Вредоносное ПО использует микрофоны для шпионажа за украинскими компаниями, учеными и СМИ

21/02/2017

https://www.pcweek.ru/security/blog/security/9372.php

Украина снова стала целью атаки вредоносного ПО, заразившей компьютерные сети десятков компаний сложным вредоносным ПО, позволившим злоумышленникам не только скачать данные, но и слушать разговоры.
Исследователи из CyberX раскрыли новую атаку, в ходе которой были похищены более 600 гигабайт данных приблизительно 70 организаций-жертв, включая важные инфраструктурные компании, новостные СМИ и научно-исследовательские организации.
Operation BugDrop: убытки и принцип работы
Названная «Operation BugDrop», крупномасштабная вредоносная кампания была совершена против целей в Украине, хотя цели из других стран включают Россию, Саудовскую Аравию и Австрию.
Исследователи CyberX не идентифицировали взломщиков, но заявили, что Operation BugDrop, как они считают, была работой высококвалифицированных, поддержанных правительством хакеров с почти безграничными ресурсами.
«В частности работа требует, чтобы крупная внутренняя инфраструктура сохранила, дешифровала, и проанализировала несколько ГБ в день неструктурированных данных. Многочисленная команда аналитиков обязана вручную сортировать и обрабатывать полученные данные вручную».
Что делает это вредоносное ПО
Работа BugDrop использует сложное вредоносное программное обеспечение, разработанное для получения снимков экрана, документов, паролей и использующее микрофон ПК для получения аудиозаписей всех переговоров.
Как это работает
Хакеры распространяют вредоносное программное обеспечение с помощью фишинговых электронных писем, содержащих файловые вложения Microsoft Office, включающие злонамеренные макросы.
Основной модуль BugDrop загружает различные плагины на зараженные машины и выполняет их. Все украденные данные, которые собирает вредоносное программное обеспечение, загружаются на Dropbox.


Google: у Stagefright не было жертв, а другие ошибки сильно не повлияли

20/02/2017

https://www.pcweek.ru/security/blog/security/9365.php

Руководитель программы Android Security Adrian Ludwig заявил что Android не неуязвим, но тем не менее прекрасно написан.

На конференции RSA Conference 2017 вопросы безопасности Android обсудил в своем докладе «Delivering Secure, Client-Side Technology to Billions of Users» директор программы Android Security. Один из слайдов его презентации «Actual protection vs. newsworthy exploits» представил три слабых места Android. (полностью доклад вы можете просмотреть здесь):

  • Уязвимость Master Key
    • Уязвимы 99 процентов устройств
    • Известных применений не зарегистрировано до раскрытия
    • Данная уязвимость после раскрытия эксплуатировалась на менее восьми устройств на миллион
  • Уязвимость FakeID
    • Повлияла на 82 процента пользователей
    • До опубликования сведений о ней известных случаев эксплуатации не обнаружено
    • После опубликования уязвимость эксплуатировалась на менее одном устройстве на миллион
  • Уязвимость Stagefright
    • 95 процентов устройств уязвимы
    • На сегодня не обнаружено случаев эксплуатации

Большая удача то что Google знает об уязвимостях. И то что они пока не эксплуатируются. Но цифры внушают ужас, особенно зная об отвратительном обновлении устройств под Android


Обнаружен первый Word Macro Malware для Mac OS

10/02/2017

https://www.pcweek.ru/security/blog/security/9347.php

После того, как многие годы основное внимание вирусописателей было направлено на компьютеры под управлением Windows, пришла очередь пользователей Mac.
Доказательство этого не заставило себя долго ждать. Появился первый макровирус для Word под macOS.
Понятие макросов и первые макровирусы относятся к 1990-м. Макросы – ряд действий и команд, автоматизирующих некоторые задачи. Компоненты Microsoft Office поддерживают макросы, записанные в Visual Basic for Applications (VBA), но они могут также использоваться для таких злонамеренных действий как установка вредоносного программного обеспечения. Если ранее они использовались прежде всего в компьютерах под Windows, то сегодня применяются для установки вредоносного программного обеспечения на компьютерах под управлением macOS.
Вместе с тем после открывания злонамеренного документа Word и ДО выполнения макроса в вашей системе, пользователям Мас всегда предлагают включить макросы.
Если вы запретите запуск макроса, то можете спастись, но в случае игнорирования предупреждения, встроенный макрос загрузит вредонос и ваш ПК будет заражен, что может позволить злоумышленникам контролировать веб-камеру, журнал истории браузера и т.д.
Лучший способ избежать этих атак состоит в том, чтобы просто запретить запуск макросов, открывая подозрительный документ Word и избежать загрузки программного обеспечения из стороннего App Store или недоверенных веб-сайтов.


Польские банки были взломаны с помощью вредоносного ПО, установленного на правительственном сайте

07/02/2017

https://www.pcweek.ru/security/blog/security/9332.php

Самый массовый взлом в финансовом секторе в истории страны состоялся в Польше вследствие заражения вредоносным ПО. Казалось бы, что тут удивительного?
Источник вредоносного заражения – их собственный регулятор, Polish Financial Supervision Authority (KNF), который по иронии судьбы предназначается для того чтобы следить за безопасностью финансовых учреждений Польши.
На прошлой неделе службы безопасности нескольких польских банков обнаружили злонамеренное ПО на рабочих станциях своих банков.
KNF заявил, что внутренние системы банков подверглись атакам кем-то «из другой страны», но никаких пояснений и фактов не предоставили.
После того как было обнаружено, что загрузка подозрительных файлов была произведена с серверов регулятора, KNF решил привести в нерабочее состояние всю свою систему для защиты доказательств.
Что произошло на самом деле?
Неизвестный атакующий заразил веб-сайт KNF, изменив один из файлов JavaScript сайта, заставив посетителе сайта загрузит злонамеренный файл JavaScript.
После того как злонамеренный скрипт был загружен и выполнен, вредоносное ПО соединилось с внешними серверами для выполнения злонамеренных задач.
В некоторых банках злоумышленники даже управляли критическими серверами в инфраструктуре соответствующего банка.
Как считается атаке подверглись более 20 польских банков. И KNF и польское правительство подтвердило, что расследование продолжается


Сказки о безопасности: Пропавшая девочка

03/02/2017

http://www.pcweek.ru/themes/detail.php?ID=192058
— Иоганн, доброе утро! Разрешите доложить обстановку?
— Докладывайте
— Два дня назад пропала девушка. Зоя Тан, 17 лет. Ушла в школу и не вернулась. Отец получил сообщение по e-mail с фотографией и подписью «Прости, люблю. Твоя Зоя». При проверке фотографии по EXIF-метке удалось установить место, где была сделана фотография. Это городской парк. Сегодня при прочесывании парка был найден ее телефон. Но самое интересное, что при этом ее отцу поступил телефонный звонок от имени Зои. Но звонили явно не с ее телефона. То есть имеет место подмена номера. Таким образом, департамент полиции решил, что это дело нашего департамента.
— Понятно. Телефон Зои привезли?
— Да. Этим занимаются Рита и Курт.
— Рита, чем порадуете?
— Иоганн, действительно это был спуфинг телефона. Сегодня, увы, это совсем не сложно. Существует как минимум десяток сайтов, через которые это можно сделать совершенно бесплатно. Но мы, кажется, отследили злоумышленника.
— А что у тебя нового, Курт?
— Мы изъяли всю электронику из дома Зои. За ней велось наблюдение с помощью ее же ноутбука. Он взломан и заражен трояном, который позволяет передавать аудио и видео.
— Погодите, получается, что злоумышленник давно вел наблюдение и готовился к похищению?
— Получается так. Мало того. Фотография ее отцу была отправлена в 07.12, а телефон разрядился еще в 23.00. Кроме того, фотография снята четыре месяца тому назад и не телефоном, а цифровым фотоаппаратом. На телефоне такого фото тоже никогда не было! Это тоже спуфинг.
— Да, но где Зоя?
— Пока мы можем сказать, что отследили IP преступника. Он забыл его вытереть в логах спуфинг-сайта. Или не знал, что он там останется. В результате мы получили адрес, и Петр с группой уже на выезде. Может быть нам удастся найти преступника.
Прошло еще два часа.
— Иоганн, мы нашли девочку! Она жива и здорова.
— Но кто похититель?
— Домик принадлежит женщине, с которой встречался ее отец. Но когда эта женщина не понравилась Зое, отец порвал с ней. Думаю, это была месть.
Хорошо, что все хорошо закончилось. А вы понимаете, что ваши действия могут поставить под угрозу не только вашу жизнь, но и жизнь ваших детей?


Сказки о безопасности: Зимний курорт

31/01/2017

http://www.pcweek.ru/themes/detail.php?ID=191954

Зимой Иоганн с семьей обожал кататься на лыжах. Уже который год подряд он приезжал на лыжный курорт и всегда останавливался в одном и том же отеле Winter Sport. Его устраивало все. И обслуживание, и небольшие очереди на подъемник? и прекрасный зимний лес вокруг.

Так было и в этот раз.

Но сегодня утром вдруг все стало иначе. Проснувшись, Иоганн увидел, что он не может открыть дверь своего номера. Он перезвонил портье и услышал, что это проблема всех дверей в отеле. Ведь, как оказалось, все замки номеров управлялись централизовано. А преступники ночью взломали сервер отеля и заблокировали замки.

— Господин управляющий, что вы думаете сделать? Я уже вызвал своих ребят, но они будут только к вечеру. Не можем же мы сидеть так целый день!

— Да, господин директор департамента, но что я могу сделать? Злоумышленники запросили 1500 империалов за разблокирование. Увы, но резервную копию сервера управления не сделали, потому восстановиться нам просто не с чего.

— Что делать? Посчитать убытки от жалоб постояльцев. Они будут явно выше 1500 империалов. Потом снять жесткий диск сервера для анализа, и восстановить все на новый диск. А этот отдать моим специалистам на анализ. Может они что-то найдут или не найдут!

— Мы приняли решение платить! Так будет куда быстрее!

Еще через час двери комнат открылись, только злоумышленников никто отыскать так и не сумел.

Увы, так тоже бывает. Причем довольно часто. Поэтому стоит быть внимательнее и продумывать безопасность своего хозяйства


Сказки о безопасности: Уличные гонки

31/01/2017

https://www.pcweek.ru/security/article/detail.php?ID=191949

Утро началось со звонка дежурного по управлению.

— Шеф, департамент полиции просит нашей помощи!

— Что случилось?

— Вчера на 17-й улице были гонки. Полиция пыталась задержать гонщиков. Один из водителей попытался оторваться и произошла авария. Его автомобиль на полной скорости пересек сплошную и врезался в автомобиль, двигавшийся навстречу. Водитель встречного автомобиля погиб. За рулем автомобиля стритрейсера никого не было, он управлялся удаленно. Именно поэтому они решили обратиться к нам.

— Известен владелец автомобиля, участник гонки?

— Да. Но он еще вчера заявил, что его авто угнали из гаража.

— Хорошо, поднимайте дежурную группу, я выезжаю.

В ходе исследования автомобиля было выяснено, что к системе диагностики был подсоединен сторонний контроллер с SIM-картой, который и управлял автомобилем. При этом передавалась информация с камеры навигатора. SIM-карта не зарегистрирована, владельца по ней установить не удалось.

— Курт, что можете сказать?

— Скорее всего этот контроллер был установлен либо на станции техобслуживания, либо на мойке. Но мы не знаем, где. Увы, у нас мало данных.

Прошло два дня.

— Шеф, к нам поступил звонок из полиции. К ним позвонил мужчина, сказал что его автомобиль не слушается управления, двери не открываются.

— Где это произошло?

— На 17-й улице.

— Дежурная группа выезжает, я буду там через 15 минут.

— Мужчина, звонивший к нам, попал в аварию. Но все хорошо, он не сильно пострадал, там сейчас медицинская бригада.

— Попросите их дождаться нас.

— Курт, Рита, что вы можете сказать?

— Да то же самое. Управление автомобилем осуществлялось через такой же контроллер. Но здесь SIM-карта еще на связи.

— Определили с кем?

— Да. Это мойка в трех кварталах отсюда.

— Поехали.

— Здравствуйте, нам нужен владелец мойки.

— Это я. Чем могу помочь?

— Соберите всех своих сотрудников.

— Вот они. Погодите, а где Карлос? Он только что пылесосил вот эту машину.

— Он ушел.

— Он не мог далеко уйти, он же в инвалидной коляске.

Пока Курт искал Карлоса, тот успел уехать со стоянки на автомобиле.

— Майкл, нам нужно выяснить, какие автомобили останавливались рядом с мойкой, при этом у них должны быть или номера для инвалидов или разрешение на стоянку на местах для инвалидов.

— Да. У нас есть программа, которая перебирает номера. Просто это займет время.

— Погодите. Таким образом можно отследить маршрут любого автомобиля? По номеру?

— Безусловно.

Настал следующий день.

— Вот его машина. Зарегистрирована на имя Карлоса Фарго. Он живет на 38-й улице.

— Поехали.

Через час преступник был арестован. Как выяснилось в ходе следствия, инвалидом он стал в результате аварии во время уличных гонок. Но желание адреналина толкнуло его на гонки на взломанных авто.

Может это дело ближайшего будущего, а может и настоящего. Будьте внимательнее и осторожнее!