Уязвимость в IP-телефонах Cisco позволяет прослушивать переговоры жертв
​
Отправив специально сформированный XML-запрос, удаленный пользователь может раскрыть важные данные.

Некоторые модели IP-телефонов Cisco, предназначенные для малого бизнеса, оказались подвержены уязвимости, позволяющей удаленному пользователю прослушивать переговоры и осуществлять звонки от имени жертвы. Об этом сообщается в бюллетене безопасности компании, опубликованном на прошлой неделе.

Уязвимости был присвоен идентификатор CVE-2015-0670. Она затрагивает модели IP-телефонов Cisco Small Business SPA300 и SPA500, работающие под управлением прошивки версии 7.5.5 и, возможно, более поздних версий.

Брешь существует из-за некорректных настроек аутентификации в конфигурации устройств. Удаленный пользователь может с помощью специально сформированного XML-запроса проэксплуатировать уязвимость и прослушивать телефонные переговоры жертвы, а также осуществлять звонки от ее имени. Таким образом, брешь позволяет раскрыть важные данные и обойти ограничения безопасности.

Отметим, что эксплуатация уязвимости требует, чтобы злоумышленник имел доступ к внутренней сети компании, устройства которой он намеревается взломать. Это несколько сужает вектор атаки.

Производитель пока не выпустил исправление, устраняющее эту брешь. В компании не считают, что уязвимость может стать широкораспространенной. До выпуска обновления администраторам следует включить опцию аутентификации запросов на выполнение XML-кода в меню настроек, а также ограничить доступ к устройству для недоверенных пользователей.

Реклама Google перенаправляет пользователей на сайты с набором эксплоитов Nuclear.

Nuclear эксплуатирует уязвимости в программном обеспечении Adobe Flash, Oracle Java и Microsoft Silverlight.

Специалисты ИБ-компании Fox-IT зафиксировали масштабную вредоносную кампанию, исходящую со всех рекламных сервисов Google, перепроданных с болгарского портала engagelab.com.

Перенаправление на web-сайты, содержащие набор эксплоитов Nuclear, ведется через домен-посредник, что, по словам специалиста Fox-IT Маартена Ван Дантцига (Maarten van Dantzig), может свидетельствовать о компрометации рекламных сервисов на вышеуказанном ресурсе. Как отметил Ван Дантциг, Nuclear эксплуатирует уязвимости в программном обеспечении Adobe Flash, Oracle Java и Microsoft Silverlight.

В ходе кампании, которая началась вчера, 7 апреля, специалисты зафиксировали значительное количество случаев заражения и попыток инфицирования. При этом инфицирование происходит при помощи сайта-посредника, а IP-адреса доменов, содержащих набор эксплоитов, постоянно меняются.

Специалистам удалось установить IP-адреса C&C-сервера злоумышленников, а также еще трех web-сайтов, распространяющих Nuclear. Все полученные данные сотрудники Fox-IT передали Google.

Уязвимость в Safari может повлиять на работу миллиарда устройств Apple
​
Доступ к cookie-файлам обеспечит мошенникам похищение авторизованных сессий пользователей.

Глава безопасности финской компании Klikki Oy Йоуко Пиннонен (Jouko Pynnönen) обнаружил теперь уже исправленную уязвимость CVE-2015-1126, которая может повлиять на работу миллиарда устройств Apple. Пиннонен сообщил, что кросс-доменная брешь в файлах передачи URL-схем в Safari позволяет злоумышленникам изменять HTTP cookie-файлы web-сайта и загружать документы с вредоносных ресурсов.

В большинстве испытанных версий Safari для iOS, OS X и Windows была найдена данная уязвимость. Число пораженных устройств может доходить до миллиарда. Брешь выявлена в Safari для iOS 8.1, 6.1.6, версиях Safari 7.0.4 и 5.1.7 для OS X 10.9.3 и Windows 8.1.

Доступ к cookie-файлам обеспечит мошенникам похищение авторизованных сессий пользователей. Ссылки в виде 'ftp://user:password@host/path' являются проблематичными, когда поле с паролем или логином включает в себя специальные закодированные символы. Злоумышленники могут манипулировать URL для того, чтобы жертвы загружали документы с подконтрольных мошенникам сайтов.

Для успешного осуществления кибератаки используются JavaScript и фреймы, встроенные в web-страницу.

Руткит и кейлоггер, работающие в GPU, и не обнаруживаемые антивирусами, как proof-of-concept.

Руткитjellyfish и кейлоггер demon, это две новые proof-of-concept программы, демонстрирующие, как некоторые вирусы можно запускать непосредственно на видеокартах, что дополнительно дает им определенные преимущества.

Программы размещаются не в оперативной памяти компьютера, а в видеопамяти, и используют не CPU, а GPU, что делает их невидимыми для современных антивирусов. Помимо этого GPU-malware может работать гораздо производительнее, если использует специфические функции видеокарт, выполняющихся на GPU гораздо быстрее, чем на любом процессоре.

Вирусы по-прежнему могут получать доступ к памяти компьютера и анализировать ее с помощью DMA (direct memory access). Как пишут разработчики, еще одним преимуществом таких вирусов является то, что их код остается в видеопамяти даже после перезагрузки.

jellyfish и demon доступны в виде исходных кодов, и работают в Linux. Для работы вирусам необходим доступ к OpenCL и они могут работать на видеокартах AMD, Nvidia и Intel.

Злоумышленники разместили вредоносный код на сайте «Новых Известий».

Эксперты допускают, что кибератака привела к хищению платежных данных читателей новостного ресурса.

Сайт издания «Новые Известия» в среду, 19 мая подвергся кибератаке. Злоумышленникам удалось разместить на странице газеты вредоносный код, при помощи которого данные пользователей могут быть похищены.

При посещении главной страницы пользователи перенаправляются по адресу s1.sberbanks-online.ru, где им предлагается ввести данные банковской карты якобы для того, чтобы получить денежный приз.

Ведущий специалист исследовательского центра Zecurion Владимир Ульянов сообщил, что по состоянию на 20 мая владельцам сайта не удалось взять его под контроль. В кеше поисковых систем можно найти страницу с уведомлением о взломе ресурса «Новых Известий».

Ульянов также отметил, что по данным Zecurion, в данный момент на сайте нет вредоносного кода. Однако эксперты исследовательского центра допускают, что ранее злоумышленникам удалось собрать данные кредитных карт небольшого количества пользователей. Ульянов считает, что размещение вредоносного кода могло бы насторожить пользователей, антивирусы которых обнаружили бы опасность.

В настоящее время IT-специалистами «Новых Известий» ведутся работы по устранению последствий кибератаки. Представители издания заявили, что не несут ответственности за возможное предоставление злоумышленникам платежных данных.

Крупнейшая утечка в истории: Украдены персональные данные и досье 4 млн чиновников США

США вновь обвинили Китай в совершении кибератаки на государство. На этот раз, по данным властей, злоумышленники проникли в сеть Кадрового управления правительства США, в котором хранятся данные о приблизительно 4 млн госслужащих. Чиновники назвали этот инцидент крупнейшим в истории.

Хакеры взломали базу данных независимого федерального агентства под названием Кадровое управление правительства США, содержащую сведения о приблизительно 4 млн госслужащих, сообщает Wall Street Journal. По словам чиновников - источников газеты, произошедший инцидент стал крупнейшим среди аналогичных атак на американское правительство в истории.

Кадровое управление правительства США хранит досье сотрудников государственного аппарата США, информацию о пенсионных выплатах и вознаграждениях, а также занимается проверкой надежности сотрудников при выдаче им степеней доступа к гостайне.

Взлом сети был обнаружен Министерством внутренней безопасности в апреле 2015 г. при помощи системы Einstein, созданной для федеральных сетей связи.

Расследованием инцидента занимается Федеральное бюро расследований. По предварительным данным, атака была совершена хакерами из Китая.

Представители ФБР не говорят, какая именно информация была украдена. Но, по их словам, данные, хранимые на серверах управления, могут использоваться злоумышленниками для кражи личностей и мошенничества.

В 2014 г. хакеры уже взламывали Управление кадрами. Следователи считают, что прошлогодняя атака была проведена другой группировкой, так как были использованы более запутанные методы проникновения.
Посольство Китая в США отвергло обвинения в совершении атаки китайскими хакерами. «Обвинения, сделанные на умозаключениях и догадках, безответственны и контрпродуктивны», — заявил агентству Reuters представитель посольства Чжу Хайцюань (Zhu Haiquan).

У США накопилось множество претензий к Китаю, связанных с безопасностью в киберпространстве. В мае 2014 г. ФБР объявило в розыск пятерых офицеров китайской армии, обвинив их в кибершпионаже. Китайские власти ответили тогда, что эти обвинения сфабрикованы.

Китай, в свою очередь, обвиняет Агентство национальной безопасности США в промышленном шпионаже, устроенном в штаб-квартире крупнейшего китайского производителя оборудования связи Huawei. На стратегию властей также повлияли сведения, обнародованные бывшим системным администратором АНБ и ЦРУ Эдвардом Сноуденом (Edward Snowden). В мае 2015 г. Китай нашел партнера по обеспечению безопасности в киберпространстве в лице России.

В марте 2015 г. стало известно, что в Китае существуют кибервойска, в задачи которых входит не только защита, но и нападение на сети иностранных государств. Это выяснилось из официальной военной энциклопедии Народно-освободительной армии Китая, опубликованной некоторое время назад.

Злоумышленники вернулись к тактике ложных антивирусов 10-летней давности​

В качестве прокси для C&C-сервера используются скомпрометированные web-сайты.

Исследователь безопасности под псевдонимом 3x0a сообщил о новой вредоносной кампании njRat, в ходе которой злоумышленники применяют довольно старые техники. Главной отличительной чертой кампании является использование скомпрометированных web-сайтов в качестве прокси для C&C-сервера и тактика FakeAV. Использование фальшивого антивируса для заражения компьютеров была очень популярна лет десять тому назад, и, похоже, применяется до сих пор.

«Подхватить» инфекцию можно через интернет, SMS-сообщения, спам, личные сообщения в мессенджерах и т.д. При попадании на скомпрометированный сайт пользователь сталкивается с всплывающим уведомлением о том, что Windows Security обнаружил на ПК критическую активность и проведет быстрое сканирование системных файлов. Далее в браузере появляется окно наподобие «Мой компьютер» в Windows XP, в котором сообщается, что ПК заражен множеством вирусов.

Нажав на любую кнопку на странице, пользователь инициирует загрузку Antivirus2015.exe. При запуске фальшивого антивируса появляется окно, в котором на ломанном английском сообщается, что на компьютере вирусы не обнаружены («Your Computer not found of virus»). Поддельное антивирусное ПО добавляет себя в процесс начальной загрузки ПК, в результате чего запускается при каждом включении компьютера.

По словам 3x0a, кампания njRat длится уже довольно долго. Наиболее ранний из обнаруженных им образцов вредоносного ПО был добавлен 7 месяцев назад. IP-адрес C&C-сервера свидетельствует о том, что управление операцией осуществляется из Саудовской Аравии.

Зафиксирована атака на Kaspersky Lab.
​
10 июня в официальном блоге Kaspersky Lab появился пост Евгения Касперского, в котором глава антивирусной лаборатории рассказал о таргетированной атаке на внутреннюю корпоративную сеть Kaspersky Lab, получившей название Duqu 2.0.
​
Атака на корпоративную сеть Kaspersky Lab была обнаружена весной 2015 года. Согласно предварительным результатам расследования, «Лаборатория Касперского» была не единственной мишенью атакующих, уже обнаружены и другие жертвы в западных, ближневосточных и азиатских странах (скорее всего, пострадавших гораздо больше). «Способ мышления и тактика группы Duqu 2.0 на целое поколение опережают любые кибератаки и вредоносные кампании, встречавшиеся ранее», —пишет «Лаборатория Касперского».

Напомню, что Duqu версии 1.0 была обнаружена 4 года назад в Венгрии, Австрии, Индонезии, Великобритании, Судане и Иране. Некоторые свидетельства указывают на то, что платформа создавалась для шпионажа за иранской ядерной программой, а также для заражения сетей органов сертификации с целью кражи цифровых сертификатов, которые впоследствии использовались для подписи вредоносных файлов. Duqu активно эксплуатировала 0day в Windows, а дополнительная малварь доставлялась в системы жертв под видом Microsoft Software Installers (MSI). Вредоносное ПО не создавало и не модифицировало какие-либо дисковые файлы или системные настройки, что сделало его обнаружение крайне сложным.

Duqu 2.0 —достойный наследник первой версии. Платформа сконструирована таким образом, что не нуждается в закреплении – она почти полностью базируется в памяти операционной системы. Эксперты Kaspersky Lab отмечают, что это скверный знак: «Создатели Duqu 2.0 были достаточно уверены в своих силах, чтобы подготовить и поддерживать кибершпионскую операцию исключительно в памяти операционной системы, без применения каких-либо механизмов закрепления». Кроме того Duqu 2.0 использует шифрование, оно всегда разное и с разными алгоритмами. В блоге Евгений Касперский пишет: «Есть ощущение, что операторы Duqu 2.0 были убеждены, что обнаружить эту шпионскую программу невозможно в принципе». Более подробная информация представлена в аналитическом отчете и техническом докладе компании.

Атаку заметили в ходе тестирования прототипа решения для защиты от подобных угроз – сложных целевых атак и кибершпионажа. Похоже, что главной целью атакующих было получение информации о технологиях, исследованиях и внутренних операциях «Лаборатории Касперского». Хакеры проявляли интерес к интеллектуальной собственности и разработкам компании для обнаружения и анализа таргетированных атак и кибершпионажа, а также к информации о текущих расследованиях Kaspersky Lab. Организаторы атаки были особенно заинтересованы в деталях разработки таких продуктов и сервисов, как безопасная операционная система «Лаборатории Касперского», Kaspersky Fraud Prevention, Kaspersky Security Network и решение для защиты от сложных целевых атак и кибершпионажа.

В целом «Лаборатория Касперского» не пострадала. Исходные коды и вирусные базы проверены: ни продукты, ни сервисы не были скомпрометированы, клиентам беспокоиться не о чем. Кроме того, компания вынесла из случившегося урок. Евгений Касперский пишет: «Мы используем эту атаку для улучшения наших технологий. Новое знание всегда полезно, и чем больше нам известно о киберугрозах, тем лучшую защиту мы можем разработать. И, конечно же, мы уже добавили алгоритмы обнаружения Duqu 2.0 в наши продукты».

Разумеется, всем интересно, кто стоит за данной атакой? Касперский достаточно жестко напоминает о позиции компании, относительно таких вопросов: «Я говорил это не раз и готов повторить снова: мы не занимаемся атрибуцией кибератак. Мы специалисты в области безопасности, причем лучшие в своей сфере, и мы всегда вне политики. При этом мы сторонники ответственного раскрытия информации, поэтому мы подали заявления в правоохранительные органы нескольких стран с целью инициировать заведение уголовных дел"

Стоимость DDoS-атак снизилась до $38 в час

На подпольном рынке тоже действуют экономические законы спроса и предложения. По мере увеличения количества ботнетов растёт предложение на рынке DDoS-услуг. Соответственно, это приводит к снижению цен. В своём последнем отчёте компания Incapsula приводит минимальную стоимость услуги на чёрном рынке: $38 в час.​

«Нападения на сетевую инфраструктуру продолжают расти по силе и длительности, — сказано в отчёте "Global DDoS Threat Landscape. Q2 2015". — Рассчитывать на то, что шторм пройдёт стороной для организации любого размера — это плохая стратегия. Атака будет сильной, длительной и, вероятно, повторяющейся».

Эксперты связывают увеличение силы атак с ростом количества заражённых компьютеров, которые входят в ботнеты. 56% всего ботнет-трафика за отчётный период пришло из США, Китая, Вьетнама, Бразилии и Таиланда. Там количество инфицированных больше, чем в других странах мира.

Значительная часть атак происходят на уровне приложения, когда ботнет нацеливается на конкретную функцию сайта, чтобы вывести её из строя.

Владельцы ботнетов предлагают свои услуги по проведению DDoS-атак и готовы выполнить любой заказ. Многие предлагают сервис по подписке, когда заказчик платит за время атаки. Указанные 38 долларов — это минимальная стоимость.

Настолько мизерная стоимость проведения атаки сильно отличается от стоимости защиты от неё, которая обходится на порядки дороже. Защищаться дорого, но компании несут ещё бóльшие убытки, если они вообще ничего не предпринимают. В наши дни нередки атаки, которые продолжаются несколько дней, так что потери для бизнеса и репутации будут весьма существенными.

Неудивительно, что киберпреступники часто прибегают к вымогательству: они требуют выкуп у жертвы. Пару тысяч долларов — и атака прекращена. Естественно, соглашаться на требования вымогателей — очень неудачная стратегия, ведь никто не гарантирует, что затем они не придут снова. Если не они, то их коллеги.