Дайджест инцидентов в области информационной безопасности, 20.01 — 20.02

Бизнес

Игра на ожиданиях

Эксперты «Лаборатории Касперского» обнаружили фишинговую рассылку, рекламирующую якобы вышедший под платформу PC мессенджер WhatsApp.

WhatsApp — крайне популярный мессенджер для мобильных платформ; его версии существуют, кажется, для всех актуальных мобильных операционных систем, включая Android, iOS, BlackBerry 10 и Windows Phone. Под персональные компьютеры его нет.

Однако злоумышленники попытались сыграть на популярности этого мессенджера, что, в принципе, могло обеспечить их «кампании» некоторую долю успеха. Помешала этому, однако, «кривизна» исполнения: сообщение было написано на ломаном португальском языке, слишком ломаном, чтобы внимательные пользователи могли поддаться на обман.

К слову сказать, сейчас аналогичная кампания могла бы принести её организаторам куда большие «дивиденды»: буквально на днях Facebook объявил о покупке WhatsApp за 19 млрд. долларов. Приведёт ли это к появлению версии мессенджера для персональных компьютеров, неизвестно, но умелые фишеры разыгрывают не только состоявшиеся новости, но и особо ожидаемые, так что и рядовым пользователям, и корпоративным следует остерегаться новых попыток злоумышленников злоупотребить популярными чаяниями.

Подробнее

Дело о кассовых аппаратах

Компания Neiman Marcus, которой принадлежит обширная сеть универмагов, признала, что хакеры смогли украсть данные кредитных и дебетовых карт более 1,1 млн. клиентов сети. По сведениям, опубликованным Neiman Marcus, злоумышленники «удили» данные с платёжных терминалов в течение трёх месяцев — примерно с середины июля по конец октября 2013 года. По меньшей мере, 2400 платёжных карт Visa, MasterCard и Discover, были впоследствии использованы мошенническим образом.

Хотя компания не делала официальных заявлений по поводу того, каким именно образом злоумышленникам удалось стянуть данные о картах, методология напоминает аналогичный взлом сети Target, случившийся в конце прошлого года. По всей видимости, в обоих случаях использовался POS-зловред, перехватывающий данные с платёжных терминалов ещё до их шифрования системой процессинга.

Злоумышленники берут на вооружение всё более изощрённые инструменты (а BlackPOS — это, судя по всему, очень хитрая разработка) и постоянно ищут — и находят — новые слабые места в IT-системах потенциальных жертв.

Главный вопрос состоит в том, каким именно образом злоумышленники смогли заразить платёжные терминалы, если учесть, что они, как правило, очень хорошо защищены сами по себе. В любом случае, в этот раз методы защиты оказались недостаточными, и даже обнаружить саму атаку удалось далеко не сразу, просто потому, что она пошла по совершенно неожиданному для всех направлению.

Подробности

Хроники пустых побед

Сирийская электронная армия неустанно поставляет новости для всех ресурсов, связанных с информационной безопасностью. В конце января эта хакерская группировка успешно взломала аккаунты CNN в социальных ресурсах, включая семь аккаунтов в Twitter и два в Facebook.

Помимо этого, снова досталось Microsoft, признавшей, что некоторые сотрудники корпорации стали жертвами фишинговой атаки, которая обеспечила хакерам доступ к аккаунтам в соцсетях и учетным записям электронной почты. Взломаны оказались и официальные блоги компании. Дополнительную «пикантность» этой ситуации придал тот факт, что как раз в тот же день был представлен новый дизайн официальных блогов Microsoft. Лучшего времени, чтобы опозорить компанию, хакеры подобрать просто не могли.

Впоследствии, уже в начале февраля, Сирийская электронная армия заявила о взломе Facebook, а точнее, о подмене поля nameservers домена facebook.com и адреса электронной почты владельца домена (значения обоих полей можно посмотреть в сервисе whois). Подмена nameservers дает возможность перенаправлять пользователей сайта на любой другой ресурс, чем, собственно, Сирийская электронная армия регулярно и занимается. Работа самой социальной сети нарушена не была, а запись в домене была восстановлена практически сразу после того, как администрации Facebook стало известно об инциденте.

Остаётся вопрос, каким именно образом СЭА удалось провернуть то, что они сделали.

Подробности: [1], [2]

Yahoo!: Опять двойка

Компания Yahoo! снова пала жертвой хакерской атаки, приведшей к утечке данных. В результате «скоординированных усилий» неизвестные смогли получить некоторые сведения о пользователях почтового сервиса, в том числе логины и пароли. Атака была проведена на базу данных некой «третьей стороны», то есть данные были украдены не с серверов самой компании.

О масштабах атаки (и размерах добычи) компания предпочла умолчать.

Yahoo! далеко не в первый раз становится жертвой атаки — и допускает утечки данных. В 2012-2013 годах почтовый сервис компании дважды подвергался нападению; в мае подразделение Yahoo! Japan подверглось попытке взлома, в результате чего хакерам достались 22 млн. пользовательских идентификаторов (без паролей). Наконец, под новый год выяснилось, что некоторые баннеры в рекламной сети ads.yahoo.com в новогодний период были «заряжены» вредоносными скриптами, спрятанными с помощью iFrame. Пользователи перенаправлялись на сайт, на котором располагался Magnitude, набор эксплойтов для уязвимостей Java. Как и в случае с нынешней атакой, имел место фактор «третьей стороны», но, в конечном счёте, ответственность всё равно ложится на Yahoo!.

Подробности: [1], [2]

«Маска» сорвана

«Лаборатория Касперского» выявила чрезвычайно изощрённую APT-кампанию, в ходе которой группа хакеров государственного уровня атаковала правительственные агентства, посольства и дипломатические офисы, а также компании энергетического сектора. Группа, стоящая за ней, занималась воровством важных данных, таких как  ключи шифрования и SSH, а также удалением прочих данных на атакованных машинах.

Исследователи выяснили, что за кампанией под названием The Mask стоят испаноговорящие хакеры, а цели были расположены более чем в 30 странах, по большей части испаноязычных. Злоумышленники в своем арсенале имеют как минимум одну уязвимость нулевого дня и версии вредоносных программ The Mask для Mac OS X, Linux и, возможно, даже для iOS и Android. Большинство зловредов сегодня пишутся под Windows и Android (если речь идёт о мобильном вредоносном ПО), в то время как до сих пор считается, что под Mac OS X, Linux и iOS вредоносного софта не бывает. К сожалению, очевидно, это не так.

Характерно, что злоумышленники атаковали жертв с помощью спиэр-фишинговых писем, которые заманивали их на вредоносный веб-сайт, где размещены эксплойты, причём часть из них были доступны только по прямым ссылкам, высылавшимся жертвам атаки.

Исследователи «Лаборатории Касперского» перехватили около 90 контрольных доменов ботнета, в результате чего операция, которая велась примерно с 2007 года, была свернута в течение нескольких часов после публикации небольшого поста в блоге, где исследователи раскрыли несколько деталей о кампании The Mask. Что, впрочем, не означает, что операция не может быть возобновлена в считанные часы.

Подробнее

«Луна» в тираже

Самореплицирующийся червь The Moon распространяется на некоторых моделях маршрутизаторов Linksys для дома и малого офиса. По последним данным, уязвимость, позволяющая червю распространяться, может присутствовать в прошивках роутеров Linksys моделей E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 и E900. Пока неизвестно, несёт ли червь собственный вредоносный груз или подключается к удалённому контрольному серверу. Неизвестно также, что именно червь делает, помимо того, что ищет аналогичные уязвимые устройства и пытается заразить их.

Важно отметить, однако, что вредоносные программы, атакующие роутеры, пока что редкость, однако их упоминания всплывают всё чаще. Роутер, с одной стороны, важнейший, а с другой, — наиболее часто игнорируемый компонент беспроводной сети. Через него проходят все данные, при этом нередко оказывается, что пользователи сохраняют настройки по умолчанию и даже не удосуживаются поменять пароль.

Недавно мы писали о ботнете, состоявшем в значительной части не из компьютеров, а из бытовой электроники со smart-модулями и как раз-таки роутеров. Червь The Moon волей-неволей заставляет задуматься о том, стоит ли и дальше обходить эти устройства вниманием в вопросах безопасности.

Подробности

Не используйте одни и те же пароли

Администрация сервиса Kickstarter сообщила о факте взлома их сайта неизвестными злоумышленниками. Хакеры смогли получить доступ к именам, физическим и электронным адресам, номерам телефонов и авторизационным данным пользователей – паролям, хоть и в зашифрованном виде.

Пользователям сервиса было рекомендовано как можно скорее сменить пароли как на Kickstarter, так и на других ресурсах, на которых могли использоваться те же пароли. Номера кредитных карт злоумышленникам не достались.

Kickstarter – т.н. «краудфандинговая» платформа, пользующаяся неслабой популярностью. Через неё проходят более чем солидные финансовые потоки, так что хакеры, определённо, испытывают к ней живейший интерес. Отрадно слышать, что администрации сервиса удалось уберечь от воров номера кредитных карт, однако и персональные данные вполне могут использоваться против пользователей (например, при проведении фишинговых атак). К тому же, с нынешними вычислительными мощностями короткие и простые пароли можно расшифровать за достаточно короткое время. Так что безобидной эту утечку назвать нельзя.

Подробнее

Вор в приличном костюме

На нескольких популярных сайтах выявлены вредоносные приложения, предназначенные для кражи аутентификационных данных и ключей Bitcoin-кошельков. Приложения для отслеживания курса биткоинов и лайткоинов, называющиеся Bitcoin Ticker TTM и Litecoin Ticker, выложенные на сайтах Downloads.com и MacUpdate.com, оказались «фасадами» для троянца OSX/CoinThief (как нетрудно заметить из его названия, этот троянец предназначен для Mac OS X). Как минимум, несколько десятков человек успели эти приложения скачать и, очевидно, лишились какой-то части биткоинов.

Следует отметить, что этот троянец был отмечен и на другом совершенно легитимном ресурсе, где выкладывается для скачивания различное ПО, – GitHub, на котором была выложена программа StealthBit в скомпилированном виде и в виде исходного кода. В действительности оказалось, что исходный код и скомпилированный вариант значительно отличаются друг от друга: в скомпилированной версии присутствовал вышеупомянутый троянец.

Подробности

Картинки с нагрузкой

Обнаружен новый вариант банковского троянца ZeuS, который получает свои конфигурационные данные, загружая… картинку — файл в формате JPG. Как оказалось, авторы нововведения взяли произвольный снимок из Сети и дополнили его код скрытыми данными. Целевая информация зашифрована в Base64, а затем зашифрована повторно с помощью RC4 и XOR. В ходе расшифровки выяснилось, что JPG-файл содержит адреса банков-мишеней, в том числе Deutsche Bank, Wells Fargo и Barclays. Руководствуясь этим списком, ZeusVM отслеживает заход жертвы в систему онлайнового банкинга, перехватывает данные и с их помощью проводит мошеннические транзакции.

Стеганография в качестве способа маскировки вредоносного кода, увы, — не новый, но по-прежнему эффективный трюк, позволяющий зачастую обходить защиту: картинки редко подпадают под подозрение, но теперь, похоже, бизнесу придётся уделять повышенное внимание JPG-файлам.

Подробнее

Как видим, последние четыре недели предоставляют богатую пищу для размышлений. Первое, что бросается в глаза, — это рост количества «экзотики», нетипичных ранее методов распространения вредоносного ПО и новых способов атак. Отчётливо видно также, что злоумышленники всё активнее интересуются бизнесом (это не новость, впрочем) и всё чаще стремятся обеспечить себе «улов» максимального объема. Миллионные утечки стали происходить слишком часто, чтобы считать это чем-то особо выдающимся. Утекают не только финансовые сведения или коды доступа к банковским счетам: хакеры с удовольствием угоняют и «обычные» пользовательские данные, поскольку, как уже неоднократно говорилось, это весьма ходовой среди злоумышленников товар.

Характерно еще и то, что растёт количество специфических зловредов для платформ, которые ранее считались безопасными, в первую очередь, тех, что разработаны Apple. По мере того как интересы киберпреступников смещаются в сторону «заработка», следует ожидать роста количества вредоносного ПО и для менее популярных, нежели Windows, операционных систем.