Дайджест инцидентов в области информационной безопасности: 18 августа — 18 сентября

Бизнес

«Чёрный вторник»

13 августа принесло многочисленые неприятности корпоративным (в первую очередь) пользователям продуктов Microsoft: компания выпустила патчи для критических уязвимостей в ядре Windows, Exchange Server и Active Directories. В результате же, как минимум некоторые пользователи испытывали серьёзные затруднения, как то невозможность поиска в электронной почте (сломалась индексация), падения ОС Windows и тому подобные трудности.

«Корпорации Майкрософт известно о проблеме с обновлением 2874216, которая влияет на Exchange Server 2013. Этот баг может привести к тому, что Exchange Server прекращает индексирование почты на серверах», — указывалось в бюллетене Microsoft. Проблема была разрешена в обновлении от 27 августа — со второй попытки.

Подробнее

Борьба за медкарту

В двадцатых числах августа стало известно, что ряд организаций основали альянс Medical Identity Fraud Alliance (MIFA), призванный бороться с хищением медицинских данных. Предполагается, что ключевые игроки рынка разработают собственный набор решений, технологий, сформируют своды правил для защиты личных медицинских данных и будут обучать конечных пользователей тому, как противодействовать попыткам украсть их медицинскую информацию. Как заявила Робин Слейд, одна из координаторов MIFA, мошенничество с использованием чужих медицинских данных стало нарастающей тенденцией, а это, в конечном счёте, сказывается на стоимости медицинской помощи.

По словам Слейд, только в прошлом году жертвами подобных махинаций стали 1,85 млн. человек. При этом большинство обладателей медицинских страховок вообще не в курсе, что подобное может происходить. А между тем, у мошенничества подобного рода могут быть более чем драматичные последствия: например, если информация подменена, то у жертвы может быть заявлена не та группа крови, которая есть на самом деле.

Вдобавок, около 40% пострадавших лишились медицинских страховок за мошеннические действия, которых не совершали.

По последним данным, около 94% компаний и организаций в сфере здравоохранения, пострадали как минимум от одной утечки данных в прошлом году, а украденные сведения являются ходовым товаром в киберподполье.

Подробнее: [1], [2]

Сирийская электронная армия: сводки с фронта

В августе и сентябре пресловутая «Сирийская электронная армия» — группа хактивистов, активно поддерживающая сирийского главу Башара Асада, пустилась, как говорится, во все тяжкие. Жертвами атак и взломов оказалась компания Outbrain (см. предыдущий дайджест), а через неё — крупнейшие СМИ США: The Washington Post, Time, CNN и ряд других изданий. Этим, однако, хакеры не ограничились: взломано большое количество аккаунтов в Twitter, в том числе, принадлежавших Agence France-Press и Reuters, осуществлялись атаки на BBC и канал «Аль-Джазира». Атаке подвергся и сам Twitter.

Всё это — для распространения воззваний и пропаганды. Забавно, что в число атакованных попал даже сатирический сайт — пародия на СМИ The Onion, а также Blender Artists — форум пользователей бесплатного пакета для работы с трёхмерной графикой Blender. Форум довольно популярный, по-видимому, поэтому он, вероятно, и пал жертвой неразборчивых взломщиков.
blenderartists_hack

Большинство успешных атак произведено с помощью банального фишинга.

Подробнее: [1],[2]

И снова прыжок в грязь

В Сети появилась новая версия известного DDoS-тулкита DirtJumper Drive, которая теперь позволяет злоумышленникам выявлять и обходить средства защиты от DDoS-атак. Среди способов обхода защиты — ICMP-атаки, а также атаки, которые продлевают время, в течение которых сохраняется активное соединение.

Подробнее об этом можно прочитать здесь.

Java в лохмотьях

Пользователям Java 6 в конце августа было настоятельно рекомендовано обновиться до версии Java 7 update 25, поскольку в шестой версии ещё в июне выявлена — и так и не исправлена — серьёзная уязвимость, для которой появились эксплойты. Как минимум, во вредоносном тулките Neutrino такие эксплойты уже точно содержатся.

К сожалению, в Java 7 также выявлены более чем серьёзные проблемы: в частности, найден способ обманывать систему безопасности Java, предупреждающую о том, что у того или иного приложения отсутствует электронная подпись. Найден также способ переименовывать приложения, снабжённые электронной подписью, и даже заставить приложения, запертые в «песочнице», выполнять команды с произвольного сервера.

Подробнее: [1], [2]

Необходимо отметить, что кибершпионская программа NetTraveler теперь также пытается использовать уязвимости в Java. Подробный анализ опубликован на Securelist.

Большой двадцатке — крупные атаки

Как это обычно бывает, саммит «Большой двадцатки» в Санкт-Петербурге обернулся всплеском вредоносных рассылок и атак. Как полагают исследователи из компании Rapid7, авторами их являются, главным образом, китайские киберзлоумышленники, предположительно связанные с властями КНР, — Calc Team или APT-12.

В частности, отмечена рассылка файла «Global Partnership for Financial Inclusion Work Plan 2013», который представляет собой исполняемый файл Windows, замаскированный под PDF. Точнее, PDF там действительно присутствует, но кроме него — ещё и вредоносное ПО.

Характерно, что никаких специальных приёмов, кроме социального инжиниринга, злоумышленники и не пытаются использовать.

Подробности доступны здесь.

Tor: ботнеты и ФБР

За резким скачком популярности анонимной сети Tor, как выяснилось, стоял ботнет, причём весьма крупный: к началу сентября количество клиентов Tor выросло до 2,5 млн., причём подавляющее большинство этих «пользователей» приходится как раз на вредоносную сеть Mevade (также известную как LazyAlienBikers).

Этот ботнет функционирует с 2009 года, но на Tor стал переезжать лишь неполный месяц назад. Надо заметить, что по некоторым оценкам ещё до «смены аэродрома» Mevade насчитывал от 1,4 до 5 млн. заражённых машин.

Переход на Tor сказался на ботнете парадоксально: его создатели пытались скрыть трафик от C&C-серверов, а в результате как раз, наоборот, привлекли к себе дополнительное внимание исследователей.

Подробности: [1], [2]

tor

Ботнет, впрочем, — далеко не единственная проблема Tor. ФБР открыто признало авторство рассылки вредоносного ПО клиентам этой сети в июле этого года, которое позволяло идентифицировать их.

Информация об этом просочилась в прессу после слушаний по возможной экстрадиции основателя Freedom Hosting/Tor Эрика Ойна Маркеса, которого арестовали в Ирландии по запросу правоохранительных органов США. Маркеса обвиняют в активном распространении детской порнографии.

Подробнее

Опасайтесь уведомлений

Пользователи Facebook снова подвергаются массированной атаке, которая обманывает жертву электронными письмами и сообщениями в Facebook о том, что пользователь упомянут в посте. Если пользователь переходит по указанной ссылке, она приводит его на посторонний сайт, который предлагает пользователю скачать браузерное расширение для того, чтобы посмотреть видео.

Вместо видео, понятное дело, пользователь получает вредоносную программу, способную перехватить управление над браузером Google Chrome. Атака опасна ещё и тем, что многие пользователи разрешают своим браузерам сохранять логины и пароли для электронной почты, соцсетей и множества учетных записей прочих онлайновых сервисов. Как только зловред получает управление над Chrome, атакующий может украсть любые данные, сохраненные в браузере, и получить доступ к соответствующим учетным записям.

Подробности

Это срочно. Ваш Microsoft

Microsoft срочно выпустила минипатч для браузера Internet Explorer после серии сообщений об атаках на IE восьмой и девятой версий. В браузере обнаружена очередная уязвимость, которая позволяет злоумышленникам исполнять произвольный код. Судя по всему, брешь присутствует и в более ранних версиях IE. Подробности доступны по ссылке.