмечали, что больше половины мобильных банков не защищены от подбора логина и пароля, операции повышенной важности совершаются в приложениях без второго фактора в 77% банков. По словам директора центра мониторинга и реагирования на кибератаки Solar JSOC Владимира Дрюкова, вне зависимости от факта утечки логинов и паролей мобильное приложение при подобном способе хищения показало две серьезные уязвимости — отсутствие защиты от смены устройства при входе в мобильный банк и отсутствие защиты от подбора номера. Сама по себе схема с Apple Pay не нова, по ней атаковали американские банки несколько лет назад, и даже идентификация клиента с помощью пуш-уведомлений не защищает здесь от хищения, указывает эксперт по безопасности банковских систем Positive Technologies Тимур Юнусов.
  2. Управлением Следственного комитета по Минской области завершено расследование уголовного дела о причинении ущерба отечественному оператору связи. Обвинения по нескольким статьям Уголовного кодекса предъявлены 24-летнему жителю Минска и 23-летнему уроженцу Гродненской области. Следствием установлено, что обвиняемые вступили в преступный сговор с находившимися за пределами страны неустановленными лицами и за денежное вознаграждение занимались нелегальным пропуском международного голосового интернет-трафика в Республику Беларусь. Для реализации преступных действий мужчины в различных областях страны снимали квартиры, жилые помещения с наличием высокоскоростного доступа к интернету. С помощью специального оборудования, программно-технических средств перераспределяли компьютерную информацию и преобразовывали поступающий в нашу страну международный телефонный сигнал в обход национального оператора электросвязи. Кроме этого, они имели возможность прослушивать беседы личного характера граждан, чьи звонки перенаправляли. Таким образом, за несколько месяцев обвиняемые получили доход в сумме более 23 тысяч рублей за нелегальный пропуск трафика в обход РУП «Белтелеком», которое, в свою очередь, потеряло более 43 тысяч рублей в виде непроизведенных платежей от иностранных операторов связи. В ходе расследования проведено более полутора тысяч допросов, исследованы изъятое оборудование и иные радиоэлектронные устройства. С целью установления фактических обстоятельств следователями были направлены поручения в страны ближнего зарубежья для оказания правовой помощи. Действия обвиняемых квалифицированы по ч. 2 ст. 216 (причинение ущерба при отсутствии признаков хищения, совершенное группой лиц) Уголовного кодекса, ч. 1 ст. 233 (незаконная предпринимательская деятельность, сопряженная с получением дохода в крупном размере), ст. 352 (неправомерное завладение компьютерной информацией) Уголовного кодекса. На имущество подследственных наложен арест. Со стороны жителя Минска предпринимаются меры по возмещению незаконно полученного дохода. Вину он признал частично, к нему применена мера пресечения в виде личного поручительства. Второй обвиняемый заключен под стражу. Уголовное дело передано в прокуратуру для направления в суд.
  3. Компания Intel опубликовала сведения о новом классе уязвимостей в своих процессорах - MDS (Microarchitectural Data Sampling). Как и прошлые атаки класса Spectre новые проблемы могут привести к утечке закрытых данных операционной системы, виртуальных машин и чужих процессов. Утверждается, что проблемы сперва были выявлены сотрудниками и партнёрами Intel в ходе внутреннего аудита. В июне и августе 2018 года информацию о проблемах в Intel также передали независимые исследователи, после чего почти год велась совместная работа с производителями и разработчиками операционных систем по определению возможных векторов атак и доставке исправлений. Процессоры AMD и ARM проблеме не подвержены. На основе выявленных проблем исследователями из Грацского технического университета (Австрия) разработано несколько практических атак по сторонним каналам: • ZombieLoad - позволяет извлечь конфиденциальную информацию из других процессов, операционной системы, виртуальных машин и защищённых анклавов (TEE, Trusted Execution Environment). Например, продемонстрирована возможность определения истории открытия страниц в Tor browser, запущенном в другой виртуальной машине, а также извлечения используемых в приложениях ключей доступа и паролей • Source: https://zombieloadattack.com/zombieload.pdf • Прототип эксплоитов для Linux и Windows: https://github.com/IAIK/ZombieLoad • RIDL - позволяет организовать утечку информации между различными изолированными областями в процессорах Intel, такими как буферы заполнения, буферы хранения и порты загрузки. Примеры проведения атаки показаны для организации утечек из других процессов, операционной системы, виртуальных машин и защищённых анклавов. Например, показано как узнать содержимое хэша пароля root из /etc/shadow при периодических попытках аутентификации (атака заняла 24 часа); • Source: https://mdsattacks.com/files/ridl.pdf • Код для проверки: https://github.com/vusec/ridl • Video: https://www.youtube.com/watch?v=JXPebaGY8RA Кроме того показан пример проведения атаки с использованием JavaScript и WebAssembly при открытии вредоносной страницы в движке SpiderMonkey (в современных полноценных браузерах подобная атака маловероятна из-за ограничения точности таймера и мер для защиты от Spectre). Представители проекта Chromium считают, что добавления дополнительной защиты в браузер не требуется и можно обойтись исправлениями на уровне ОС. • Video: https://www.youtube.com/watch?v=KAgoDQmod1Y • Fallout - даёт возможность читать данные, недавно записанные операционной системой и определять раскладку памяти ОС для упрощения проведения других атак. • Source: https://mdsattacks.com/files/fallout.pdf • Store-To-Leak Forwarding - эксплуатирует оптимизации CPU по работе с буфером хранения и может применяться для обхода механизма рандомизации адресного пространства ядра (KASLR), для мониторинга состояния операционной системы или для организации утечек в комбинации с гаджетами на базе методов Spectre. • Source: https://cpu.fail/store_to_leak_forwarding.pdf Выявленные уязвимости: * CVE-2018-12126 - MSBDS (Microarchitectural Store Buffer Data Sampling), восстановление содержимого буферов хранения. Используется в атаке Fallout. Степень опасности определена в 6.5 баллов (CVSS); * CVE-2018-12127 - MLPDS (Microarchitectural Load Port Data Sampling), восстановление содержимого портов загрузки. Используется в атаке RIDL. CVSS 6.5; * CVE-2018-12130 - MFBDS (Microarchitectural Fill Buffer Data Sampling), восстановление содержимого буферов заполнения. Используется в атаках ZombieLoad и RIDL. CVSS 6.5; * CVE-2019-11091 - MDSUM (Microarchitectural Data Sampling Uncacheable Memory), восстановление содержимого некэшируемой памяти. Используется в атаке RIDL. CVSS 3.8. Суть выявленных проблем в возможности применения методов анализа по сторонним каналам к данным в микроархитектурных структурах, к которым приложения напрямую не имеют доступа. Речь ведётся о таких низкоуровневых структурах, как буферы заполнения (Line Fill Buffer), буферы хранения (Store Buffer) и порты загрузки (Load Port), которые являются более мелкими составными блоками, чем кэш первого уровня (L1D), кэш загрузки данных (RDCL) или L1TF (L1 Terminal Fault), и соответственно включают меньше информации и обновляются более интенсивно. Атаки по сторонним каналам на микроархитектурные структуры существенно сложнее в проведении по сравнению с методами восстановления содержимого кэша и требуют отслеживания и анализа значительных объёмов данных для определения их связи с определёнными адресами в памяти (по сути, атакующий не может целенаправленно перехватить определённые данные, а может длительное время накапливать утечки и применять статистические методы для реконструкции определённых видов данных). Кроме того, атака затрагивает только данные на том же физическом ядре CPU, что и код атакующего. Предложенные методы определения содержимого микроархитектурных структур основываются на том, что данные структуры используются при спекулятивной обработке исключений (fault) или операций load и store. При спекулятивном выполнении содержимое внутренних структур перенаправляется для обработки в регистры или кэш. Спекулятивные операции не завершаются и результат отбрасывается, но перенаправленное содержимое можно определить при помощи методов анализа кэша по сторонним каналам. Порты загрузки используются процессором для получения данных из памяти или подсистемы ввода/вывода и предоставления полученной информации в регистры CPU. Из-за особенности реализации данные от старых операций загрузки остаются в портах до их перезаписи новыми данными, что позволяет косвенно определить состояние данных в порте загрузки при помощи манипуляций с исключениями (fault) и инструкциями SSE/AVX/AVX-512, загружающими более 64 бит данных. В подобных условиях операции загрузки спекулятивно засвечивают устаревшие значения данных из внутренних структур в зависимые операции. Похожим образом организуется утечка через буфер хранения, применяемый для ускорения записи в кэш CPU и включающий в себя таблицу адресов, значений и флагов, а также через буфер заполнения, который содержит данные, пока отсутствующие в кэше L1 (cache-miss), на время их загрузки из кэшей других уровней. Проблема затрагивает модели процессоров Intel, выпускаемые с 2011 года (начиная с 6 поколения). При этом аппаратно уязвимости блокируются начиная с некоторых моделей 8 и 9 поколений Intel Core и 2 поколения Intel Xeon Scalable (проверить можно через бит ARCH_CAP_MDS_NO в IA32_ARCH_CAPABILITIES MSR). Уязвимости также уже устранены на уровне прошивок, микрокода и операционных систем. Многие производители серверов, ПК и ноутбуков к моменту раскрытия сведений об уязвимостях успели выпустить обновления прошивок (например, Lenovo). По оценке Intel потеря производительности после активации исправления для большинства пользователей не превышает 3%. При отключении технологии Hyper-Threading снижение производительности может доходить до 9% в тесте SPECint_rate_base, до 11% при активных целочисленных вычислениях и до 19% при выполнении серверных Java-приложений (при включенном HT снижение производительности почти отсутствует). Исправления практически не влияют на производительность операций, связанных с вводом/выводом. В macOS отмечается провал производительности многопоточных приложений при отключении hyper-threading до 40%. В ядре Linux защита от MDS добавлена в сегодняшних обновлениях 5.1.2, 5.0.16, 4.19.43, 4.14.119 и 4.9.176. Метод защиты строится на очистке содержимого микроархитектурных буферов в момент возвращения из ядра в пространство пользователя или при передаче управления гостевой системе, для чего используется инструкция VERW. Для работы защиты требуется наличие поддержки режима MD_CLEAR, реализованного в свежем обновлении микрокода. Для полной защиты также рекомендуется отключить Hyper Threading. Для проверки подверженности системе уязвимости в ядро Linux добавлен обработчик "/sys/devices/system/cpu/vulnerabilities/mds". Для управления включением различных режимов блокирования уязвимости в ядро добавлен параметр "mds=", который может принимать значения "full", "full,nosmt" (отключение Hyper-Threads), "vmwerv" и "off". Обновления пакетов уже выпущены для RHEL и Ubuntu, но пока остаются недоступны для Debian, Fedora и SUSE. Исправление для блокирования утечек данных из виртуальных машин сформировано для гипервизора Xen и VMware. Для защиты систем виртуализации, выполняющих вызов команды L1D_FLUSH перед передачей управления другой виртуальной машине, и для защиты анклавов Intel SGX достаточно обновления микрокода. Исправления также доступны для NetBSD, FreeBSD, ChromeOS, Windows и macOS (для OpenBSD исправлений ещё нет). • Source: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00233.html
  4. Главное следственное управление Нацполиции расследует уголовное производство, в рамках которого установлено, что "с 19 по 25 января 2019 года неустановленные лица, действуя по предварительному сговору, совершили несанкционированное вмешательство в работу автоматизированной системы АО Первый украинский международный банк (ПУМБ), что привело к подделке информации, и причинило значительный ущерб банковскому учреждению". Об этом сообщает Finbalance. В ходе следствия получены доказательства того, что "в период с 19 по 25 января 2019 года, клиент по карточному счету, используя мобильное приложение системы ПУМБ-онлайн, осуществил большое количество операций по пополнению разных номеров телефонов оператора связи Киевстар, что стало причиной несанкционированного овердрафта по карточному счету на общую сумму 172 100 грн". Учитывая это, суд удовлетворил ходатайство следователей и предоставил им доступ к документам, которые находятся в АО Киевстар и касаются ряда телефонных номеров. По заключению полиции, "есть все основания считать, что эти номера мобильных телефонов могли использоваться во время совершения уголовных преступлений, для дальнейшего вывода похищенных денег и их обналичивании, а также при общении соучастниками преступлений между собой". Также суд удовлетворил ходатайство следователей и предоставил им доступ к документам ПУМБ, касающимся нескольких его клиентов, и лиц, "которые были разработчиками мобильного приложения системы ПУМБ-онлайн". Дополнено. В ПУМБ сообщили, что хакерской атаки на банк не было. "На счету клиента возник несанкционированный овердрафт, по факту которого банк подал заявление в правоохранительные органы. На сегодня проводятся досудебные следственные действия", - пояснили в банке. • Source: finbalance.com.ua/news/khakeri-pohrabuvali-bank-akhmetova
  5. Ежегодный отчет по интернет-безопасности от экспертов SiteLock показал, что в 2018 году количество атак на веб-сайты выросло на 59%, достигнув среднего значения в 62 инцидента в сутки. Криптоджекинг и SEO-спам теряют популярность, а технологии скрытного присутствия, напротив, получают все большее распространение. По словам экспертов, злоумышленники все чаще не стремятся установить контроль над сайтом, перехватывая лишь отдельные интернет-сессии. В результате они могут надежно закрепиться на скомпрометированном ресурсе, причем обнаружить постороннее ПО можно только с помощью специализированных средств интернет-безопасности. С другой стороны, многие веб-администраторы ошибочно полагают, что мониторингом их сайтов должны заниматься сторонние контролеры. По их мнению, поисковики отслеживают присутствие вредоносного ПО и автоматически уведомляют зараженные площадки. На самом деле в 2018 году поисковые машины заблокировали лишь 15% зараженных сайтов — на 4 п. п. меньше, чем в 2017-м. «[Такие сервисы] крайне неохотно пополняют свои черные списки, чтобы не причинять владельцам сайтов лишних неудобств, — поясняют эксперты. — Блокировка может сильно ударить по репутации ресурса, сократить поток посетителей и поступающую прибыль». Большинство администраторов все же понимает необходимость проактивного подхода к безопасности. Как следствие, количество зараженных площадок на протяжении 2018 года оставалось примерно на одном уровне — около 1% от всех существующих сайтов. В абсолютном выражении это 17,6 млн ресурсов. На половине из них исследователи обнаружили бэкдоры, shell-зловреды и нелегитимно модифицированные файлы (filehacker). Все эти программы, которые исследователи отнесли к проверенной временем классике, обеспечивают преступникам скрытное присутствие с возможностью модифицировать и красть данные. Чаще всего преступники используют в своих атаках межсайтовый скриптинг, SQL-инъекции и межсайтовую подделку запросов. Исследователи видят угрозу в растущей популярности свободных CMS WordPress, Joomla! и Drupal, на которых сегодня работает почти 40% сайтов. Эти решения открывают Интернет для неопытных вебмастеров, которые не справляются с настройками безопасности. «Мы изучили 6 млн ресурсов на базе этих CMS и обнаружили хотя бы одну уязвимость [из трех самых популярных] на 20% WordPress-сайтов, 15% площадок на Joomla! и 2% — на Drupal, — уточняют эксперты. — Проблемы присутствуют даже на последних версиях систем, а значит, простая установка обновлений не гарантирует безопасность». Специалисты прогнозируют, что в 2019 году преступники будут действовать еще незаметнее, отказываясь от «шумных» атак в пользу скрытных методов проникновения. Веб-администраторам следует самим заботиться о собственной защите, чтобы вовремя блокировать возникающие угрозы. • Source: https://www.securityweek.com/website-infections-holding-steady-1-attacks-becoming-stealthier-report
  6. Раскрыты сведения о критической уязвимости (CVE-2019-3568) в мобильном приложении WhatsApp, позволяющей добиться выполнения своего кода через отправку специально оформленного голосового вызова. Для успешной атаки ответ на вредоносный вызов не требуется, достаточно поступления звонка. При этом часто подобный вызов не оседает в журнале звонков и атака может остаться незамеченной пользователем. Уязвимость не связана с протоколом Signal, а вызвана переполнением буфера в специфичном для WhatsApp VoIP-стеке. Проблему можно эксплуатировать через отправку на устройство жертвы специально оформленной серии пакетов SRTCP (Secure Real-time Transport Protocol). Уязвимость проявляется в WhatsApp для Android (исправлено в 2.19.134), WhatsApp Business для Android (исправлено в 2.19.44), WhatsApp для iOS (2.19.51), WhatsApp Business для iOS (2.19.51), WhatsApp для Windows Phone (2.18.348) и WhatsApp для Tizen (2.18.15). Получив контроль за приложением WhatsApp атакующий может контролировать шифрованную переписку внутри приложения, перехватывать звонки и SMS, передавать данные с микрофона и камеры, получить доступ к хранилищу, фотографиям и адресной книге, анализировать сетевую активность. Атака на WhatsApp также может быть первой ступенью для эксплуатации системных уязвимостей и получения полного контроля за операционной системой. Интересно, что в проводимом в прошлом году исследовании безопасности WhatsApp и Facetime проект Zero обратил внимание на недоработку, позволяющую отправлять и обрабатывать связанные с голосовым вызовом управляющие сообщения на стадии до принятия звонка пользователем. WhatsApp было рекомендовано удалить данную возможность и показано, что при проведении fuzzing-проверки отправка подобных сообщений приводит к крахам приложения, т.е. ещё в прошлом году было известно, что в коде имеются потенциальные уязвимости. После выявления первых следов компрометации устройств в пятницу инженеры Facebook выпустили обновление с исправлением клиентского ПО и обходным путём обеспечили блокировку лазейки на уровне серверной инфраструктуры. Пока не ясно как много устройств было атаковано с использованием уязвимости. Сообщается лишь о не завершившейся успехом попытке компрометации в воскресенье смартфона одного из правозащитников при помощи метода, напоминающего технологию NSO Group, а также о попытке атаки на смартфон сотрудника правозащитной организации Amnesty International. Проблема без лишней огласки была выявлена израильской компанией NSO Group (или у хакерских групп был выкуплен готовый эксплоит), которая смогла использовать уязвимость для организации установки на смартфоны шпионского ПО для обеспечения слежки правоохранительными органами. Компания NSO заявила, что очень тщательно проверяет клиентов (сотрудничает только с правоохранительными органами и спецслужбами) и расследует все жалобы на злоупотребления. В том числе сейчас инициировано разбирательство, связанное с зафиксированными атаками на WhatsApp-приложения правозащитников. NSO отвергает причастность к конкретным атакам и заявляет лишь о разработке технологий для спецслужб, но пострадавший правозащитник намерен в суде доказать, что компания разделяет ответственность c клиентами, злоупотребляющими предоставленным им ПО, и продавала свои продукты службам, известным своими нарушениями прав человека. Компания Facebook инициировала расследование о возможной компрометации устройств и на прошлой неделе в частном порядке поделилась первыми результатами с Министерством юстиции США, а также уведомила о проблеме некоторые правозащитные организации для координации информирования общества (в мире насчитывается около 1.5 млрд установок WhatsApp). • Source: http://archive.is/kDz13 • Source: https://www.facebook.com/security/advisories/cve-2019-3568
  7. Полицией Канады разыскивается четверо мужчин, подозреваемых в организации атак двойных трат на биткойноматах в разных городах страны. Предположительно, в сентябре прошлого года ими было осуществлено 112 транзакций, половина из которых пришлась на Калгари. Другие атаки проводились в городах Виннипег, Торонто, Монреаль, Шервуд Парк, Оттава и Гамильтон. Личности злоумышленников неизвестны, и полиция Калгари обратилась к населению с просьбой оказать помощь в их установлении. Судя по всему, биткойноматы принимали транзакции с нулевым подтверждением, и злоумышленники воспользовались этим для проведения атак двойных трат биткоинов в обмен на наличные. В общей сложности за 10 дней мошенникам удалось совершить 112 транзакций и заработать около $200 000. Средняя сумма транзакции составляла около $1800. Предполагается, что такие транзакции стали возможными благодаря инструменту replace-by-fee, разработанному канадским программистом Bitcoin Core Питером Тоддом (Peter Todd). Хотя данный инструмент был разработан совершенно с другой целью, он позволяет «освобождать» транзакции, заплатив дополнительную комиссию. В комплекте содержится инструмент «двойных трат», который Тодд описывает следующим образом: «Последовательно создает две транзакции. Первая отправляет обозначенную сумму на оговоренный адрес. Вторая осуществляет двойную трату данной транзакции с транзакцией с более высокой комиссией». В общей сложности в Калгари установлено 45 биткойноматов двух ведущих производителей - Genesis Coin (наиболее популярный) и Lamassau. Возможность продавать биткоины предоставляет только 21 терминал. Эти биткойноматы принадлежат разным компаниям, в число которых входят Bitnational, Bitcoin Solutions и Bitcoiniacs. Предположительно, владельцы терминалов самостоятельно настраивают условия осуществления транзакций. На некоторых терминалах установлен дневной лимит продаж до $9000. Позволяют ли эти компании осуществление транзакций с нулевым подтверждением, неизвестно.
  8. Китайскими средствами массовой информации были опубликованы сведения о расследовании мошенничества в особо крупных размерах. Мошенники продавали криптоэнтузиастам поддельные устройства для майнинга. Таким образом злоумышленникам удалось заработать $300 млн., что соответствует примерно 2 миллиардам юаней. Предприимчивые дельцы основали в Китае фирму Lianxin Tech, которая просуществовала целых 4 месяца. За это время «предприниматели» смогли продать доверчивым гражданам, которые желали заняться добычей криптовалют, более 300 000 единиц поддельного майнингого оборудования. Аферисты завлекали инвесторов утверждая, что с помощью их майнеров можно добывать два вида виртуальных активов – имеющую определенную известность монету Filecoin и собственный токен компании CAI. Согласно расчетам, которые аферисты предоставляли потенциальным жертвам, их оборудование стоимостью $850 имело быструю окупаемость. Потраченные деньги должны были вернуться уже через два месяца. По заверениям представителей Lianxin Tech, их майнеры показывали высокую производительность в 47 CAI за сутки. Якобы 100 машин могли добывать уже 7000 токенов всего за 24 часа. Примечательно, что монета CAI торговалась лишь на одной бирже, которую предусмотрительно создали сами аферисты. Так что злоумышленники легко манипулировали ценой токена, которая постоянно росла, тем самым еще больше привлекая интерес криптоэнтузиастов. Более того, мошенники предлагали инвесторам стать агентами компании, продавать псевдомайнеры другим заинтересованным лицам и получать 10% от сделок, если продажа состоялась. Это значительно повысило прибыль аферистов. О мошенничестве стало известно благодаря случаю. Один из майнеров обнаружил, что оборудование продолжает «добывать» токен CAI даже после отключения электричества. А к тому времени, как потерпевшие обратились в полицию, мошенники успели скрыться, прихватив всю выручку. Совершенно естественно, ни одной настоящей монеты Filecoin обладатели ферм от Lianxin Tech не добыли. В настоящее время полиция Китая ведет расследование данного факта.
  9. Ежегодный отчет по интернет-безопасности от экспертов SiteLock показал, что в 2018 году количество атак на веб-сайты выросло на 59%, достигнув среднего значения в 62 инцидента в сутки. Криптоджекинг и SEO-спам теряют популярность, а технологии скрытного присутствия, напротив, получают все большее распространение. По словам экспертов, злоумышленники все чаще не стремятся установить контроль над сайтом, перехватывая лишь отдельные интернет-сессии. В результате они могут надежно закрепиться на скомпрометированном ресурсе, причем обнаружить постороннее ПО можно только с помощью специализированных средств интернет-безопасности. С другой стороны, многие веб-администраторы ошибочно полагают, что мониторингом их сайтов должны заниматься сторонние контролеры. По их мнению, поисковики отслеживают присутствие вредоносного ПО и автоматически уведомляют зараженные площадки. На самом деле в 2018 году поисковые машины заблокировали лишь 15% зараженных сайтов — на 4 п. п. меньше, чем в 2017-м. «[Такие сервисы] крайне неохотно пополняют свои черные списки, чтобы не причинять владельцам сайтов лишних неудобств, — поясняют эксперты. — Блокировка может сильно ударить по репутации ресурса, сократить поток посетителей и поступающую прибыль». Большинство администраторов все же понимает необходимость проактивного подхода к безопасности. Как следствие, количество зараженных площадок на протяжении 2018 года оставалось примерно на одном уровне — около 1% от всех существующих сайтов. В абсолютном выражении это 17,6 млн ресурсов. На половине из них исследователи обнаружили бэкдоры, shell-зловреды и нелегитимно модифицированные файлы (filehacker). Все эти программы, которые исследователи отнесли к проверенной временем классике, обеспечивают преступникам скрытное присутствие с возможностью модифицировать и красть данные. Чаще всего преступники используют в своих атаках межсайтовый скриптинг, SQL-инъекции и межсайтовую подделку запросов. Исследователи видят угрозу в растущей популярности свободных CMS WordPress, Joomla! и Drupal, на которых сегодня работает почти 40% сайтов. Эти решения открывают Интернет для неопытных вебмастеров, которые не справляются с настройками безопасности. «Мы изучили 6 млн ресурсов на базе этих CMS и обнаружили хотя бы одну уязвимость [из трех самых популярных] на 20% WordPress-сайтов, 15% площадок на Joomla! и 2% — на Drupal, — уточняют эксперты. — Проблемы присутствуют даже на последних версиях систем, а значит, простая установка обновлений не гарантирует безопасность». Специалисты прогнозируют, что в 2019 году преступники будут действовать еще незаметнее, отказываясь от «шумных» атак в пользу скрытных методов проникновения. Веб-администраторам следует самим заботиться о собственной защите, чтобы вовремя блокировать возникающие угрозы. • Source: https://www.securityweek.com/website-infections-holding-steady-1-attacks-becoming-stealthier-report
  10. Раскрыты сведения о критической уязвимости (CVE-2019-3568) в мобильном приложении WhatsApp, позволяющей добиться выполнения своего кода через отправку специально оформленного голосового вызова. Для успешной атаки ответ на вредоносный вызов не требуется, достаточно поступления звонка. При этом часто подобный вызов не оседает в журнале звонков и атака может остаться незамеченной пользователем. Уязвимость не связана с протоколом Signal, а вызвана переполнением буфера в специфичном для WhatsApp VoIP-стеке. Проблему можно эксплуатировать через отправку на устройство жертвы специально оформленной серии пакетов SRTCP (Secure Real-time Transport Protocol). Уязвимость проявляется в WhatsApp для Android (исправлено в 2.19.134), WhatsApp Business для Android (исправлено в 2.19.44), WhatsApp для iOS (2.19.51), WhatsApp Business для iOS (2.19.51), WhatsApp для Windows Phone (2.18.348) и WhatsApp для Tizen (2.18.15). Получив контроль за приложением WhatsApp атакующий может контролировать шифрованную переписку внутри приложения, перехватывать звонки и SMS, передавать данные с микрофона и камеры, получить доступ к хранилищу, фотографиям и адресной книге, анализировать сетевую активность. Атака на WhatsApp также может быть первой ступенью для эксплуатации системных уязвимостей и получения полного контроля за операционной системой. Интересно, что в проводимом в прошлом году исследовании безопасности WhatsApp и Facetime проект Zero обратил внимание на недоработку, позволяющую отправлять и обрабатывать связанные с голосовым вызовом управляющие сообщения на стадии до принятия звонка пользователем. WhatsApp было рекомендовано удалить данную возможность и показано, что при проведении fuzzing-проверки отправка подобных сообщений приводит к крахам приложения, т.е. ещё в прошлом году было известно, что в коде имеются потенциальные уязвимости. После выявления первых следов компрометации устройств в пятницу инженеры Facebook выпустили обновление с исправлением клиентского ПО и обходным путём обеспечили блокировку лазейки на уровне серверной инфраструктуры. Пока не ясно как много устройств было атаковано с использованием уязвимости. Сообщается лишь о не завершившейся успехом попытке компрометации в воскресенье смартфона одного из правозащитников при помощи метода, напоминающего технологию NSO Group, а также о попытке атаки на смартфон сотрудника правозащитной организации Amnesty International. Проблема без лишней огласки была выявлена израильской компанией NSO Group (или у хакерских групп был выкуплен готовый эксплоит), которая смогла использовать уязвимость для организации установки на смартфоны шпионского ПО для обеспечения слежки правоохранительными органами. Компания NSO заявила, что очень тщательно проверяет клиентов (сотрудничает только с правоохранительными органами и спецслужбами) и расследует все жалобы на злоупотребления. В том числе сейчас инициировано разбирательство, связанное с зафиксированными атаками на WhatsApp-приложения правозащитников. NSO отвергает причастность к конкретным атакам и заявляет лишь о разработке технологий для спецслужб, но пострадавший правозащитник намерен в суде доказать, что компания разделяет ответственность c клиентами, злоупотребляющими предоставленным им ПО, и продавала свои продукты службам, известным своими нарушениями прав человека. Компания Facebook инициировала расследование о возможной компрометации устройств и на прошлой неделе в частном порядке поделилась первыми результатами с Министерством юстиции США, а также уведомила о проблеме некоторые правозащитные организации для координации информирования общества (в мире насчитывается около 1.5 млрд установок WhatsApp). • Source: http://archive.is/kDz13 • Source: https://www.facebook.com/security/advisories/cve-2019-3568
  11. В 2018 году нигерийские BEC-мошенники увеличили свою активность более чем в полтора раза. Чаще всего под удар злоумышленников попадают компании из высокотехнологичного сектора, оптовой торговли и промышленности. Таковы результаты исследования аналитиков Unit 42 компании Palo Alto Networks, которые с 2014 года наблюдают за нигерийской киберпреступностью. Именно эта страна сохраняет глобальное лидерство по числу организаторов BEC-кампаний (Business Email Compromise, мошенничество с деловой перепиской). Эксперты объединяют нигерийских киберпреступников в условную группировку SilverTerrier. За последние четыре года злоумышленники совершили более 1,1 млн атак. Авторы отчета отмечают неуклонный рост как числа членов SilverTerrier, так и масштабов ее деятельности. Если в 2017 году группировка насчитывала около 300 участников, то в 2018-м этот показатель превысил отметку в 400 человек. Количество атак выросло еще больше — на 54%. С течением времени преступники все больше применяют не только социальную инженерию, но и вредоносное ПО. Основную часть используемых программ составляют шпионские трояны и RAT. Как уточняют аналитики, эти инструменты позволяют мошенникам лучше подготовиться к атакам. Кроме того, похищенная информация нередко попадает на черный рынок, обеспечивая злоумышленникам дополнительную прибыль. Среди шпионских зловредов наибольшей популярностью у SilverTerrier пользуются LokiBot, Pony и Agent Tesla. Это простые в настройке программы, которые скрывают свою активность в корпоративном трафике и полагаются на базовые средства доставки данных (загрузка на веб- и FTP-серверы, работа с SMTP-подключениями). Чтобы затруднить обнаружение, мошенники применяют так называемые крипторы — специализированные утилиты для шифрования, обфускации и модификации вредоносных программ. По подсчетам аналитиков, эти средства позволяют SilverTerrier ежемесячно создавать на базе 10 основных шпионских зловредов по тысяче уникальных образцов ПО. Авторы подчеркивают, что собирали статистику лишь среди своих заказчиков, и реальные цифры могут оказаться еще больше. Несмотря на столь масштабное применение шпионских программ, все больше преступников предпочитают им системы удаленного управления — RAT, Remote Access Tools. Эти инструменты позволяют не только копировать важные данные, но и менять настройки пользовательского ПО, подключаться к сетевым ресурсам и совершать прочие действия от лица жертвы. В прошлом году применение RAT выросло на 36%, в то время как количество шпионских программ упало на 26%. Такое положение вещей укладывается в тенденцию, о которой специалисты говорили еще в отчете за 2017 год. Хотя RAT требуют от операторов более серьезных навыков, чем простые шпионы, их атаки приносят большую прибыль за счет возможности добраться до ценных корпоративных ресурсов. В 2018 году самым популярным RAT оказался NanoCore. Примечательно, что преступники используют взломанные версии этой программы, — после того, как ее автор получил за свои труды тюремный срок, купить дистрибутив стало невозможно. На втором месте расположился троян DarkCommett. Эта программа стала известной после того, как сирийское правительство следило с ее помощью за оппозиционерами. Замыкает тройку зловред NetWire. По словам экспертов, защитные системы пока плохо справляются с обнаружением BEC-атак. В 2018 году онлайн-сканер VirusTotal показал, что лишь 53% антивирусных движков блокируют зловредное ПО преступников. К настоящему моменту эта цифра выросла до 58%. В этой связи специалисты призывают бизнес совмещать использование сигнатурных систем с другими решениями. Например, программами, которые определяют вредоносное ПО по особенностям поведения. • Source: https://www.bleepingcomputer.com/news/security/nigerian-bec-scammers-shifting-to-rats-as-tool-of-choice/
  12. Исследователи Intezer Labs опубликовали отчет, посвященный конкуренции между майнерскими группировками Pacha и Rocke. Группировка Pacha была замечена специалистами осенью 2018 года. Считается, что это китайский коллектив, чей основной вектор атак — скрытый майнинг. Rocke, в свою очередь, обнаружена экспертами Cisco Talos летом 2018 года. Основное направление работы группы – майнинг криптовалюты Monero. Обе группировки ищут в интернете открытые или плохо защищенные серверы и облачные сервисы, а затем заражают их многофункциональной малварью. Наиболее агрессивной из этих двоих можно назвать группу Pacha. Так, для своих атак хакеры используют малварь Linux.GreedyAntd, которая способна удалять и блокировать многие майнинговые вредоносы из зараженных систем, в частности, малварь конкурирующей группировки Rocke. Rocke тоже демонстрируют похожее поведение и по-прежнему имеет преимущество перед Pacha. Так, в начале 2019 года вредоносы Rocke научились избегать обнаружения и избавляться от облачных защитных решений. Впрочем, сейчас группировка Pacha активно наверстывает упущенное. Например, недавно хакеры стали эксплуатировать крайне популярную среди злоумышленников уязвимость в Atlassian Confluence. Эксперты Intezer Labs подчеркивают, что «война» между Pacha и Rocke лишний раз доказывает, что парадигма изменилась: теперь злоумышленники стремятся заражать майнинговой малварью не простых пользователей и отдельные ресурсы, но играют по-крупному и нацелены на облачную инфраструктуру и уязвимые Linux-серверы, а ради новых целей готовы жестко конкурировать друг с другом. • Source: https://www.intezer.com/blog-technical-analysis-cryptocurrency-mining-war-on-the-cloud/
  13. Эксперты Национального центра кибербезопасности США (National Cybersecurity and Communications Integration Center, NCCIC) обнаружили новый зловред в арсенале APT-группировки Hidden Cobra. Программа под названием Electricfish представляет собой продвинутый сетевой шлюз, позволяя злоумышленникам выгружать данные из закрытых инфраструктур. На счету группировки Hidden Cobra, также известной как Lazarus, множество кампаний, включая взлом азиатских финансовых организаций и запуск эпидемии шифровальщика WannaCry. В 2019 году преступников заподозрили в атаках на российские предприятия. Специалисты NCCIC не раскрывают, как они получили доступ к зловреду. Известно лишь, что ПО обнаружино при расследовании ФБР и Министерством внутренней безопасности США неких атак Hidden Cobra, что позволило однозначно установить связь программы с группировкой. Позже на VirusTotal обнаружились еще три версии программы, которые загрузили на сайт в августе — октябре 2018 года. Как рассказали эксперты, Electricfish создает канал для передачи данных между жертвой и атакующими. Операторы зловреда выставляют необходимые настройки через командную строку: указывают IP-адреса и порты для передачи информации от зараженной машины на управляющий сервер, прописывают данные прокси. После этого Electricfish открывает TCP-подключение, по которому и направляет трафик. Зловред использует специально разработанный протокол, что позволяет действовать незаметно для стандартных систем мониторинга. Использование собственного прокси-сервера обеспечивает злоумышленникам возможность обойти системы аутентификации. По данным центра кибербезопасности Вьетнама (Vietnam Computer Emergency Response Center, VNCERT), несколько месяцев назад зловред использовали в атаках на банки и критическую инфраструктуру этой страны. На момент публикации в открытых источниках нет подробностей об этих инцидентах. Специалисты NCCIC опубликовали индикаторы, по которым можно отследить заражение Electricfish (XML-файл). Эксперты также призывают администраторов проверить актуальность ПО и настройки сетевого доступа на подконтрольных им компьютерах, включить брандмауэры и ограничить пользователям возможность установки стороннего ПО. • Source: https://www.us-cert.gov/ncas/analysis-reports/AR19-129A • Source: https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-21.stix.xml
  14. В прошлом месяце стало известно, что некто Lab Dookhtegan обнародовал в Telegram инструменты иранской APT34 (она же Oilrig и HelixKitten), а также информацию о жертвах хакеров и сотрудниках Министерства информации и национальной безопасности Ирана, которые якобы были связаны с операциями группировки. «Сливы» данных продолжились и в этом месяце: по информации издания ZDNet, информация о деятельности групп MuddyWater и Rana Institute также была опубликована в даркнете и в Telegram. Эти утечки отличаются от первой. Дело в том, что теперь не были опубликованы фактические исходные коды какой-либо малвари, вместо этого дампы включают в себя скриншоты исходников, бэкэндов управляющих серверов, а также списки прошлых жертв хакеров. Если подлинность апрельского дампа подтвердили специалисты таких компаний, как Chronicle, FireEye и Palo Alto Networks, то новые утечки уже проверили эксперты ClearSky Security и Minerva Labs, которые уверяют, что эта информация тоже является подлинной. Ответственность за «слив» информации об APT-группировке MuddyWater взяли на себя хакеры из коллектива Green Leakers. Им принадлежат несколько Telegram-каналов и сайтов в даркнете, где они рекламируют и продают данные, связанные с операциями MuddyWater. Так как в данном случае речь идет о продаже информации, в открытом доступе были опубликованы только тизерные скриншоты с исходниками и бэкэндами C&C-серверов, на некоторых из которых видны неотредактированные IP-адреса жертв MuddyWater. Еще один дамп был обнаружен в открытом интернете и Telegram. Этот «слив» написан на персидском языке и включает в себя якобы секретные документы, похищенные у Министерства информации и национальной безопасности Ирана. В этих бумагах фигурирует ранее неизвестный «игрок» — подрядчик Rana Institute, которого власти нанимают для проведения кибершпионских операций с 2015 года. Опубликованную в данном случае информацию уже подтвердили специалисты ClearSky Security. По их данным, в документах содержатся списки жертв правительственных киберопераций, описания конкретных стратегий, скриншоты внутренних сайтов кампаний и даже личные данные членов группировки. Судя по всему, Rana Institute занималась слежкой за гражданами Ирана, как внутри страны, так и за ее пределами. В частности, многие взломы были связаны с проникновением в сети авиаперевозчиков (с целью получить доступ к спискам пассажиров), а также сайтов бронирования (чтобы получить данные о самих бронированиях и информацию о банковских картах). Помимо этого группировка атаковала компании, работающие в сфере ИТ, страхования, а также телекомы и правительственные учреждения по всему миру. Согласно документам, участники Rana Institute также занимались и разработкой собственной малвари, направленной на причинение вреда SCADA-системами (подобно Stuxnet и Shamoon). Впрочем, этот проект оказался неэффективным, а цели не были достигнуты, невзирая на немалый бюджет. • Source: https://www.clearskysec.com/wp-content/uploads/2019/05/Iranian-Nation-State-APT-Leak-Analysis-and-Overview.pdf • Source: https://www.zdnet.com/article/new-leaks-of-iranian-cyber-espionage-operations-hit-telegram-and-the-dark-web/
  15. Через банкоматы банка «Москва-Сити» на Киевском, Ярославском, Казанском, Ленинградском и Павелецком вокзалах мошенники с 15 по 19 мая прошлого года похитили 9 млн рублей — участники схемы выбирали опцию перевода денег с карты на карту через сервис Mastercard — MoneySend, но в последний момент не подтверждали или отменяли операцию, а средства «переводились» с карт Сбербанка на карты Тинькофф Банка, таким образом, несмотря на отмену операции деньги все равно зачислялись на одни карты и восстанавливались на других, сообщают «Ведомости». Как говорится в вынесенном в марте 2019 года решении Арбитражного суда по иску банка «Москва-Сити», неустановленными лицами произведены множественные однотипные операции перевода денежных средств на общую сумму 134 122 доллара — суд требовал с АО «Компания объединенных кредитных карточек» и Росбанка 9 млн рублей: первый ответчик работает под брендом UCS и обрабатывает операции в банкоматах «Москва-Сити», Росбанк оказывает истцу спонсорские услуги в платежных системах. Суд отклонил иск «Москва-Сити», поскольку истец не представил доказательств, что к убыткам привели действия ответчиков, а 8 мая банк подал апелляцию. По словам эксперта по информационной безопасности банков Николая Пятиизбянцева, изучившего решение суда, ошибка в настройках банкоматов «Москва-Сити» заключалась в том, что банк — владелец банкомата считал, что операцию все еще можно отменить, а банк получателя — что перевод уже отозвать нельзя, далее мошенник отменял операцию, и сумма перевода восстанавливалась на карте отправителя, одновременно эта же сумма приходила и на карту получателя: это было возможно, поскольку по правилам Mastercard для операций MoneySend банк получателя может не согласиться с отменой операции. Инцидент произошел из-за неверно настроенного процессингового сценария UCS, говорится в ответе «Ведомостям» юридического управления банка «Москва-Сити», кредитная организация провела внутреннее расследование, которое не выявило причастность кого-либо из сотрудников банка к инцидентам, а помимо убытков из-за действий мошенников «Москва-Сити» пришлось также заплатить 4 620 евро комиссии за рассмотрение своей претензии к UCS в арбитражном комитете Mastercard, которые банк также пытался взыскать в суде. • Source: https://www.vedomosti.ru/finance/articles/2019/05/13/801163-moshenniki-mastercard-9-mln
×