Дайджест инцидентов в области информационной безопасности, 18.10 — 18.11

Бизнес

DDoS-атака «без головы»…

Мощная и весьма необычная DDoS-атака была отмечена в середине октября: главной характерной чертой её оказалось использование так называемого «безголового браузера» Phantom JS, приложения, которое используют веб-разработчики для тестирования сетевых ресурсов. Phantom JS имитирует действия «живых» пользователей, посещающих тот или иной сайт, поэтому отразить DDoS-атаку, организованную с его использованием, оказалось намного сложнее, чем большинство других. Судя по всему, для DDoS-атаки Phantom JS использовался в первый (вряд ли в последний) раз.

Подробнее

…И без плеча

Ещё одна нетипичная DDoS-атака отмечена в конце сентября. Поток бил по цели в течение девяти часов и на пике составил 100 Гбит/с. При этом в атаке не применялись никакие методы усиления трафика (подобные DDoS называют «атаками без плеча»), а это означает, что в распоряжении атакующих были каналы с пропускной способностью 100 Гбит/с.

Подробнее

ddos_wide

Разброс зловредов по Dropbox

В октябре стало известно, что в Сети циркулируют спам-сообщения, рассчитанные на пользователей облачного хранилища Dropbox. Авторы писем использовали традиционные методики социального инжиниринга, чтобы заманить доверчивых пользователей на вредоносные страницы. Правда, почему-то эти страницы имитировали сайт Microsoft, а не Dropbox. На них пользователя пытались убедить скачать новую версию браузера Internet Explorer, Chrome или Firefox. При любом выборе на компьютер жертвы загружается исполняемый файл ieupdate.exe, который содержит один из вариантов банковского троянца ZeuS.

Подробнее

Конец октября и первая половина ноября оказались богаты на «экзотические» инциденты.

Уязвимости приложений Facebook на Android как средство взлома

В приложениях Facebook и Facebook Messenger для Android обнаружены две уязвимости, позволяющие любому приложению на устройстве захватывать токен доступа пользователя Facebook. Схожий баг обнаружен в приложении Facebook Pages Manager для Android, которое предназначено для управления несколькими учетными записями Facebook.

Эти уязвимости позволяют потенциальным злоумышленникам взламывать чужие аккаунты. Всем пользователям приложений Facebook на Android настоятельно рекомендуется сменить пароль.

Подробнее

Bitcoin, возможно, сломан, но скорее всего — нет

Серьёзный скандал разразился в первых числах ноября в связи с онлайновой криптовалютой Bitcoin. Двое экспертов — профессор информатики Эмин Гун Сирер и доцент Иттай Эйял — опубликовали статью, в которой утверждается, что в корневом протоколе Bitcoin присутствует серьёзная уязвимость, которая со временем позволит недобросовестным участникам этой децентрализованной системы захватить контроль над ней. Чтобы этого избежать, необходимо исправление протокола, или чтобы как минимум три четверти людей, осуществляющих эмиссию виртуальной валюты с использованием своих компьютеров, «были предельно честными».

Довольно быстро, однако, доводы Сирера и Эйяла опровергли другие специалисты, заявившие, что авторы первой статьи отталкиваются от ряда ложных предпосылок.

В любом случае, статье Сирера и Эйяла предстоит, как и любой другой научной работе, пройти экспертное рецензирование, а этот процесс может затянуться надолго.

Между тем, в центре канадского Ванкувера заработал первый в мире банкомат, производящий обмен в Bitcoin’ах.

Дополнительная информация

 

bitcoin_wide

Эксплойт нулевого дня для Microsoft Word

Корпорация Microsoft выпустила несколько дней назад бюллетень, в котором указывается на недавно обнаруженную уязвимость (CVE-2013-3906) в нескольких флагманских разработках компании, а также сообщается о выявлении эксплойтов для неё. Злоумышленники уже используют их для таргетированных атак.

Сама по себе уязвимость, допускающая удалённый запуск произвольного кода, выявлена в кодеке для обработки изображений формата TIFF, поставляемом вместе с Microsoft Office/Microsoft Word. Обнаруженные на данный момент эксплойты применяют метод Heap-Spray, записывая свой код по адресу 0×08080808 в «кучу» (Heap) — область динамической памяти приложения.

Подробнее

Сейф оказался ненадёжным

Австралийский сервис Inputs.io, который рекламировал себя как самый защищенный биткойн-кошелек из всех существующих, оказался скомпрометирован, причём дважды. Согласно объяснению, размещённому на сайте сервиса, злоумышленник скомпрометировал учетную запись системы через компрометацию электронной почты — старой, не привязанной к номеру телефона, так что сбросить пароль было несложно. Ему также удалось обойти двухфакторную авторизацию с помощью уязвимости на стороне сервера. В результате, он завладел 4100 биткойнами, что примерно равно 1,2 млн долларов.

Подробнее

Google как улика

В начале ноября неизвестные злоумышленники нашли способ производить SQL-инжекции с помощью… поискового робота Google.

Процесс в описании выглядит относительно просто: хакер создаёт сайт А, который выглядит вполне легитимно; но в нём содержатся несколько ссылок, содержащих SQLi-запросы к целевому сайту (сайту Б). Робот Google обходит сайт А и переходит, как и полагается, по этим ссылкам на сайт Б, невольно атакуя его. От поисковых роботов закрываются редко, так что их использование злоумышленниками представляет большую опасность.

Подробнее: [1], [2]

AutoCAD-троянцы

В Китае выявлены две новые троянские программы, которые запускаются только в САПР AutoCAD. Причём единственное их назначение — поменять стартовую страницу браузера на компьютере пользователя, чтобы показывать ему непрошенную рекламу или перебрасывать на какой-нибудь поисковый сайт, который начинает зарабатывать на поступающем таким образом трафике.

Троянцы, меняющие настройки стартовой страницы — не являются чем-то новым. Не впервые специалистам «Лаборатории Касперского» приходится сталкиваться и с вредоносным ПО для AutoCAD. Впервые, однако, приходится встречать троян, который меняет настройки браузера из-под AutoCAD и никак иначе.

Наибольшее распространение новые троянцы получили пока в Китае, Индии и Вьетнаме.

Подробнее

Атака на поле боя

Серверы PC-версии игры Battlefield 4 подверглись мощной DDoS-атаке, приведшей к тому, что в минувшие выходные большинство игроков не могли подключиться к игре. Атака, возможно, связана с массовым недовольством игроков качеством долгожданной игры, за которую, к тому же, были заплачены приличные деньги: игроки натолкнулись на избыточное количество технических неисправностей.

Подробнее

bf4_wide