http://virusu.net/news/news/ Thu, 23 Feb 2012 10:49:36 +0400 HostCMS http://virusu.net/news/news/123/ вымогали у пользователей деньги за разблокировку компьютеров Разработанная мошенническая схема позволила злоумышленникам заработать $148 800. Японские полицейские обезвредили группу кибермошенников, которые использовали вредоносное программное обеспечение для вымогания финансовых средств у неопытных пользователей. Разработанная мошенническая схема позволила злоумышленникам заполучить $148 800. Злоумышленники размещали вредоносное программное обеспечение на различных web-ресурсах, при просмотре видео из которых, на системы пользователей загружалось вредоносное ПО. Для разблокировки системы у жертв требовалась определенная сумма денег. Представитель компании Trend Micro Рик Фергюсон (Rik Ferguson) заявил The Register: «Это преступление нельзя назвать мошенничеством с кредитными картами, скорее всего это – мошенничество, связанное с банковскими счетами или использование вымогательского ПО (ransomware). Вредоносная программа требует оплаты за предоставляемые услуги, а окно, которое появилось, нельзя закрыть или переместить, так как оно появляется даже после перезагрузки». Всего злоумышленникам удалось инфицировать своим вредоносным ПО около 118 web-ресурсов.Securitylab Fri, 20 Jan 2012 20:36:00 +0400 http://virusu.net/news/news/123/ http://virusu.net/news/news/122/ истребители теперь летают под Linux Система управления беспилотными летательными аппаратами ВВС США, ранее работавшая на базе Windows XP, была переведена на Linux. Причиной этому стало вирусное заражение, случившееся несколько месяцев назад. 15 сентября 2011 года в компьютерные системы центра управления полётами беспилотных истребителей MQ-9 Reaper на авиабазе «Крич» (Creech AFB) в штате Невада проник вирус. Первой заражение обнаружила 24 воздушная армия ВВС США, отвечающая за кибернетические операции, и незамедлительно оповестила об этом командование базы. Вирус был локализован и изолирован при помощи стандартных средств мониторинга и защиты, применяющихся в компьютерных системах и сетях ВВС. Затем была запущена полная проверка с целью установить источник заражения и очистить систему от вируса. Вредоносное ПО проникло в наземную управляющую инфраструктуру, которая не отвечает непосредственно за полёт истребителя, однако контролирует имеющееся на борту самолёта оружие и функции маскировки. Вирус попал в систему с портативного жесткого диска, которые используются на авиабазе для загрузки карт и переноса видео с камер самолётов. В качестве операционной системы в инфраструктуре использовалась Windows XP. Комментируя произошедшее, ВВС назвали вторжение электронного лазутчика «мелкой неприятностью». По официальному заявлению командования базы, вирусное заражение не вызвало перебоев в полётах. «Наземная инфраструктура изолирована от непосредственных систем удалённого управления полётами, которые используют пилоты ВВС; на протяжении всего инцидента они сохраняли способность безопасно пилотировать самолёты», — заявили военные. По утверждению ВВС, вредоносное ПО было обыкновенной шпионской программой-троянцем, а не направленной атакой на компьютерные системы авиабазы. Анализ вируса показал, что он не был разработан для того, чтобы передавать злоумышленникам данные или видео, и не повреждал файлы и приложения, установленные на заражённых компьютерах. Антивирусное ПО, использующееся в системах ВВС, выявляет такой тип вирусов сразу по проникновению в систему и не допускает их дальнейшего распространения. Несмотря на то, что инцидент не имел последствий, сам факт проникновения вируса в систему, в которую вредоносное ПО не должно проникать вообще, поставил командование базы «Крич» в довольно неловкое положение. Был проведён ряд превентивных мер, в частности, объявлен запрет на использование жёстких дисков для переноса информации между ПК. Ещё одно изменение, однако, осталось за кадром: часть управляющих терминалов была переведена с Microsoft Windows на Linux. Факт миграции был случайно обнаружен пользователями интернета при сравнении двух снимков одного и того же терминала в центре управления полётами. Фотографии управляющего терминала были размещены в Twitter аналитиком по безопасности Микко Хюппоненом (Mikko Hypponen). На снимке 2009 г., взятом с официального сайта авибазы «Крич», легко различим графический интерфейс Windows XP. На изображении того же терминала в 2011 г., представляющем собой один из слайдов презентации исследовательской лаборатории ВВС США (Air Force Research Laboratory), явно указано, что система теперь работает на Linux. Официально о миграции объявлено не было, однако, по мнению пользователя, разместившего снимки, после вирусного заражения такой шаг со стороны ВВС был вполне обоснованным. «Если бы я выбирал, на чём построить военную систему — на Windows XP или на Linux, я бы ни на секунду не задумался», — прокомментировал Хюппонен своё «открытие».Сnews Fri, 20 Jan 2012 20:31:00 +0400 http://virusu.net/news/news/122/ http://virusu.net/news/news/121/ задержаны молодые люди, распространявшие вредоносные программы. Оперативниками отдела «К» ГУ МВД России по Челябинской области совместно с сотрудниками УФСБ России по Челябинской области пресечена деятельность двух молодых людей, которые при помощи вредоносных программ воровали логины и пароли электронных почтовых ящиков, а впоследствии продавали полученную информацию. Сыщики установили, что идейным вдохновителем преступного бизнеса является 17-летний злоумышленник, получающий образование юриста в одном из учебных заведений г. Челябинска. Он создал вредоносную программу, которая позволяла получать доступ к электронным почтовым ящикам граждан и различных организаций.Программа внедрялась в компьютер, и вся полученная информация копировалась, вплоть до контрольных вопросов и ответов на них. Впоследствии эти данные пересылались заказчикам.Молодой человек начал активно рекламировать разработанную им программу среди друзей и знакомых, а также разместил объявление в сети Интернет об оказании услуг по взлому почтовых ящиков.В среднем цена такой услуги составляла 1500 рублей, а клиентами юного хакера становились все желающие – от конкурентов по бизнесу до ревнивых супругов. Перечислять деньги за услуги предлагалось с помощью электронных платежных систем.Вскоре к противоправной деятельности присоединился неработающий 28-летний житель г. Нижневартовска, который взял на себя функции по подбору клиентов и оформлению заказов.Однако только взломом почтовых ящиков злоумышленники не ограничились. Они предлагали пользователям приобрести вредоносную программу, а также пройти обучение по ее применению. Такие «курсы» стоили 3 000 рублей.Молодые люди соблюдали жесткие правила конспирации: все учетные записи, контактные телефоны, электронные почтовые адреса и кошельки были зарегистрированы на подставных лиц, а некоторые анкетные данные вообще являлись вымышленными. Если клиент отказывался платить за предоставленную информацию, злоумышленники прибегали к шантажу, угрожая сообщить пострадавшим, что их почтовый ящик взломан, а также указать заказчика. Несколько раз угрозы были исполнены. За полгода преступного бизнеса вредоносные программы были высланы на 100 компьютеров, в результате треть из них была заражена.Сыщики, используя хитроумные оперативные комбинации, вышли на след злоумышленников и провели одновременные обыски по адресам их проживания, в результате которых была изъята компьютерная техника и рабочие записи.Возбуждено уголовное дело по ч. 1 ст. 273 УК РФ ( «Создание, использование и распространение вредоносных программ»).Пресс-служба Управления «К» МВД России Fri, 20 Jan 2012 20:24:00 +0400 http://virusu.net/news/news/121/ http://virusu.net/news/news/125/ человек, причастных к ИТ-инсайду. Американские власти выдвинули обвинения против семерых человек, причастных к инсайдерской торговле в интересах хедж-фондов. Известно, что трое арестованных уже признали свою вину и согласились сотрудничать со следствием, тогда как четверо остальных пока были лишь арестованы. Последние обвиняются в незаконной продаже данных различным финансовым структурам на территории США. По словам главного федерального прокурора Нью-Йорка Прита Бхарары, инсайдеры продавали данные компаниям в Нью-Йорке, Бостоне, Коннектикуте и Калифорнии. Бхарара говорит, что все семеро финансовых аналитиков и финансовых менеджеров обвиняются в мошенничестве с ценными бумагами и сговоре с целью получения незаконной прибыли. По данным следствия, семеро задержанных получили в результате своей деятельности около 62 млн долларов.Сообщается, что арестованные менеджеры незаконно делились непубличной информацией о компании Dell в 2008-2009 годах. Доказательная база следствия базируется на данных электронной почты, записях телефонных разговоров и данных других участников мошеннической схемы, арестованных ранее. Ранее ряд участников схемы признали свое участие, надеясь получать более мягкое наказание.Один из них, Сандип Гоял, ранее работал в Dell, однако позже перешел в нью-йоркскую компанию по управлению активами, где он продолжил получать закрытую информацию от пока неназванного источника в Dell.Напомним, что ранее нью-йорксий прокурор Бхарара говорил в различных интервью о том, что инсайдерские действия на Уолл Стрит достигли небывалого размаха, а также о необходимости начала борьбы с данными правонарушениями. С момента его работы на этой должности за инсайд были арестованы более полусотни человек. Самым высокопоставленным арестантом стал индийский миллиардер Радж Раджаратнам, управлявший нью-йоркским хедж-фондом Galleon. Сейчас Раджаратнам отбывает 11-летний тюремный срок.Его приятель Раджат Гупта, бывший директор Goldman Sachs и McKinsey & Co также обвиняется в работе с инсайдерами. Судебный процесс по нему пока не завершен.Что касается сегодняшних арестов, то ФБР США разглашает имена нескольких задержанных, в частности Энтони Чиассона, задержанного в Нью-Йорке бывшего со-основателя фонда Level Global; Тодда Ньюмана, бывшего трейдера хедж-фонда Diamondback Capital Management. Также были задержаны Джон Хорват, технический аналитик, и Дэнни Куо, портфельный менеджер из Пасадены в Калифорнии.Сybersecurity.ru Thu, 19 Jan 2012 20:51:00 +0400 http://virusu.net/news/news/125/ http://virusu.net/news/news/124/ у южноафриканского банка В первые дни текущего года неизвестные хакеры осуществили хорошо спланированное и организованное ограбление банка South African Postbank в ЮАР, который является частью национальной почты. Как сообщает издание Sunday Times, банде киберпреступников удалось похитить у государственного банка в Йоханнесбурге около $6,7 млн. По словам представителей правоохранительных органов, хакеры были очень хорошо осведомлены о работе ИТ-систем почтовых отделений ЮАР, и начали подготовку к ограблению за несколько месяцев до его осуществления. Злоумышленники взломали защиту серверов South African Postbank и перевели деньги со множества аккаунтов на собственные, которые были специально открыты ранее. Полиция утверждает, что ограбление было идеально спланировано и выполнено.Сnews Thu, 19 Jan 2012 20:46:00 +0400 http://virusu.net/news/news/124/ http://virusu.net/news/news/120/ Мошенники начали применять новый способ фишинга Мошенники начали применять новый способ фишинга — почтовую рассылку компьютерных дисков, с помощью которых корпоративным клиентам предлагается обновить систему защиты интернет-банкинга. На самом деле диск используется для получения конфиденциальной информации и хищения денежных средств со счетов компаний. О появлении этой схемы банки получили предупреждение от ЦБ. В распоряжении Банки.ру оказалось письмо главного управления Банка России по Хабаровскому краю, которое оно разослало в кредитные организации в конце прошлого года. В нем регулятор предупреждает банки о появлении новой схемы мошенничества с клиентами — юридическими лицами, пользующимися услугами интернет-банка. Как говорится в письме регулятора, злоумышленники применяют следующую схему: клиенты-юрлица получают почтовые конверты якобы от тех банков, в которых у них открыты расчетные счета. Конверт содержит компакт-диск и письмо с требованием загрузить с диска обновление так называемых СКЗИ — средств криптографической защиты информации. Причем письмо напечатано на листе, напоминающем фирменный бланк кредитной организации, а на самом диске указан логотип банка. После этого мошенники, представляясь сотрудниками службы поддержки, звонят работникам организаций-клиентов, ответственных за осуществление расчетов по системе «Клиент-Банк», интересуются получением конвертов и рекомендуют срочно провести обновление программного обеспечения с использованием диска. В действительности же, как указано в письме ЦБ, рассылаемый мошенниками по почте СD-диск содержит ПО, специально созданное для хищения конфиденциальной информации (секретной компоненты электронной цифровой подписи руководителя предприятия или лица, уполномоченного подписывать финансовые документы) и ее использования для перевода денежных средств на лицевые счета подставных лиц.Регулятор также отмечает, что информация о попытках такого мошенничества поступила от территориального учреждения Банка России по Воронежской области. В том, что получили такое письмо от ЦБ, признались ВТБ 24, Росбанк, Альфа-Банк, Алтайэнергобанк. Последние три в профилактических целях уже предупредили своих клиентов. Основной способ предупреждения — это адресная рассылка клиентам-юрлицам и публикация соответствующего предупреждения в системе интернет-банкинга.Впрочем, по мнению экспертов по безопасности из профильных компаний, персональная рассылка предупреждений может порой давать и негативный эффект. Известно, что злоумышленники стараются не упускать возможности на волне официальных банковских уведомлений любого характера рассылать клиентам и свои собственные, чтобы попытаться тем или иным способом выведать конфиденциальную информацию.В ВТБ 24 сообщили, что никаких действий в связи с получением письма ЦБ банк не предпринимал, объясняя это тем, что обновление СКЗИ описанным в письме регулятора способом противоречит требованиям по безопасности системы ДБО, с которыми клиенты должны быть ознакомлены. «Мы используем другой способ распространения СКЗИ», — добавили в кредитной организации.Во всех опрошенных Банки.ру финучреждениях отметили, что СЗКИ не обновляются путем рассылки компакт-дисков. По словам начальника управления трансакционных продуктов и процессов Промсвязьбанка Виталия Анпилогова, возможность почтового мошенничества учитывалась еще на этапе проектирования системы PSB Online, которая в итоге полностью базируется на серверах банка и, соответственно, не требует обновлений на машинах пользователей. В кредитных организациях также рассказали, что пока не зафиксировали случаев с реальными пострадавшими от почтового мошенничества. В компаниях «Лаборатория Касперского» и Eset, специализирующихся на разработке антивирусов и защите информации, сообщили, что пока не получали от банков обнаруженные вредоносные программы для исследования и разработки «противоядия». Возможно, это объясняется тем, что мошенничество пока не достигло значительных масштабов. Тем не менее подобные схемы, несмотря на то, что являются экзотикой для России, распространены в других странах. В США первые похожие инциденты были зарегистрированы около 10 лет назад. Генеральный директор Group-IB Илья Сачков рассказал, что информация о получении клиентами банков конвертов с вредоносным кодом появилась осенью прошлого года. Посылая такие программы по почте, преступники пытаются обойти компьютерные системы безопасности, позволяющие сканировать электронные письма на предмет содержания вирусов.Вредоносное письмо, отправленное по электронной почте, рискует оказаться в корзине со спамом, его может заблокировать антивирус. Да и сам пользователь может не обратить внимания на такое послание. Другое дело — конверт, с привычным банковским бланком и вложенным компакт-диском, доставленный лично в руки знакомым секретарем, получившим письмо у курьера.Собрать необходимую базу данных корпоративных клиентов для рассылки, по мнению Сачкова, не представляется сложным: правильно составленный поисковый запрос позволяет в считаные часы получить внушительный список юридических лиц, имеющих счета в том или ином банке.Клиентам, по неосторожности установившим на компьютере вредоносное программное обеспечение с присланного по почте диска, банки рекомендуют связаться со службой поддержки, заблокировать операции через интернет-банк и узнать о том, какие операции были проведены с момента заражения компьютера. Сам компьютер рекомендуется отключить от корпоративной сети и использовать для работы лишь после переустановки операционной системы и в полной уверенности в отсутствии вредоносного кода. Для содействия правоохранительным органам в расследовании компьютерного преступления эксперты Group-IB советуют поступать следующим образом. Запрещается включать компьютеры до прибытия экспертов из банка и независимых криминалистов, проводить антивирусную проверку зараженных компьютеров или переустанавливать ОС, поскольку такие мероприятия приводят к удалению файлов вредоносных программ и уничтожению следов их деятельности, что усложняет расследование инцидента.До прибытия представителей банка и полиции необходимо подготовить подробное письменное объяснение, договор на оказание услуг дистанционного банковского обслуживания, договор на предоставление услуг доступа в сеть Интернет, носители с ключами ЭЦП, предоставленные банком, и их копии. В дальнейшем пострадавшей стороне следует в соответствии с инструкциями сотрудника банка и криминалиста выполнить ряд технических мероприятий по сохранению цифровых доказательств. Последние могут сыграть роль важных улик при установлении личности злоумышленников и их фактического местонахождения.Банки.ру Wed, 18 Jan 2012 00:34:45 +0400 http://virusu.net/news/news/120/ http://virusu.net/news/news/118/ об израильских SCADA-системах Один из участников хакерской группы Anonymous опубликовал на сайте Pastebin технические данные и реквизиты израильских промышленных SCADA-систем, ответственных за управление различными техническими системами на территории Израиля. Пользователь, обозначивший себя как FuryOfAnon, опубликовал на Pastebin.com два списка, содержащих IP-адреса и связанные с ними серверы систем, отвечающих за управление оборудованием на промышленных объектах Израиля.В первом списке большинство IP-адресов на данный момент уже недоступны, тогда как во втором изложена более актуальная информация, связанная с израильскими SCADA-системами. «Найдите их системы. Входите, используя стандартные логины (100 используется в качестве пароля)», — пишет FuryOfAnon.Напомним, что в декабре прошлого года Билли Риос, инженер по безопасности Google, опубликовал данные о том, что SCADA-системы Siemens SIMATIC по умолчанию используют слишком слабый пароль — «100», дающий администраторский доступ к системам. Fri, 13 Jan 2012 19:29:00 +0400 http://virusu.net/news/news/118/ http://virusu.net/news/news/116/ реальную угрозу стабильности мировой экономике Наиболее опасными эксперты признали атаки, которые нарушают корректную работу электростанций, систем водоснабжения и других критически важных объектов инфраструктуры. На Всемирном экономическом форуме в Давосе (World Economic Forum, WEF) был представлен отчет о наиболее опасных угрозах для мировой экономики. Киберугрозам отводится четвертое место после опасений по поводу неравенства доходов и бюджетных диспропорций, а также увеличения объемов выбросов в атмосферу парниковых газов. Представители команды реагирования на угрозы в сети от WEF (WEF's Risk Response Network) провели ряд опросов и исследований с экспертами и разработали документ с описанием наиболее опасных киберугроз, который предоставит почву для раздумий правительствам многих стран и руководителям крупных компаний. Наиболее опасными эксперты признали атаки, которые нарушают корректную работу электростанций, систем водоснабжения и других критически важных объектов инфраструктуры (SCADA). В предоставленном отчете указывается, что технологии развиваются очень быстро, и за ними очень сложно уследить. Один из участников проекта, который является директором по управлению рисками общего страхования Стив Уилсон (Steve Wilson), отметил на WEF, что основной проблемой является сложность безопасности в сети Интернет. «Мы пока даже не понимаем сущности угроз», — подчеркнул он.Участники WEF сделали следующий вывод: «Безопасное цифровое пространство необходимо для обеспечения стабильности в мировой экономике». Если это не являлось неожиданностью для представителей технологического сектора, то такой вывод должен привлечь внимание политических сил. Авторы призывают «срочно» разрабатывать новые механизмы для получения частных инвестиций для изучения уязвимостей компьютерных систем. Авторы отчета также отмечают, что при расследовании инцидентов безопасности эксперты по ИБ часто сталкиваются с трудностями, так как жертвы не предоставляют полноценную информацию о происшествиях. Стоит отметить, что киберугрозы появились среди 5 самых опасных угроз для мировой экономики впервые с 2007 года.Securitylab Fri, 13 Jan 2012 19:24:00 +0400 http://virusu.net/news/news/116/ http://virusu.net/news/news/115/ Хакеры из объединения Anonymous опубликовали данные более 50 тысяч Хакеры из объединения Anonymous опубликовали данные более 50 тысяч кредитных карт и более 47 тысяч адресов электронной почты, полученные в ходе взлома серверов частной разведывательной компании Stratfor. Об этом сообщается в отчете компании Identify Finder, занимающейся вопросами информационной безопасности. Как указывается в отчете, хакеры опубликовали персональные данные половины клиентов Stratfor (чьи имена начинаются на буквы с A по N) и обещают опубликовать остальные в ближайшие дни. Также к ним в руки попало 2,7 миллиона писем. Identify Finder проанализировала попавшие в Сеть данные и сделала вывод, что срок действия 9651 кредитной карты еще не истек, то есть их данные могут быть использованы злоумышленниками. Также анализ показал, что в утекших данных содержится 47680 уникальных адресов электронной почты, 25680 телефонных номеров и 44188 зашифрованных паролей. Анализ паролей показал, около половины из них могут быть легко расшифрованы. Среди расшифрованных паролей 73,7 процентов были отнесены специалистами к слабым, и только 4,8 процентов содержат больше десяти символов. Хакеры из Anonymous взломали серверы Stratfor в католическое Рождество, 25 декабря. После акции они перечислили около миллиона долларов, снятых с кредитных карт, на счета Красного креста и других благотворительных организаций. Stratfor — частная аналитическая компания, которую некоторые СМИ называют «теневым ЦРУ». Клиенты компании не разглашаются, однако считается, что ее услугами пользуются крупные американские компании и государственные органы. Сайт Stratfor после взлома был закрыт. Лента.ру Thu, 29 Dec 2011 15:35:00 +0400 http://virusu.net/news/news/115/ http://virusu.net/news/news/108/ что 84% приложений содержат потенциальные проблемы с безопасностью. Компания Veracode, специализирующаяся на разработке средств для проведения аудита безопасности, опубликовала результаты исследования кода около 10 тысяч различных приложений, проверенных за последние 6 месяцев в cloud-сервисе статического анализа кода, развиваемом данной компанией. Всего было проанализировано несколько миллиардов строк кода, который предоставлен как проприетарными, так и открытыми проектами. По данным отчета только 16% из всех приложений смогли пройти тестирование с первого раза, в остальных случаях были выявлены те или иные проблемы с безопасностью. При аналогичном исследовании проведённом полгода назад проверку сразу прошли 42% приложений, столь значительное различие объясняется ужесточением требований к тестовым проверкам, в частности, уязвимости XSS и «SQL Injection» более не относятся к категории незначительных, так как часто становятся причиной утечки важных данных. Отдельно отмечается низкое качество программ для мобильных систем и web-приложений, используемых на государственных сайтах. Интересно, что для коммерческих и открытых проектов уровень прохождения тестов оказался одинаковым, обе категории программ прошли тест с первого раза только в 12% случаев. Степень прохождения проверки для кода, разработанного для внутреннего применения составила 17%, а для кода разработанного по аутсорсингу — 7% (частично, оправданием для аутсорсинга является относительно небольшое число проверенных проектов, что не позволило собрать достаточной статистики). Среди наиболее часто эксплуатируемых уязвимостей, которым подвержены web-приложения, отмечаются атаки по подстановке SQL-кода и по встраиванию JavaScript/HTML контента (XSS-уязвимости). Именно за счет данных проблем совершено большинство атак групп Anonymous и LulzSec в последнее время. Только атака по подстановке SQL-кода, проведённая в апреле с использованием вредоносного ПО Lizamoon, привела к поражению тысяч сайтов. Проникновение через связанные с подстановкой SQL уязвимости становится эпидемией. Проблемы, связанные с XSS-уязвимостями, выявлены в 68% проверенных web-приложений, а «SQL Injection» — в 32%. При анализе государственных сайтов было выявлено, что 40% из них могут использоваться для подстановки SQL-кода, а 75% подвержены XSS-уязвимостям. Для финансового сектора данные показатели составляют 29% и 67%, а для производителей ПО — 30% и 55%. Что касается обычных приложений, не связанных с web, то в 19% случаев наблюдаются проблемы с обработкой ошибок, в 15% некорректная работа с буферами, 14% — переполнение буфера, 11% — возможность переопределения путей или имен файлов (например, отсутствие проверки на “../»), 9% — целочисленные переполнения, 9% — потенциальное наличие бэкдоров (!), 8% — некорректное использование криптографических средств, 4% — утечка информации, 2% — возможность подстановки SQL-запросов. Кроме того, выявлено, что от 30 до 70% разработанных для внутреннего использования приложений так или иначе повторно используют чужой код, например, в виде вызова функций сторонних библиотек. Часто именно сторонний код становится причиной проблем. Например, большое число XSS-уязвимостей в приложениях гос. учреждений связано с использованием платформы Adobe ColdFusion. Fri, 09 Dec 2011 10:12:00 +0400 http://virusu.net/news/news/108/