ИТ-безопастность

[ADMIN]

Symantec: зубная щетка - инструмент хакера.

Аналитики компании Symantec прогнозируют в ближайшие годы бурный рост хакерской активности, вплоть до полноценных кибервойн.

Участники последнего экономического форума в Давосе среди глобальных опасностей для мировой экономики поставили киберугрозы на третье место. По прогнозам экспертов, через полтора года они поднимутся на ступеньку выше и займут второе место. Эти опасения подтверждаются данными специалистов Symantec . У компании есть своя система отслеживания киберугроз «Global Intelligence Network Symantec», которая действует в 157 странах. Она состоит из более чем 40-ка тысяч датчиков, которые регистрируют тысячи событий в секунду в режиме онлайн.

Рост утечек информации в Интернете в 2013 году составил 62% по сравнению с 2012 годом. Было похищено более 552 миллионов записей. Киберпреступность превращается в серьезную угрозу как для рядовых пользователей, так и для бизнеса. Такие выводы опубликовала компания Symantec в своем ежегодном отчете.

Одна из последних тенденций – стремительный рост активности хакеров в сфере мобильных устройств. По данным специалистов Symantec, в прошлом году атаки киберпреступников испытали на себе 38% пользователей смартфонов. При этом половина хозяев умных телефонов не предпринимает никаких мер для защиты своих гаджетов.

Лишь 56% пользователей мобильных устройств (включая планшеты) сразу удаляют письма от неизвестных отправителей. Среди пользователей ПК таковых 90%. Лишь на трети гаджетов установлены хотя бы простейшие базовые антивирусные программы.

Возможно, еще большую угрозу безопасности данных несет развитие «Интернета вещей». Бытовые электронные устройства в массовом порядке «умнеют» и подключаются к сети. Но при этом, большинство из них не оснащены никакими системами безопасности. А ведь даже подключенная к Интернету зубная щетка (что скоро, видимо, станет нормой) может стать для хакера черным ходом, удобной лазейкой для доступа к вашему компьютеру, личным данным и банковской информации.

Минувший год специалисты компании назвали годом «Мега-утечек». Поведение киберпреступников меняется. Все чаще это не разрозненные хакеры-одиночки, а организованные группировки, которые тщательно разрабатывают и готовят свои акции. Ущерб от таких действий в десятки раз больше, чем от мелких атак.

Вполне возможно, что некоторые хакерские группировки действуют при поддержке правительственных структур разных стран. Эксперты не исключают, что в ближайшем будущем политические и экономические конфликты будут решаться боевыми действиями в киберпространстве.

«У спецслужб китайских, американских, российских и других государств есть такие возможности, – считает главный научный сотрудник Symantec Security Response. – Мы отслеживаем целевые нападения. Но определить, совершает их независимая группировка, поддерживает ли ее правительство или это вообще государственные структуры действуют, очень тяжело, а иногда и невозможно. В будущем вопрос контроля над киберпространством будет играть очень важную роль. Прежде всего в плане информационных войн и пропаганды, конечно. Информация является очень мощным средством, которое способно коренным образом изменить ситуацию в стране. «Арабская весна» и события в других странах тому подтверждение».

Кстати, серьезность опасности интернет-угроз подтверждает также появление нового вида страховых услуг. Многие крупные западные компании уже разрабатывают тарифы страхования ущерба, причиненного киберпреступниками.

[ADMIN]

ESET: Win32/RBrute атакует пользователей Facebook и Google.

Международная антивирусная компания ESET обнаружила новый компонент крупнейшего ботнета Win32/Sality – Win32/RBrute.

В отличие от уже известных элементов ботнета, он модифицирует DNS-сервис роутеров таким образом, что скомпрометированный роутер перенаправляет пользователей на поддельную страницу загрузки браузера Google Chrome. Фальшивый установщик представляет собой один из вредоносных файлов самого Sality.

Семейство файловых инфекторов Win32/Sality известно с 2003 г. Специалисты вирусной лаборатории ESET отслеживали его на протяжении длительного времени. В рейтинге информационных угроз за март 2014 г. Sality занимает вторую строку с ростом активности 1,68%.

Ботнет Sality может выступать в роли вируса или загрузчика других вредоносных программ (downloader). Он обладает модульной архитектурой, его компоненты отвечают за рассылку спама, организацию DDoS, генерацию рекламного трафика и взлом VoIP аккаунтов. Долговечность и постоянное совершенствование ботнета свидетельствуют о высокой квалификации авторов вредоносного кода.

Согласно данным телеметрии, в октябре 2013 г. в составе Sality появился еще один компонент, дополняющий работу ботнета новыми функциями. Он получил название Win32/RBrute.

Первый модуль RBrute детектируется антивирусными продуктами ESET NOD32 как Win32/RBrute.А. Он осуществляет поиск веб-страниц панелей управления роутера, чтобы изменить запись основного DNS-сервера. В настоящее время Win32/RBrute.A позволяет злоумышленникам получить доступ к различным моделям роутеров, административные веб-страницы управления которых защищены очень слабым паролем или к которым можно получить доступ из интернета.

Когда пользователи обращаются к сайтам, содержащим в названии домена «facebook» или «google», поддельный DNS-сервис направляет их на «страницу установки Google Chrome». Вместо браузера на компьютеры загружается вредоносный файл самого Win32/Sality. Так злоумышленники обеспечивают дальнейшее расширение ботнета.

Существует еще один модуль вредоносной программы – Win32/RBrute.B. Он устанавливается Sality на скомпрометированных компьютерах и может выступать в качестве DNS или НТТР прокси-сервера для доставки поддельного установщика Google Chrome.

«Простые векторы заражения пользователей вредоносным кодом Win32/Sality не могут быть достаточно эффективными, чтобы поддерживать популяцию ботнета на соответствующем уровне, – комментирует Артем Баранов, ведущий вирусный аналитик ESET. – Злоумышленники нуждались в новом способе распространения вредоносной программы, и таким способом стал DNS hijacking для роутера. В зависимости от того, подвержен ли выбранный роутер эксплуатации, жертвами перенаправлений может стать множество подключенных к нему пользователей».

Эксперты ESET рекомендуют использовать безопасные пароли для аккаунтов панелей управления роутеров, а также проверить, действительно ли необходимо разрешать доступ к ней из интернета.

[ADMIN]

"Доктор Веб": смс-спам с вредоносной ссылкой на загрузку Android-троянца.

«Доктор Веб» зафиксировала массовое распространении СМС-сообщений, которые содержали ссылку на загрузку Android-троянца Android.SmsBot.75.origin, предназначенного для кражи конфиденциальных данных у южнокорейских пользователей, незаметной отправки СМС.

За несколько дней злоумышленники произвели около 40 спам-рассылок, а общее число пострадавших владельцев мобильных Android-устройств может составить несколько десятков тысяч человек.

Зафиксированные специалистами компании «Доктор Веб» спам-сообщения информировали потенциальных жертв о якобы неполученном почтовом отправлении, о статусе которого можно было узнать, перейдя по предоставленной в тексте короткой ссылке. В случае перехода по указанному веб-адресу пользователь перенаправлялся на страницу мошеннического блога, размещенного на платформе Blogger от корпорации Google и оформленного так, чтобы создать ложное впечатление его принадлежности к службе курьерской почтовой доставки. При попытке ознакомиться с предлагаемой информацией на мобильное устройство жертвы загружался троянец Android.SmsBot.75.origin, размещенный в облачном хранилище Dropbox, где у киберпреступников имелась специальная учетная запись.

Таким образом, данная спам-кампания практически ничем не отличается от множества других подобных, организованных в Южной Корее, однако по своим масштабам она является одной из самых крупных за последнее время. Так, злоумышленники произвели почти 40 спам-рассылок, а также задействовали как минимум пять различных вариантов блогов, содержащих ссылки, которые вели на загрузку трех модификаций Android.SmsBot.75.origin.

В свою очередь, согласно открытой статистике, имеющейся на одной из этих страниц, число посетивших ее потенциальных жертв за несколько дней составило более 30 тысяч. Учитывая общее количество использованных мошеннических блогов, конечное число пострадавших пользователей может во много раз превышать эту цифру.

Чтобы не вызывать лишних подозрений, после своего запуска Android.SmsBot.75.origin обращается к сайту реально существующей почтово-транспортной компании и загружает его в режиме WebView, т. е. отображает в качестве веб-приложения. Одновременно с этим происходит удаление значка вредоносной программы с главного экрана мобильного устройства и активизация троянского сервиса MainService, который незаметно выполняет всю вредоносную деятельность. В частности, троянец загружает информацию из телефонной книги на удаленный сервер и затем в постоянном режиме ожидает от него поступления команды, в которой будут указаны параметры для отправки СМС-сообщения, – номер получателя и текст. Кроме того, вредоносная программа создает список номеров, звонки и СМС с которых не будут видны пользователю. Таким образом, Android.SmsBot.75.origin может быть использован не только как шпион или СМС-троянец, но и как средство кражи денежных средств из систем мобильного банкинга.

Помимо упомянутой спам-кампании, Android.SmsBot.75.origin уже распространялся злоумышленниками с применением и других нежелательных СМС-рассылок, в которых он выдавался за некое уведомление, поступившее из полиции, поэтому не исключено, что в будущем мошенники предпримут новые попытки атак на пользователей.

Все известные модификации этого бота успешно детектируются антивирусными продуктами Dr.Web для Android и не представляют угрозы для их пользователей.

[ADMIN]

Касперский: Конфликт в Украине ставит под угрозу защиту киберпространства.

По словам эксперта, сейчас злоумышленники могут сосредоточиться на осуществлении атак в отношении правительственных сайтов.

В связи с тем, что правительства многих стран уделяют очень много внимания поискам выхода из конфликтной ситуации, сложившейся в Украине, злоумышленники могут сосредоточиться на осуществлении атак в отношении правительственных сайтов. Такое мнение выразил глава «Лаборатории Касперского» Евгений Касперский.

Для того чтобы избежать подобных последствий, эксперт рекомендует государствам объединить усилия и укрепить защиту киберпространства. «Когда правительства [разных стран] не общаются между собой и не сотрудничают, это наносит вред традиционному промыслу и экономике, а также вредит киберпространству», - отметил Касперский.

Он также отметил, что конфликты в государствах могут стать причиной ослабления системы защиты электронных ресурсов правительств разных стран. Также в подобных случаях ИТ-инфраструктура становится чрезвычайно уязвимой, в связи с чем значительным образом возрастает риск осуществления полномасштабных вредоносных кампаний.

По словам Касперского, в плане кибербезопасности в Украине сейчас ситуация вполне стабильная. Так, он считает, что на территории государства действуют некие хактивисты, а не организованные преступные кибергруппировки.

«Конечно, замечено несколько атак, которые выглядят как шпионские, но у нас пока нет доказательств того, что за ними стоят какие-либо правительства», - добавил эксперт.

[ADMIN]

Уязвимость WhatsApp раскрывает местоположение пользователя.

Уязвимость существует из-за ошибки в реализации пользовательской функции «Location Share».

Как сообщают исследователи безопасности из Cyber Forensics Research & Education Group (UNHcFREG), пользователи приложения WhatsApp, использующие его функцию «Location Share», находятся под угрозой компрометации со стороны хакеров.

Это связано с тем, что в программе присутствует уязвимость, позволяющая похитить информацию о местоположении владельца мобильного устройства, сообщает издание The Hacker News.

«Основная проблема состоит в том, что прикрепленные к изображениям геолокационные данные хранятся в незашифрованном виде, что оставляет эту информацию открытой для перехвата», - поясняют специалисты.

По их словам, потенциальному злоумышленнику достаточно провести любую из множества существующих сегодня MitM-атак. И даже если для среднестатистического хакера сложность эксплуатации этой бреши весьма высока, то для таких спецслужб, как АНБ, она не представляет особой сложности.

В настоящий момент разработчики WhatsApp работают над выпуском соответствующего исправления.

[Skoff]

Эксперты не исключают, что в ближайшем будущем политические и экономические конфликты будут решаться боевыми действиями в киберпространстве.