Хакеры, взломы, вирусы

vladimir59

Модератор
Сообщения
28,692
Баллы
113
США выдали подозреваемого в хакерстве россиянина

Из Болгарии в США по обвинению в мошенничестве экстрадирован гражданин России. Об этом сообщило посольство РФ в США.

Отмечается, что А. Жуков содержится в тюрьме Бруклина, штат Нью-Йорк. В ближайшее время сотрудники посольства посетят его в тюрьме, и он получит все необходимое консульское содействие.

По информации издания Cyberscoop, Жуков пришел в суд Бруклина и отверг все обвинения в свой адрес.

Россиянин был задержан по требованию болгарских властей в ноябре прошлого года. Ему предъявили заочное обвинение в кибермошенничестве. Ущерб оценивается в несколько десятков миллионов долларов.

В апреле 2017 года в США к 27 годам лишения свободы по делу о кибермошенничестве был приговорен россиянин Роман Селезнев. Он был признан виновным по 38 из 40 преступных эпизодов. Обвинение заявило о нанесенном им ущербе в размере 170 миллионов долларов. В ходе процесса прокуроры доказывали, что в 2014 году при задержании Романа Селезнева на его компьютере были найдены 1,7 миллиона украденных номеров кредитных карт.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Совершена мощная кибератака на российские банки

Более 80 тыс. сотрудников российских банков получили вредоносную рассылку от хакерской группировки Silence, замаскированную под приглашение на форум iFin-2019 «Электронные финансовые услуги и технологии». Рассылка была признана крупнейшей хакерской атакой в России с начала года. Silence в настоящий момент считается одной из самых опасных русскоязычных киберпреступных групп.

Самая крупная атака года


В России была зафиксирована самая крупная с начала 2019 г. атака в киберпространстве, сообщает ИБ-компания Group-IB. Атака представляла собой массированную рассылку вредоносных электронных писем, осуществленную хакерской группировкой Silence.

В общей сложности опасные письма получили более 80 тыс. пользователей. Это были сотрудники банков, крупных платежных систем и других российских кредитно-финансовых организаций.

В чем заключалась ловушка

С 19 по 20 февраля в Москве должен состояться XIX Международный форум iFin-2019 «Электронные финансовые услуги и технологии». Злоумышленники воспользовались этим, чтобы замаскировать вредоносные письма под приглашения на форум. В Group-IB отмечают, что ранее участники Silence такую уловку не использовали.

Реальные организаторы форума разослали уведомления о его проведении 16 января около 9:00 по Москве. Через несколько часов после этого Silence разослала фальшивые приглашения на форум, которые содержали переделанный текст настоящих приглашений. Исследователи безопасности отмечают некоторую безграмотность текста письма хакеров. Автором опасной рассылки был указан Forum iFin-2019, но она велась с адреса info@bankuco[.]com.

В рассылке злоумышленники предлагали пользователям заполнить анкету, прикрепленную к письму в архиве, и отправить ее им. За это они обещали два бесплатных пригласительных на форум и возможность разместить название банка жертвы на официальном портале форума. ZIP-архив, приложенной к письму, содержал помимо приглашения вредоносное вложение Silence.Downloader, он же TrueBot. Этот инструмент использует только Silence, поясняют эксперты.

В Group-IB отмечают, что обычно под приглашения на различные мероприятия свои вредоносные рассылки маскируют те хакеры, которые работают на государство и занимаются шпионажем. Получателями рассылок как правило выступают военные ведомства, посольства, министерства и СМИ. Для маскировки используются приглашения на различные конференции НАТО, ООН или ЕС. Приложенные к ним вредоносные программы предназначены для слежки за пользователем.

Кто такие Silence

Исходя из того факта, что в рассылке использовался текст реального приглашения на форум, исследователи делают вывод, что участники Silence имеют и легальную работу — например, в сфере пентеста и реверс-инжиниринга в финансовом секторе. Такая версия уже выдвигалась и ранее. Вообще же Silence — это немногочисленная и слабо изученная группировка.

Наличие у хакеров из группы легальной работы подтверждается и тем, что другие их рассылки также были связаны с финансовым сектором. Две из них были отправлены в российские банки от имени начальников отделов межбанковских операций ЗАО «Банк ICA» и ЗАО «Банкуралпром». В реальности таких банков не существует. Маскировочные письма представляли собой просьбу как можно быстрее открыть корреспондентские счета для ЗАО. К ним был прикреплен архив с договором, в котором содержалось вредоносное ПО Silence.Downloader.

В этих рассылках тоже была отмечена неаккуратность составленных писем. Письмо от «Банкуралпрома» было подписано именем другого банка — ЗАО «БанкЮКО», которого опять-таки не существует в реальности. В качестве адресов были указаны Челябинская область, город Магнитогорск, улица Гагарина, дома 17 и 25. В действительности по этим адресам находятся офис другой кредитно-финансовой организации и жилой дом.

В ноябре Silence осуществили еще одну рассылку на банковскую тематику — хакеры подделали адрес Центробанка и отправили с него письма в российские и зарубежные банки. Письма были составлены и оформлены очень похоже на реальные письма ЦБ. Рассылка содержала архив с фальшивым постановлением регулятора «Об унифицировании формата электронных банковских сообщений ЦБ РФ», которое пользователям предлагалось прочесть и начать выполнять. В архиве было также вредоносное ПО. Рассылку получили как минимум 52 российских и пять зарубежных банков.

По словам Рустама Миркасымова, руководителя отдела динамического анализа вредоносного кода и эксперта по киберразведке Group-IB, масштаб действий Silence растет — их мишенями теперь становятся не только российские, но и зарубежные банки. После того, как исследователи опубликовали отчет с описанием ее атак, группа изменила схему работы. «На данный момент Silence — одна из самых опасных русскоязычных групп, фактически стоящая в одном ряду с Cobalt и MoneyTaker», — подчеркнул Миркасымов.

Новогодний сезон

В период с 25 декабря по 14 января хакеры начинают активнее атаковать банки. Это связано с несколькими факторами. Во-первых, накануне праздников на банковских счетах находится больше средств. Во-вторых, сотрудники банков, в том числе отвечающие за безопасность, зачастую ослабляют бдительность либо уходят в отпуск в этот период.

Silence осуществила предновогоднюю вредоносную рассылку по банкам с 25 по 27 декабря. Письма были отправлены от лица соучредителя несуществующей фармацевтической компании, которая предлагала банкам открыть для нее корпоративный счет и стать ее новым партнером по зарплатному проекту. В письме была расписана структура филиалов компании и указано количество сотрудников. Там даже имелся дизайн-макет брендированной банковской карты для сотрудников компании.

Исследователи отмечают, что в этой рассылке был использован элемент социальной инженерии — такое предложение от клиента выглядит привлекательно в глазах сотрудника банка, что повышает вероятность распаковки архива и загрузки вредоносного ПО на компьютер.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Зловред для Mac похищает криптовалюту – и сам же ее генерирует

Исследователи подразделения Unit 42 компании Palo Alto Networks обнаружили новое вредоносное ПО, атакующее пользователей компьютеров Mac. Оно является разновидностью зловреда OSX.DarthMiner и обладает достаточно примечательным набором функций. Инфицируя устройства, эта программа получает доступ к данным штатного браузера Safari от Apple, а также браузера Chrome.

Интересуют ее в первую очередь посещения ресурсов, связанных с транзакциями в криптовалюте. Одновременно здовред извлекает из памяти iTunes хранящиеся там резервные копии привязанных мобильных устройств, включая сохраненные пароли, номера банковских карт и текстовые сообщения.

В результате в руках злоумышленников может оказаться достаточный объем информации, чтобы не только получить доступ к криптовалютным кошелькам пользователей, но и обойти двухфакторную аутентификацию. Но этим зловред не ограничивается. Он еще и устанавливает на устройства разновидность майнера XMRig.

Разумеется, не для того, чтобы компенсировать жертвам похищенную криптовалюту: генерированные средства также идут в кошельки киберпреступников. Стоит отметить, что майнер генерирует не Monero (как это происходит в подавляющем большинстве случаев), а Koto – не слишком распространенную криптовалюту, популярную почти исключительно в Японии.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Эксперту грозит 8 лет тюрьмы за обнаружение уязвимостей у телеком-оператора

Венгерский оператор Magyar Telekom подал в полицию жалобу на эксперта, уведомившего о брешах в защите компании. Об этом пишет CNews со ссылкой на местные СМИ.

Как сообщает ресурс, некий специалист обнаружил серьезную уязвимость в апреле 2018 года. Он связался с представителями оператора, после чего его пригласили на встречу с руководством. На ней обсуждалось возможное сотрудничество, но разговоры в итоге не привели к конкретному предложению.

"Этический хакер" продолжил тестировать защиту Magyar Telekom и к маю обнаружил еще одну серьезную уязвимость, которая позволяла получить доступ ко всему трафику оператора, а также к серверам компаний, которые обслуживает дочерняя компания Magyar Telekom - T-Systems Hungary.

В тот же день полиция получила жалобу на вторжение хакера, и эксперта задержали. Изначально ему предлагали признать вину и получить условный срок в два года, но после отказа обвинение было переквалифицировано в более серьезное, которое предусматривает реальное заключение сроком до восьми лет. Хакера теперь обвиняют в нарушении работы коммунального предприятия.

Защитой задержанного занимается некоммерческая организация "Венгерский союз за гражданские права". Ее представители подчеркивают, что в материалах обвинения нет достаточных данных о преступлении, которое якобы совершил их подопечный.

Напомним, что в Великобритании хакер Дэниел Кайе, известный под псевдонимами BestBuy, Popopret и Spiderman, недавно получил два года восемь месяцев реального срока. Его в том числе признали виновным в осуществлении серии атак на инфраструктуру либерийского интернет-провайдера Lonestar MTN с помощью IoT-ботнета, в результате которой целая страна фактически осталась без доступа в сеть.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Сайты на WordPress могут быть захвачены хакерами через уязвимость плагина

Более 40 тысяч вебсайтов, созданных на платформе WordPress, могут быть скомпрометированы и оказаться под полным контролем хакеров из-за уязвимости в плагине Simple Social Buttons. Этот плагин используется для быстрого репоста материалов сайтов в социальных сетях и снискал большую популярность.

Однако исследователь компании WebARX Лука Шикич выявил серьезную уязвимость Simple Social Buttons. Чтобы проэксплуатировать ее, пользователю достаточно зарегистрироваться на сайте.

Возможность атаки Шикич продемонстрировал в созданном им видеоролике. В нем показано, что, имея учетную запись, атакующие в состоянии через уязвимость плагина изменить основные настройки сайта и в результате получить права администратора, а также полный контроль над ресурсом. Лука Шикич уведомил разработчиков о проблеме, необходимое обновление безопасности уже выпущено.

Всем владельцам сайтов на WordPress, использующих названный плагин и позволяющих зарегистрированным посетителям комментировать публикации, необходимо срочно обновить Simple Social Buttons до версии 2.0.22
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Уязвимость в systemd, которую можно использовать для блокирования работы системы

В systemd найдена уязвимость (CVE-2019-6454), позволяющая вызвать крах управляющего процесса инициализации (PID1) через отправку непривилегированным пользователем специально оформленного сообщения через шину D-Bus. Разработчики из Red Hat также не исключают возможность применения уязвимости для организации выполнения кода с привилегиями root, но окончательно возможность такой атаки пока не определена.

Манипулируя размером отправляемого через D-Bus сообщения атакующий может сместить указатель за границы выделенной для стека памяти, обойдя защиту "stack guard-page", суть которой в подстановке на границе со стеком страниц памяти, обращение к которым приводит к генерации исключения (page-fault). По мнению исследователя безопасности, выявившего уязвимость, смещение указателя стека возможно только на неиспользуемые страницы памяти (unmapped), что не позволяет организовать выполнение кода в контексте процесса PID1, но даёт возможность атакующему инициировать крах PID1 с последующим переходом ядра Linux в состояние "panic" (в случае краха обработчика PID 1, происходит крах всей системы).

В systemd устанавливается обработчик сигналов, пытающийся перехватить крахи процесса PID1 (segmentation fault) и запускающий shell для восстановления. Но так как в ходе атаки обращение производится к неотражённым страницам памяти (unmapped), ядро не может вызвать данный обработчик сигнала и просто завершает процесс с PID 1, что, в свою очередь, приводит к невозможности продолжения дальнейшей работы и переходу в состояние "panic", требующего перезапуска системы.

Обновления пакетов с устранением уязвимости опубликованы для SUSE/openSUSE, Fedora, Ubuntu и частично для Debian (только для Debian Stretch). Проблема остаётся неисправленной в RHEL. Успешная атака продемонстрирована в Ubuntu 18.10 с systemd 239 и в CentOS 7.6 с systemd 219. В качестве обходного пути защиты может использоваться сборка в GCC c включением опции "-fstack-clash-protection", которая по умолчанию применяется в Fedora 28 и 29.

Следует отметить, что в 2014 году автор системной библиотеки musl выделял среди основных архитектурных проблем systemd излишнюю раздутость обработчика PID1 и ставил под сомнение целесообразность реализации обработчика DBus API на уровне PID1, так как он является серьёзным вектором для проведения атак и может негативно влиять на надёжность всей системы.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
«Брешь да Винчи»: на продажу выставлены данные миллионов банковских карт

Популярный среди киберпреступников подпольный ресурс Joker's Stash выставил на продажу сразу три массива данных банковских карт. Первые два включают в общей сложности информацию 69 189 карт, выпущенных банками Пакистана, причем 96% всех карт приходятся на долю одного-единственного банка - Meezan Bank Ltd. Пакистанские банковские карты появляются на киберкриминальных ресурсах достаточно редко. Кроме того, информация для всех карт в данном случае включает и пин-коды.

Два этих обстоятельства объясняют весьма высокую цену: продавцы требуют за данные каждой карты 50 долларов - при том, что обычно на хакерских ресурсах цена такого рода «товара» не превышает 40 долларов, а может опускаться и до 10. Таким образом, потенциально злоумышленники могут заработать на пакистанских банковских картах почти 3,5 миллиона долларов. Пакистанский банк Meezan Bank Ltd. пока не ответил на запросы СМИ о возможной утечке.

Чуть позже на том же Joker's Stash появился еще один массив данных банковских карт, рекламируемый как «Брешь да Винчи» (DaVinci Breach). О нем пока известно не так много, но впечатляют уже масштабы инцидента: если верить рекламе на хакерском ресурсе, на продажу выставлены данные 2,15 миллиона американских банковских карт из 40 штатов США.

Самый простой способ использования злоумышленниками этих данных подразумевает производство фальшивых клонов банковских карт, с помощью которых деньги снимаются в банкоматах. Более сложная схема предполагает создание подставных фирм, продающих несуществующие товары, оплата за которые производится все теми же фальшивыми картами-клонами. Затем деньги снимаются со счетов фирм-однодневок их владельцами. В этом случае отследить происхождение средств оказывается намного труднее.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Интернет вещей угрожает почти 41% всех «умных» домов в мире

Компания Avast опубликовала отчет 2019 Smart Home Security Report. В нем обобщены данные об угрозах безопасности технологиям «умных» домов, которые несут устройства интернета вещей. Информация получена на основе анализа 56 миллионов устройств в 21 стране Северной и Южной Америки, Европы и Азиатско-Тихоокеанского региона. Как следует из документа, 40,8% всех умных домов содержат как минимум одно устройство интернета вещей, уязвимое к удаленным атакам.

Лидирует в этом списке Индия, где 52,4% всех «умных» домов содержат уязвимые устройства. Россия, к сожалению, входит в первую пятерку с показателем 44%. Наиболее уязвимыми устройствами, которые чаще всего можно встретить в жилищах россиян, где используются технологии «умного» дома, оказались принтеры. К слову, та же ситуация наблюдается и во многих других странах, включая США, Канаду, Японию и Южную Корею.

А с точки зрения киберпреступников наиболее заманчивой целью являются роутеры: контроль над ними позволяет получить беспрепятственный доступ ко всем остальным устройствам «умного» дома. В этом смысле не обеспечивать надежную защиту роутеров равносильно тому, чтобы уходить из дома, оставляя входную дверь широко открытой, отмечается в отчете.

Между тем, статистика Avast свидетельствует: 59,7% всех исследованных роутеров либо имеют уязвимости, либо не защищены в должной мере от несанкционированной авторизации. Более того, 59,1% пользователей никогда не проходили авторизацию на собственных роутерах и не обновляли их ПО.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Хакеры из КНДР за два года похитили около $570 млн
09.03.2019 / 09:42


Хакеры из КНДР за счет кибератак похитили за период с января 2017-го по сентябрь 2018 года около $570 млн, в том числе в криптовалюте. Как сообщила в субботу газета Nikkei, соответствующие данные приводятся в докладе комитета Совета Безопасности ООН по санкциям в отношении КНДР, который может быть опубликован в течение марта.

По оценкам экспертов комитета, в последние два года Пхеньян предпринял по меньшей мере пять успешных взломов криптовалютных бирж в различных странах Азии. Кроме того, КНДР могла использовать технологии блокчейна для обхода действующего в отношении нее санкционного режима.

В то же время северокорейские компании стали активно задействовать аккаунты в YouTube и Instagram для продажи военной техники, что также запрещено санкциями, говорится в документе. Мессенджер WeChat, по данным комитета, стал еще одним средством, позволяющим КНДР осуществлять нелегальную торговлю в открытом море. В частности, посредством переписки в нем передавалась информация о координатах судов, с которых северокорейские катера затем перекачивали нефть или перегружали товары.
Читайте также: Польско-немецкий фонд показал дневник офицера Третьего Рейха с картой кладов

В отношении КНДР действует самый суровый на сегодняшний день санкционный режим, предусматривающий в том числе финансовые санкции, оружейное эмбарго, запрет на поставки ракетного топлива, оборудования и материалов двойного назначения, а также экспорт из страны угля, железа, свинца, морепродуктов и другой продукции. В последний раз санкции были ужесточены 22 декабря 2017 года.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Хакеры начинают использовать критическую уязвимость WinRAR

Компания "Check Point", специализирующаяся на кибербезопасности, выявила уязвимость в WinRAR, которая существовала более 19 лет. Ошибка закралась в поддержку архиватором устаревшего формата ACE, когда злоумышленники могут присваивать файлу ACE расширение .rar, и, затем, использовать его для выполнения вредоносного кода из папки автозапуска после перезагрузки системы.



Rarlab уже выпустили патч, но те, кто не использует самую последнюю версию программы, все еще находятся в опасности, так как хакеры уже вовсю используют данную уязвимость. Исследование компании "McAfee" выявило более 100 уникальных эксплоитов.



У WinRAR около 500 миллионов пользователей, большинство из которых, вероятно, не знают об этой уязвимости, что еще больше приманивает хакеров. Вероятно, данная атака повлечет за собой серьезные последствия в будущем, поэтому, пожалуйста, поделитесь с друзьями и семьей, если вы знаете, что у них установлен WinRAR, и скачайте самую последнюю версию программного обеспечения.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
ФБР нанесло удар по организаторам DDoS-атак

Число DDoS-атак в 4 квартале минувшего года снизилось на 11% по сравнению с тем же периодом года 2017. Такие данные содержатся в отчете компании NexusGuard, обеспечивающей защиту от DDoS-атак. Еще более впечатляет снижение средней мощности: в 4 квартале 2018 оно достигло сразу 85% по сравнению с показателями последнего квартала 2017 года. Специалисты NexusGuard объясняют столь позитивную статистику прежде всего активными действиями ФБР США.

В декабре прошлого года Федеральное бюро расследований смогло пресечь работу 15 крупных киберпреступных веб-сервисов, специализировавшихся на организации DDoS-атак по заказу (DDoS-for-hire). По оценкам правоохранителей, эти сервисы осуществили за последние 5 лет в общей сложности свыше 300 тысяч атак для своих клиентов.

При этом акции ФБР были проведены во второй половине декабря, однако их влияние на статистику квартала оказалось чрезвычайно значительным, поскольку именно на последние дни перед Рождеством и Новым годом традиционно приходится пик DDoS-атак во всем мире. Впрочем, представители NexusGuard призывают не слишком обольщаться достигнутыми успехами.

Они напоминают, что «свято место пусто не бывает», и заблокированные киберпреступные сервисы уже в самом скором будущем наверняка будут заменены новыми. Отмечается также пугающий рост популярности атак с использованием отражения трафика по протоколу SSDP: за год их число увеличилось на рекордные 3122%.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Норвежский алюминиевый гигант Norsk Hydro атакован хакерами

Норвежская компания Norsk Hydro, один из мировых лидеров в производстве алюминия, борется с мощнейшей кибератакой. Поздним вечером понедельника 18 марта IT-специалисты компании зафиксировали вредоносную активность, быстро распространившуюся на компьютерные системы большинства производственных подразделений. Местные СМИ сообщают, что системы Norsk Hydro оказались инфицированы LockerGoga – сравнительно новым зловредом-шифровальщиком, попавшим в поле зрение специалистов лишь в январе нынешнего года.

Представители норвежского центра реагирования на киберугрозы (NorCERT) отказались подтвердить, что атакующие использовали именно LockerGoga. Тем не менее один из руководителей Norsk Hydro, Эйвинд Каллевик, на вчерашней пресс-конференции признал, что системы компании инфицированы зловредом-шифровальщиком, и оценил ситуацию как «весьма напряженную». Он также подчеркнул, что жизни и здоровью сотрудников Norsk Hydro ничто не угрожает, в настоящий момент ведется работа по восстановлению данных из имеющихся резервных копий, так что компания намерена избежать уплаты выкупа атакующим.

Ряд производственных процессов Norsk Hydro переведен в режим ручного управления, что потребовало дополнительных людских ресурсов и перехода на режим работы 24/7 до полного отражения атаки и ликвидации ее последствий. Компания заверяет, что сможет выполнить в срок все полученные ранее заказы. Специалисты, однако, опасаются, что срок выполнения новых заказов в результате атаки может существенно увеличиться.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Хакеры решили потревожить сон американцев

Хакерская операция Magecart, в ходе которой киберпреступники похищали данные банковских карт покупателей онлайн-магазинов, затронула сайты ведущих производителей постельных принадлежностей США. Об этом сообщили исследователи RiskIQ, обнаружившие онлайн-скиммеры (программные коды для похищения данных банковских карт) на сайтах компаний MyPillow и Amerisleep. Первая из них специализируется главным образом на производстве подушек, а число посетителей ее сайта составляет порядка 1 миллиона человек в месяц. Вторая производит матрасы, ежемесячная посещаемость сайта оценивается в 500 тысяч человек. Это, естественно, не означает, что все посетители сайтов совершают покупки. Но даже если что-либо покупают лишь 2% посетителей, это потенциально может означать весьма серьезный ущерб, отмечает ведущий исследователь RiskIQ Йонатан Клийнсма.

На сайт MyPillow вредоносный код был внедрен в октябре прошлого года. Для этого злоумышленники использовали зарегистрированный ими домен mypiltow.com, в надежде, что сходство с оригинальным доменом компании позволит им остаться незамеченными. Однако скиммер был удален уже через два дня. В том же октябре хакеры предприняли еще одну попытку. На сей раз они использовали домен livechatinc.org – из-за его сходства с livechatinc.com, доменом популярного сервиса LiveChat, используемого для общения с клиентами в том числе и компанией MyPillow. Скиммер оставался активным до 19 ноября.

В случае с Amerisleep атака была осуществлена еще в апреле 2017, а скиммер продержался на сайте около полугода. Для его внедрения была использована зарегистрированная на GitHub страница amerisleep.github.io. В настоящий момент все вредоносные домены и страницы заблокированы. Примечательно, что ни одна из компаний не сочла нужным уведомить своих покупателей об инцидентах. Лишь после сообщения RiskIQ глава MyPillow Майк Линделл выступил с заявлением, в котором признал факт внедрения скиммеров, однако заверил, что расследование «не нашло никаких свидетельств того, что персональные данные покупателей могли быть скомпрометированы». Представители Amerisleep до сих пор воздерживаются от комментариев.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Житель Литвы похитил у Google и Facebook 123 миллиона долларов

Вчера, 20 марта, гражданин Литвы Эвальдас Римасаускас в суде Нью-Йорка признал себя виновным в мошенничестве, в результате которого компании Google и Facebook лишились в общей сложности 123 миллионов долларов. 50-летний Римасаускас был, вероятно, одним из «пионеров» преступного бизнеса, известного как компрометация деловой переписки (Bussiness Email Compromise – BEC). Сегодня этот способ мошенничества чрезвычайно распространен, однако литовец начал заниматься им еще в 2013 году.

Именно тогда Римасаускас зарегистрировал в Латвии компанию с названием, сходным до степени смешения с Quanta - названием известной компании-производителя компьютерной техники и оборудования для дата-центров. После чего вплоть до 2015 года Эвальдас Римасаускас регулярно направлял в финансовые департаменты Google и Facebook фиктивные счета на оплату его услуг. К счетам прилагались поддельные копии контрактов и других документов, якобы подтверждавших сотрудничество его компании с ведущими технологическими гигантами. Расчет основывался на том, что Google и Facebook оперируют значительным числом собственных дата-центров, а потому наверняка должны были иметь контракты с настоящей компанией Quanta. И этот расчет себя оправдал: за указанный период корпорация Google перевела ему 23 миллиона долларов, а Facebook – 100 миллионов.

Средства переводились на указанные Римасаускасом счета в банках Латвии и Кипра. Сразу после получения деньги переводились на другие подконтрольные ему счета, в цепочке переводов были задействованы банки Словакии, Литвы, Венгрии и Гонконга. Преступную схему удалось раскрыть лишь через несколько лет. В марте 2017 года Эвальдас Римасаускас был арестован в Литве по запросу американский властей и в августе того же года экстрадирован в США. Ему грозит до 30 лет тюремного заключения.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Новости технологий

Чемпионы хакерского турнира выиграли Tesla Model 3 и 375 тысяч долларов



25 Марта 2019 Чемпионы хакерского турнира выиграли Tesla Model 3 и 375 тысяч долларов

Престижный турнир «белых» хакеров Pwn2Own 2019, проходивший в канадском Ванкувере, завершился триумфальной победой команды Fluoroacetate в составе Амата Камы и Ричарда Чжу. В последний день соревнований они смогли взломать электромобиль Tesla Model 3. Исследователи воспользовались уязвимостью модуля рендеринга веб-страниц в браузере электромобиля, чтобы выполнить произвольный код и вывести соответствующее уведомление на дисплей приборной панели.

В соответствии с правилами соревнований, за этот успех команда Fluoroacetate получила не только 35 тысяч долларов призовых, но и сам электромобиль. Всего же за три дня турнира Амат Кама и Ричард Чжу заработали 375 тысяч долларов – более половины всего призового фонда Pwn2Own 2019, который составлял 545 тысяч. В ходе соревнований команда Fluoroacetate смогла успешно проэксплуатировать уязвимости в Apple Safari, Firefox, Microsoft Edge, VMware Workstation и Windows 10.

Некоторые из этих уязвимостей уже исправлены: так, представители Mozilla Foundation отчитались о ликвидации бреши в безопасности браузера Firefox уже на следующий день после демонстрации атаки на нее. Представитель компании Tesla также заявил, что найденная уязвимость будет исправлена в ближайшее время, и выразил благодарность исследователям за их работу.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Хакеры внедрили бэкдор в фирменную утилиту Asus и заражали компьютеры пользователей с сервера компании

Группа хакеров ShadowHammer добавила бэкдор в программу Asus Live Update, которая доставляет обновления BIOS, UEFI и ПО на ноутбуки и настольные компьютеры Asus, что позволило злоумышленникам заражать устройства Asus прямо с сервера компании. Изощренная атака, направленная на получение доступа к нескольким сотням компьютеров, была выявлена специалистами "Лаборатории Касперского".

"Превращенная в троян утилита была подписана легитимным сертификатом и размещена на официальном сервере обновлений ASUS, что позволило ей долгое время оставаться незамеченной. Преступники позаботились даже о том, чтобы размер у вредоносной утилиты был точно таким же, как у настоящей", – говорится в сообщении антивирусной компании.

По данным экспертов, зараженную программу установили свыше 57 тысяч пользователей продуктов российской антивирусной компании, а общее число жертв составляет около одного миллиона. Однако главной целью хакеров были вполне определенные компьютеры: хэши 600 MAC-адресов были зашиты в различные версии утилиты. Проверить, числится ли конкретный MAC-адрес в списке хакеров, пользователи могут при помощи специальной программы, созданной в "Лаборатории Касперского".

ПО Asus использовалось как первоначальный источник заражения. После запуска на устройстве жертвы зловред проверял, входит ли этот MAC-адрес в список, и если он подходил, то на компьютер загружался следующий модуль вредоносного кода. В противном случае эта утилита не проявляла никакой дополнительной сетевой активности, и поэтому атака долго оставалась необнаруженной, отмечает РИА "Новости".

По всей видимости, хакеры заразили не только программу компании Asus. В ходе расследования инцидента в "Лаборатории Касперского" установили, что те же методы использовались для заражения ПО трех других производителей, но названия этих компаний не уточняются.

"Разумеется, мы немедленно уведомили Asus и другие компании об атаке. На настоящий момент все решения "Лаборатории Касперского" обнаруживают и блокируют модифицированные злоумышленниками утилиты, однако мы все же рекомендуем вам обновить Asus Live Update Utility, если вы ею пользуетесь", – отметили в компании.

Вечером 26 марта в Asus подтвердили информацию о заражении программы Asus Live Update Utility. При этом в тайваньской компании утверждают, что вредоносным кодом было заражено лишь незначительное число ноутбуков Asus, и техподдержка компании связывается с их пользователями для устранения последствий атаки. Кроме того, в пресс-релизе говорится, что Asus исправила проблему с Asus Live Update Utility и внедрила в программу защиту от подобных атак хакеров. Также компания усилила защиту системы загрузки обновлений ПО с серверов на устройства пользователей.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Россияне нашли в чипах Intel аппаратную закладку, через которую можно воровать данные из ПК
29.03.2019, ПТ, 09:25


Технология Intel VISA, предназначенная для выявления брака в процессорах и других микросхемах, потенциально может быть включена злоумышленниками, что представляет угрозу информационной безопасности.

Технология Intel VISA

Специалисты российской ИБ-компании Positive Technologies обнаружили ранее неизвестную широкой общественности функцию в чипах Intel, которая потенциально может быть использована злоумышленниками для получения доступа к критически важной информации из оперативной памяти компьютера, в том числе к персональным данным и паролям пользователей.

Речь идет о технологии Intel Visualization of Internal Signals Architecture (Intel VISA), которая встроена в процессоры и микросхемы Platform Controller Hub (PCH) для современных материнских плат Intel.

Intel VISA – это полноценный логический анализатор сигналов, позволяющий отслеживать состояние внутренних линий и шин системы в реальном времени.

Через микросхему PCH, которую исследовали эксперты, осуществляется взаимодействие процессора с периферийными устройствами (дисплеем, клавиатурой, веб-камерой и т. п.), поэтому этот чип имеет доступ практически ко всем данным компьютера. Микросхемы PCH, напомним, появились в 2008 г. вместе с процессорами микроархитектуры Nehalem и чипсетами Ibex Peak.

Как предполагают эксперты, Intel VISA предназначена для проверки микросхем на наличие брака при производстве и, как правило, она неактивна на поступающих в продажу устройствах.

Тем не менее, по словам специалиста Positive Technologies Максима Горячего, подключиться к Intel VISA можно на любой современной материнской плате Intel, и для этого не требуется специальное оборудование

Другие проблемы чипов Intel

Проанализировать технологию Intel VISA позволила ранее выявленная экспертами Positive Technologies уязвимость в подсистеме Intel Management Engine (IME), получившая индекс INTEL-SA-00086. IME – это закрытая технология, которая представляет собой интегрированный в микросхему Platform Controller Hub (PCH) микроконтроллер с набором встроенных периферийных устройств. Недостаток в IME дает злоумышленникам возможность атаковать компьютеры – например, устанавливать шпионское ПО в код данной подсистемы. Для устранения этой проблемы недостаточно обновления операционной системы, необходима установка исправленной версии прошивки.

В августе 2018 г Positive Technologies обнаружила баг в JTAG (Joint Test Action Group), специализированном аппаратном интерфейсе на базе стандарта IEEE 1149.1, который предназначен для подключения сложных цифровых микросхем или устройств уровня печатной платы к стандартной аппаратуре тестирования и отладки. Реализация JTAG в IME обеспечивает возможность отладочного доступа к процессору (при наличии физического доступа). Уязвимость позволяла получать низкоуровневый доступ к аппаратной части компьютера и запускать произвольный код «за пределами видимости пользователя и операционной системы».

Широкий резонанс в экспертном сообществе вызвали уязвимости, эксплуатирующие недостатки механизма спекулятивного выполнения инструкций. Чтобы повысить скорость работы, процессоры прогнозируют, выполнение каких инструкций потребуется от них в ближайшее время, и начинают их выполнять досрочно. Если прогноз подтверждается, процессор продолжает выполнять инструкцию. Если же оказывается, что в ее выполнении не было необходимости, все то, что процессор уже успел сделать, откатывается назад. При этом данные прерванного выполнения могут сохраняться в кэше, к содержимому которого при определенных условиях можно получить доступ.

Яркий пример таких уязвимостей – Meltdown и Spectre, которые были обнаружены в январе 2018 г. в процессорах Intel, AMD и ARM64. Meltdown давала возможность пользовательскому приложению получить доступ к памяти ядра, а также к другим областям памяти устройства. Spectre же нарушала изоляцию памяти приложений, благодаря чему через эту уязвимость можно получить доступ к данным чужого приложения. В совокупности эти проблемы и получили название «чипокалипсиса». Чуть позднее были обнаружены еще семь разновидностей Meltdown/Spectre.

В марте 2019 г. стало известно об уязвимости под названием Spoiler, которая использует особенности микроархитектуры Intel и обеспечивает доступ к личным данным и паролям любого ПК. Для взлома системы достаточно вируса или скрипта в браузере. Spoiler затрагивает все поколения процессоров Intel Core. Аппаратной защиты от нее не существует, и появится она только в следующих поколениях процессоров после «существенной работы по перепроектированию на уровне кремния».
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Взлом инфраструктуры Devuan оказался неудачной шуткой разработчиков проекта
01.04.2019 08:59


Сайт проекта Devuan, развивающего форк Debian GNU/Linux без системного менеджера systemd, оказался захвачен неизвестными злоумышленниками. В настоящее время при попытке открытия сайта выполняется проброс на страницу devuan.org/pwned.html (копия) с заявлением злоумышленников и предложением использовать Gopher для обращения к web-ресурсам проекта. Разработчикам пока не удаётся восстановить доступ к серверу после взлома, но утверждается, что атака не коснулась репозитория пакетов.

Сообщается, что скорее всего серверы pkgmaster и amprolla, на которых размещался основной репозиторий, а также хосты pkgmaster.devuan.org, packages.devuan.org и deb.devuan.org, не были затронуты атакой (следов чужого присутствия на них пока не выявлено), так как размещались в отдельной инфраструктуре. Кроме того, для контроля целостности применяются цифровые подписи, поэтому в случае попытки установки поддельных пакетов на стороне пользователя утилита apt выдаст ошибку (если атакующие не получили доступ к ключам для создания цифровых подписей). В настоящее время предпринята попытка верификации, пересборки пакетов на основе эталонных исходных текстов и сравнения состояния зеркал.

Инцидент не походит на первоапрельский розыгрыш, а скорее является чьей-то злой шуткой над разработчиками Devuan, так как в обсуждении проблемы в списке рассылки информация преподносится серьёзно и слишком велик риск потерять репутацию при подобных розыгрышах. Кроме того, первые сообщения о дефейсе сайта появились ещё вечером 31 марта. Разработчикам Devuan злоумышленники, представляющиеся группой "Green Hat Hackers", направили письмо с предложением для возвращения доступа к серверу решить задачу с простыми числами, закодированную в последней строке послания ("BOTH 7779847 AND 1554080659 ARE PRIME NUMBERS"). Задача уже решена - выявлено, что при выполнении команд "date -u -d @7779847" и "date -u -d @1554080659" выводится "1 апреля".



Дополнение 1: Разработчики Devuan признались, что это был розыгрыш. Примечательно, что уведомление о шутке было размещено спустя 12 часов после дефейса и до объявления о розыгрыше разработчики на полном серьёзе обсуждали возникшую проблему, а владельцы зеркал не были уведомлены о планируемой шутке. Первые сообщения о возникшей проблеме датированы 31 марта и шутка блокировала работу web-инфраструктуры проекта, в том числе выведены из строя git.devuan.org и bugs.devuan.org.

Дополнение 2: Шутка возымела обратный эффект и пользователи Devuan теперь обсуждают вариант, что после возвращения контроля за серверами под видом шутки разработчики пытаются скрыть информацию о реальном взломе.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Взлом инфраструктуры matrix.org
12.04.2019 10:38


Разработчики платформы для децентрализованного обмена сообщениями Matrix объявили об экстренном отключении серверов Matrix.org и Riot.im (основной клиент Matrix) в связи со взломом инфраструктуры проекта. Первое отключение состоялось вчера вечером, после чего работа серверов была восстановлена, а приложения пересобраны из эталонных исходных текстов. Но несколько минут назад серверы были скомпрометированы второй раз.

Атакующие разместили на главной странице проекта детальные сведения о конфигурации сервера и данные о наличии у них БД с хэшами почти пяти с половиной миллионов пользователей Matrix. В качестве доказательства в открытом доступе размещён хэш пароля лидера проекта Matrix. Изменённый код сайта размещён в репозитории атакующих на GitHub (не в официальном репозитории matrix). Подробности о втором взломе пока отсутствуют.

После первого взлома командой Matrix был опубликован отчёт, в котором указано, что взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins. После получения доступа к серверу с Jenkins атакующие перехватили ключи SSH и получили возможность доступа к другим серверам инфраструктуры. Было заявлено, что исходный код и пакеты не пострадали в результате атаки. Атака также не затронула серверы Modular.im. Но атакующие получили доступ к основной СУБД, в которой размещены в том числе незашифрованные сообщения, токены доступа и хэши паролей.

Всем пользователям было предписано сменить пароли. Но в процессе смены паролей в основном клиенте Riot пользователи столкнулись с пропаданием файлов с резервными копиями ключей для восстановления шифрованной переписки и невозможности доступа к истории с прошлыми сообщениями.

Напомним, что платформа для организации децентрализованных коммуникаций Matrix преподносится как проект, использующий открытые стандарты и уделяющий большое внимание обеспечению безопасности и приватности пользователей. Matrix обеспечивает оконечное (end-to-end) шифрование на базе проверенного алгоритма Signal, поддерживает поиск и неограниченный просмотр истории переписки, может использоваться для передачи файлов, отправки уведомлений, оценки присутствия разработчика в online, организации телеконференций, совершения голосовых и видео звонков. Поддерживаются также такие расширенные возможности как уведомление о наборе текста, подтверждение прочтения, push-уведомления и поиск на стороне сервера, синхронизация истории и состояния клиентов, различные варианты идентификаторов (email, номер телефона, учётная запись в Facebook и т.п.).
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Хакеры украли данные тысяч агентов ФБР

Киберпреступники взломали сайты, имеющие отношение к ФБР, и выгрузили данные в сеть

Хакеры взломали несколько специальных закрытых сайтов, связанных с ФБР, и выгрузили данные в открытый доступ. Как сообщает TechCrunch, в сеть "утекли" данные тысяч федералов.

Издание уточняет, что целью злоумышленников были как минимум три сайта, связанные с Ассоциацией Национальной академии ФБР в Куантико.

Среди похищенных данных - имена членов ассоциации, личные адреса, номера телефонов, информация электронных счетов, названия должностей.

Один из хакеров, который может иметь отношение к атаке, заявил, что сейчас они занимаются структурированием данных с целью дальнейшей продажи.

В конце марта Министерство обороны Испании сообщило о хакерской атаке на свою внутреннюю компьютерную сеть. Ведомство сообщило, что в первой половине марта выявило возможное вторжение в сеть общего назначения.

Правоохранители уже уведомлены, расследование произошедшего еще не завершено. Однако уже сейчас можно сказать, что атака оказалась серьезней, чем выглядела тогда. По имеющимся данным, киберпреступники хотели получить доступ к секретным сведениям военной промышленности.

Информации, из какой страны атаковали Минобороны Испании, нет.
 

ze2019

Ze-widget example


Сверху Снизу