23 апреля 2014

Дайджест инцидентов, 04 апреля — 22 апреля

Бизнес

Апрель 2014 года должен был стать «месяцем, когда умерла Windows XP», но теперь, по всей видимости, останется в истории «месяцем «Heartbleed» — пугающе масштабной уязвимости в протоколе OpenSSL. Фактически, после обнаружения этой бреши и выявления нескольких атак, её эксплуатирующих, все прочие инциденты последних двух недель кажутся малозначительными. Но и они заслуживают внимания.

Имею докУмент

В Сети выявлен новый вариант злополучного банковского троянца ZeuS, который выдаёт себя за «документ Internet Explorer»; проблема в том, что троянец использует (якобы) аутентичный цифровой сертификат, благодаря которому ему удаётся протащить на компьютер свой руткит, обеспечивая себе дополнительную скрытность. Заражение осуществляется посредством довольно простой атаки Man-in-the-Browser («Человек-в-браузере»).

В целом, наличие достоверно выглядящего сертификата — единственное существенное отличие новой версии «Зевса». Решения «Лаборатории Касперского» нейтрализуют и этот троянец.

Подробнее

800

Встать, суд идёт

В США начинается судебный процесс над хакерами, которые с помощью Zeus украли миллионы с банковских счетов американцев.

Расследование показало, что от действий данной ОПГ пострадали ряд американских банков и их клиенты из разных штатов, в том числе один банк и одна компания из штата Небраска. В международном расследовании, запущенном ФБР, приняли участие полицейские подразделения Великобритании и Нидерландов, а также спецслужба Украины.

В обвинительном заключении перечислены девять ответчиков. Очно обвинения предъявлены пока только двоим гражданам Украины, выданным США британскими властями; ещё четверо подельников на свободе; трое проходят как анонимы.

Подробнее

Почтовый куш

Федеральное управление по информационной безопасности Германии (Bundesamt für Sicherheit in der Informationstechnik, BSI) подтвердило факт компрометации 18 млн логинов и паролей пользователей местных и зарубежных почтовых сервисов. Это новый рекорд по масштабным утечкам для данной страны, хотя прежний, 16 млн, был зафиксирован лишь несколько месяцев назад.

На настоящий момент достоверно установлено, что около 3 млн скомпрометированных аккаунтов принадлежат гражданам Германии. Некоторые почтовые адреса злоумышленники уже загрузили на ботнет и используют для рассылки спама (стоило ли ждать чего-то другого?). Не исключено, что краденые данные могут также облегчить им доступ к другим аккаунтам — в интернет-магазинах, на онлайн-форумах, в социальных сетях. Особенно если владельцы этих адресов использовали одни и те же пароли на нескольких ресурсах.

Подробнее

Гром над спутниками

Эксперты компании IOActive опубликовали исследование, согласно которому в программных оболочках наземного оборудования для управления искусственными спутниками Земли присутствуют колоссальные «дыры», позволяющие злоумышленникам без особого труда перехватывать соединения — с кораблями, самолётами, промышленными комплексами и службами спасения. Военные тоже под угрозой. Эксперты считают, что под угрозой может быть вообще вся инфраструктура спутниковой связи

В документе утверждается, что злоумышленникам иногда достаточно просто послать SMS-сообщение, чтобы организовать атаку.

По утверждению исследователей, очень серьёзные бреши обнаружены в наземных терминалах от таких производителей как Harris Corp., Hughes, Thuraya, Cobham, JRC, и Iridium. Среди ошибок и уязвимостей — «вписанные» в код реквизиты, незадокументированные и незащищённые протоколы, бэкдоры и «слабые» инструменты смены паролей. Информация была передана в Координационный центр CERT ещё в январе, но пока только один разработчик — Iridium — отреагировал.

Видимо, гром должен грянуть поосновательнее.

Подробнее

8002

Поддельная атака на репутацию

Вечером 15 апреля неизвестные хакеры объявили orbi et urbi о массовой утечке данных кредитных карт, которые якобы были использованы для оплаты билетов РЖД в период с 7 по 14 апреля. По заявлению хакеров, они смогли получить доступ к данным более 200 тысяч карт благодаря обнаруженной неделей раньше уязвимости Heartbleed, которую РЖД и банк ВТБ24 якобы не могли целую неделю закрыть.

Даже появился специальный сайт, на котором можно было «проверить» (по первым цифрам номера карты), не оказался ли её владелец в числе пострадавших.

По всей видимости, это была сомнительная PR-акция: доступные проверке технические данные показывают, что платежи пассажиров оформляются непосредственно на сайте rzd.ru, который использует веб-сервер IBM, не подверженный уязвимости, и что сертификат сайта был выпущен ещё в прошлом году, что противоречит заявлению хакеров о том, что «дыра» все же была залатана 14–15 апреля.

Подробнее