Страница не найдена — Блог Касперского https://www.kaspersky.ru/blog Официальный русский блог Касперского пишет обо всем, что поможет вам защититься от вирусов, хакеров, шпионских приложений, спама и других угроз. Thu, 28 Mar 2024 10:42:28 +0000 ru-RU hourly 1 https://wordpress.org/?v=6.4.3 https://media.kasperskydaily.com/wp-content/uploads/sites/90/2019/06/04154318/cropped-k-favicon-new-32x32.png Страница не найдена — Блог Касперского https://www.kaspersky.ru/blog 32 32 Как распознать в сообщении от начальника начало мошеннической атаки? | Блог Касперского https://www.kaspersky.ru/blog/how-to-spot-and-prevent-boss-scams/37210/ Thu, 28 Mar 2024 10:42:28 +0000 https://www.kaspersky.ru/blog/?p=37210 Представьте себе, что вам пишет или звонит ваш непосредственный начальник — или даже руководитель всей организации. Он предупреждает, что в компании развивается неприятная ситуация, которая грозит фирме штрафами или другими финансовыми потерями, вашему отделу — большими проблемами, а лично вам, возможно, — и вовсе увольнением. Холодный пот уже течет по спине, но ситуацию еще можно спасти! Для этого, конечно, придется постараться и очень быстро сделать несколько не совсем обычных вещей, но все будет хорошо…

Остановитесь и сделайте несколько глубоких вдохов и выдохов. С вероятностью 99% «экстренная ситуация» целиком вымышлена, а пишут и звонят мошенники. Как распознать такую атаку и защитить себя?

Анатомия атаки

У подобных схем есть десятки разновидностей — в разных странах мошенники описывают разные трудности компании, ссылаются на вовлеченные надзорные и полицейские органы или важных бизнес-партнеров, предлагают самые разные способы решения проблемы. Но есть несколько ключевых моментов, важных психологических опорных точек, без которых атака почти невозможна. Именно по ним ее проще всего распознать.

  1. Авторитет начальника и просто доверие знакомому человеку. Большинство людей уже выработало устойчивость к странным просьбам от незнакомцев, будь то полицейский инспектор, внезапно решивший написать вам в мессенджер, или сотрудник банка, лично озабоченный вашим благополучием. В данной схеме все иначе — к жертве якобы обращается более-менее знакомый и достаточно важный человек. Часто на роль «подсадной утки» мошенники «назначают» одного из высших руководителей организации. Во-первых, у него больше авторитет, во-вторых, есть неплохие шансы, что жертва знает этого человека, но не настолько близко, чтобы заметить неизбежные отличия в речи или стиле письма. Но есть и разновидности схемы, в которых мошенники обращаются от имени коллеги из подходящего подразделения, например из бухгалтерии или юридического отдела.
  2. Переадресация на внешних исполнителей. В самых примитивных вариантах обращающийся «коллега» или «начальник» сам высказывает просьбу, связанную с деньгами. Но чаще всего после первоначального общения «босс» просит обсудить практические детали с неким внешним контрагентом, который прямо сейчас напишет или позвонит. В зависимости от деталей схемы этот «специальный человек» может быть представлен сотрудником ФСБ, полиции, налоговой инспекции, банка, аудиторской компании и так далее — важно то, что ему уже не нужно прикидываться знакомым жертвы. «Босс» попросит оказать «компетентному товарищу» максимальное содействие и ни в коем случае не откладывать общение с ним. Впрочем, в самых тонко проработанных схемах — как, например, с кражей $25 миллионов по результатам дипфейк-видеоконференции — мошенники могут от начала до конца представляться исключительно сотрудниками компании.
  3. Большая срочность. Это важно, чтобы жертва не могла остановиться и подумать, разобрать ситуацию. «Уже завтра будет проверка», «прямо сейчас пришли партнеры», «сегодня вечером деньги компании спишут со счета» — в общем, действовать надо немедленно. Очень часто мошенники ведут эту часть беседы по телефону и запрещают жертве класть трубку до момента расставания с деньгами.
  4. Абсолютная секретность. Чтобы никто не мог вмешаться в разыгрываемую сцену, «босс» сразу предупреждает жертву, что обсуждать происшествие с кем бы то ни было ни в коем случае нельзя, — огласка приведет к страшным последствиям. Мошенник может, например, сообщить, что довериться ему больше некому, среди других сотрудников есть преступники или нелояльные компании люди — в общем, постарается, чтобы до выполнения требований жертва вообще ни с кем не общалась.

В нашем случае в роли «финального босса» мошеннической схемы выступил, разумеется, «Евгений Касперский» (обратите внимание на предложение «Заблокировать/Добавить новый контакт»)

Цели атаки

В зависимости от должности и благосостояния жертвы, атака может преследовать разные цели. Если жертва уполномочена проводить в фирме финансовые транзакции, ее будут убеждать провести срочный секретный платеж какому-то поставщику — например, юридической фирме за помощь в решении проблем — или вообще перевести деньги со счета компании на «безопасный» счет.

Для сотрудников, не связанных с финансами, целью атаки будут либо данные компании — например, пароли к внутренним системам, — либо их собственные средства. Тут в ход могут идти десятки легенд — от утечки данных в бухгалтерии, которая ставит зарплатный счет жертвы под угрозу, до необходимости кратковременно покрыть кассовый разрыв фирмы на время проверки. В любом случае жертву просят что-то сделать со своими деньгами — перевести их на другой счет, оплатить подарочные карты или сертификаты, снять и передать наличные «доверенному лицу». Для большей убедительности мошенники могут пообещать с лихвой компенсировать все расходы и труды жертвы — потом.

Убедительные подробности

Благодаря многочисленным утечкам данных и публикациям в социальных сетях, мошенникам стало гораздо проще проводить заранее подготовленные персонализированные атаки. Они могут заранее уточнить полное имя жертвы, ее руководителя, директора всей фирмы, узнать имена реальных сотрудников в нужных отделах — например, бухгалтерии — и правильные названия отделов, найти фото этих людей, чтобы создать им убедительные аккаунты в мессенджерах, а при необходимости — даже разыскать образцы голоса для создания голосовых дипфейков. Если на кону стоят серьезные суммы, мошенники могут провести длительную подготовку, чтобы разыгранная ими сцена была предельно убедительна: так, в некоторых случаях атакующие знали даже расположение отделов в здании и местонахождение столов конкретных сотрудников.

Технические аспекты атаки

Сложные мошеннические схемы такого рода почти всегда включают в себя общение со злоумышленниками по телефону. Однако первичный «вызов от босса» может поступать разными способами — в рабочей электронной почте, мессенджере или опять же по телефону. В простых версиях атаки мошенники создают новый аккаунт в e-mail или мессенджере, просто подписывая его именем начальника, в более сложных — взламывают корпоративную почту или личные учетные записи босса, чтобы написать с его реальных аккаунтов (это называется BEC-атака, business e-mail compromise).

Что же касается телефонных звонков, то злоумышленники часто используют специальные сервисы, позволяющие делать подмену номера, или нелегально получают дубликат SIM-карты — определитель номера у жертвы показывает, что звонят с общего телефона компании или даже с телефона босса.

Во время звонков злоумышленники могут пользоваться инструментами автоматической замены голоса (аудиодипфейков), поэтому знакомый голос по телефону не может служить гарантией аутентичности звонящего. Более того, порой в этих схемах применяются видеозвонки, в которых дипфейком может быть и лицо звонящего.

Как защититься от мошенников

От подобных атак вас защитят в первую очередь внимательность и смелость, чтобы проверить информацию, несмотря на угрозы мошенников.

Не торопитесь и не паникуйте. Задача мошенников — вывести вас из равновесия. Сохраняйте спокойствие и перепроверьте все факты. Даже если вам звонят и требуют «ни в коем случае не класть трубку», вы всегда можете сымитировать разрыв связи. Это даст вам время для дальнейших проверок.

Уделяйте внимание адресу/телефону/аккаунту отправителя. Если вы обычно переписываетесь с начальником по почте, а тут он вдруг отправляет вам сообщение в мессенджере с незнакомого номера — время насторожиться. Если вы и раньше общались в мессенджере, а теперь видите очередное сообщение от «босса», но истории переписки нет — значит, используется новый аккаунт, имитирующий настоящий: это важный красный флажок. Увы, порой преступники пишут с e-mail, который трудноотличим от настоящего, или со взломанного подлинного аккаунта в почте или мессенджере, тогда отличить подделку гораздо сложней.

Обратите внимание на нюансы. Если знакомый вам человек обращается со странной просьбой, есть ли признаки того, что это не он? Возможно, его письма оформлены иначе, чем обычно? Используются нехарактерные обороты речи? У вас принято обращаться друг к другу по именам, а он использует формальное обращение? Попробуйте уточнить факты, которые может знать только ваш настоящий собеседник.

Насторожитесь при необычных требованиях. Если начальник или коллега требует срочно сделать что-то необычное, да еще сохраняя это в тайне, то это почти всегда признак мошенничества. Поэтому крайне важно проверить сообщенную информацию и подтвердить личность собеседника. Меньшее, что можно сделать, — связаться с этим человеком по другому каналу связи. Лучше всего поговорить лично, но, если это невозможно, позвоните по офисному или домашнему телефону, выбрав его из записной книжки или набрав вручную, а не просто перезванивая на последний входящий номер — чтобы не попасть обратно к тем же мошенникам. Если у вас есть другие каналы для связи, используйте их. Мобильный номер, с которого вы получили входящий звонок, даже если это настоящий номер вашего босса или коллеги, сохраненный у вас в записной книжке, может быть скомпрометирован в результате подмены SIM-карты или банальной кражи телефона.

Уточните информацию у других коллег. Невзирая на требования «хранить все в тайне», в зависимости от того, какого рода просьба озвучена, информацию полезно проверить с другими коллегами. Так, если вам пишет сотрудник бухгалтерии, желательно связаться с другими людьми в том же отделе.

Предупредите коллег и правоохранительные органы. Если вы получили подобное сообщение, значит, преступники нацелились на вашу организацию и ваших коллег. Не получилось с вами — попробуют в соседнем отделе. Предупредите их, службу безопасности, а также сообщите о попытках мошенничества в полицию.

]]>
full large medium thumbnail
Обновление SIEM-системы KUMA до версии 3.0.3 | Блог Касперского https://www.kaspersky.ru/blog/siem-platform-ux-updates/37195/ Wed, 27 Mar 2024 14:44:23 +0000 https://www.kaspersky.ru/blog/?p=37195 Для многих ИБ-команд SIEM-система де-факто является основным рабочим инструментом. Так что безопасность компании в значительной мере зависит от того, насколько экспертам удобно взаимодействовать с SIEM, концентрируясь непосредственно на борьбе с угрозами, а не на рутине. Поэтому практически в каждом обновлении нашей системы Kaspersky Unified Monitoring and Analysis Platform (KUMA) мы уделяем особое внимание улучшению пользовательского интерфейса, автоматизации рутинных процессов и добавлению функций, позволяющих специалистам работать максимально эффективно. Значительная часть усовершенствований создается на основании обратной связи от экспертов наших заказчиков. В частности, в последней версии платформы KUMA — 3.0.3 мы добавили следующие возможности и улучшения.

Написание условий фильтров и корреляционных правил в виде кода

Раньше аналитикам приходилось задавать фильтры и писать корреляционные правила, выбирая требуемые условия мышкой. В обновлении мы расширили возможности написания правил для продвинутых пользователей, переработав интерфейс написания условий и добавив возможность написания их в виде кода. При этом режим конструктора, разумеется, остался на месте — условия фильтров и селекторов автоматически транслируются между режимами конструктора и кода.

Одно и то же условие в режимах конструктора и кода

Одно и то же условие в режимах конструктора и кода

При этом конструктор позволяет писать условия при помощи клавиатуры. Вы можете начать набирать условия фильтра, и KUMA подскажет подходящие варианты из полей событий, словарей, активных листов и так далее, после чего вы сможете выбрать подходящий вариант. Можно сразу сократить диапазон вариантов, набрав соответствующий префикс. Для удобства типы условий подсвечиваются разными цветами.

Режим кода позволяет быстро редактировать условия корреляционных правил, а кроме того, выделять и копировать условия в виде кода и легко переносить их между разными правилами или разными селекторами в рамках одного правила. Эти же блоки кода могут быть перенесены и в фильтры (отдельный ресурс системы), что значительно упрощает их создание.

Расширение схемы событий

В KUMA формат CEF остается основой для схемы событий, но при этом мы добавили возможность создания пользовательских полей, что позволяет реализовать произвольную таксономию. Теперь нет необходимости использовать только те поля, которые были придуманы вендором, — вы можете давать названия полям событий на свое усмотрение, что значительно сокращает время написания поисковых запросов. Пользовательские поля типизированы и должны начинаться с префикса, определяющего его тип и тип массива. Использование полей с массивами возможно только в нормализаторах данных в форматах JSON или KV.

Пример нормализации с использованием полей формата CEF и пользовательских полей

Пример нормализации с использованием полей формата CEF и пользовательских полей

Автоматическое распознавание источника событий

Администраторам KUMA больше не требуется устанавливать отдельный коллектор для каждого типа событий, открывать порты для каждого коллектора на межсетевом экране — в новой версии KUMA мы реализовали возможность сбора событий разных форматов одним коллектором. Коллектор на основе IP-адреса источника подберет корректный нормализатор. Допускается использование цепочки нормализаторов. Например, нормализатор [OOTB] Syslog header принимает события с нескольких серверов, позволяет определять DeviceProcessName и направлять события bind в нормализатор [OOTB] BIND Syslog, а события squid — в нормализатор [OOTB] Squid access Syslog.

Сбор различных типов событий одним коллектором

Сбор различных типов событий одним коллектором

Нормализация событий теперь доступна в следующих вариантах:
1 коллектор — 1 нормализатор. Мы рекомендуем использовать такой способ, если у вас много событий одного типа или много IP-адресов, с которых могут приходить события одного типа. С точки зрения производительности SIEM-системы оптимальным вариантом будет именно настройка одного коллектора только с одним нормализатором.

1 коллектор — несколько нормализаторов с привязкой к IP. Такой способ доступен для коллекторов с коннектором типа UDP, TCP, HTTP. Если в коллекторе на шаге «Транспорт» указан коннектор UDP, TCP, HTTP, то на шаге «Парсинг событий» на вкладке «Настройки парсинга» вы можете задать несколько IP-адресов и указать, какой нормализатор следует использовать для событий, поступающих с заданных адресов. Доступны следующие типы нормализаторов: json, cef, regexp, syslog, csv, kv, xml. Для нормализаторов типа Syslog и regexp вы можете задать дополнительные условия нормализации в зависимости от значения поля DeviceProcessName.

Это далеко не все обновления KUMA. Среди перечисленного есть также обновления, связанные с контекстными таблицами, упрощение привязки правил к корреляторам и другие. Все они направлены на улучшение пользовательского опыта ИБ-экспертов — с полным списком можно ознакомиться по ссылке. Подробнее о нашей SIEM-системе Kaspersky Unified Monitoring and Analysis Platform можно узнать на официальной странице продукта.

]]>
full large medium thumbnail
Лучшее средство защиты в 2024 году | Блог Касперского https://www.kaspersky.ru/blog/how-to-choose-best-cybersecurity-product/37176/ Tue, 26 Mar 2024 11:44:24 +0000 https://www.kaspersky.ru/blog/?p=37176 Решения по кибербезопасности выбирать непросто. Здесь не всегда можно положиться на мнение друзей или краудсорсинговые рейтинги, которые отлично работают для более простых товаров и услуг. Если удобство интерфейса и общую юзабилити подобными методами оценить реально, то вот качество защиты от сложных угроз — уже вряд ли.

Наиболее взвешенный объективный критерий — результаты экспертных исследований от профильных тестовых лабораторий и СМИ. Разумеется, важно, чтобы тестеры были независимыми — не связанными ни с одним из вендоров, продукция которых изучается.

Мы всегда уделяли много внимания независимому тестированию наших продуктов и сервисов. Для удобства оценки результатов тестов на нашем сайте предусмотрен специальный раздел «ТОП-3». Он показывает, как много за год было тестов и в скольких из них мы заняли призовые места.

Прошедший 2023 год стал для нас рекордным. Из сотни тестов, в которых участвовали наши решения, в 93 случаях мы заняли первое место, а 94 раза входили в первую тройку. Всего же с 2013 года наши продукты были протестированы независимыми исследователями 927 раз, завоевав 680 первых мест (и 779 раз мы были в тройке лидеров). Это абсолютный рекорд среди всех вендоров защитных решений как по количеству тестов, так и по количеству побед.

Теперь немного подробностей.

Сравнительный график с результатами независимых тестов защиты популярных вендоров. «Лаборатория Касперского» — абсолютный лидер: 680 первых мест из 927 проведенных тестов. Источник

Самые весомые награды

Достижений по итогам прошлого года было много, поэтому мы выделим самые, на наш взгляд, интересные:

Кто тестировал?

Для тех, кто не знаком с индустрией тестирования средств киберзащиты, расскажем немного о ключевых ее игроках.

  • AV-Comparatives — австрийская независимая организация, которая уже больше 24 лет занимается тестированием средств защиты. За это время изначально студенческий проект Инсбрукского университета вырос в один из самых влиятельных исследовательских центров в области кибербезопасности.
  • AV-Test GmbH — немецкий независимый исследовательский институт информационной безопасности. Институт более 15 лет консультирует отраслевые ассоциации, компании и государственные учреждения по вопросам кибербезопасности.
  • SE Labs — британская независимая компания, разработавшая тестирование продуктов следующего поколения с использованием комплексного подхода к оценке безопасности.

Альтернативный подход

Конечно, кроме серьезных тестовых лабораторий, средства защиты изучают также профильные СМИ и блогеры. Возможно, их исследования отличаются несколько меньшей дотошностью, зато в интересности подачи материала акулы пера и «Ютуба» точно лидируют.

Если вам ближе этот формат, то можем порекомендовать, например, тесты (1, 2, 3) независимого британского YouTube-канала The PC Security Channel. Важная его особенность: в числе подписчиков канала много технических специалистов и экспертов, которые критически относятся к публикуемой информации и часто дополняют ее своими наблюдениями.

]]>
full large medium thumbnail
Прослушка нажатий на кнопки клавиатуры | Блог Касперского https://www.kaspersky.ru/blog/acoustic-side-channel-attack/37172/ Mon, 25 Mar 2024 16:41:05 +0000 https://www.kaspersky.ru/blog/?p=37172 Недавно американские исследователи опубликовали работу, в которой показали, что полезную информацию можно извлекать из звуков нажатий клавиатуры. Это, разумеется, далеко не первое исследование такого рода. Более того, его результаты даже нельзя назвать более точными, чем выводы прошлых аналогичных работ. Однако оно представляет интерес из-за того, что в данном случае исследователи не пытались создать идеальные условия для атаки, а работали в условиях, приближенных к реальным: в относительно шумном помещении, при помощи не очень качественного микрофона и так далее.

Модель атаки

Мы редко отдаем себе в этом отчет, но нас подслушивают довольно часто. И для этого вовсе не обязательно устанавливать в кабинете жучок, как это происходит в шпионских фильмах. Представьте, что вы сидите на скучном конференц-звонке и параллельно, потихоньку, отвечаете на рабочую почту или личные сообщения, не выключая микрофон. Ваши собеседники могут слышать звук нажатий на клавиши. В группе риска также находятся стримеры: любители транслировать всем желающим то, как они играют в игры (и не только). Можно отвлечься и в процессе трансляции, например, набрать на клавиатуре пароль. Саму клавиатуру, возможно, никто и не видит, но вот звук нажатий на клавиши вполне реально распознать в записи и попытаться вычислить, что было набрано.

Первая научная работа, подробно изучающая подобную атаку, была опубликована в 2004 году. Тогда исследователи из IBM лишь предложили метод и показали принципиальную возможность отличить друг от друга нажатия на разные клавиши, но не более того. В 2009 году те же исследователи попытались решить проблему с помощью нейросети: специально обученный алгоритм был натренирован на 10-минутной записи клавиатурного набора, причем набираемый текст был заранее известен — это позволило сопоставить определенный звук нажатия на клавишу с набираемой буквой. В результате в дальнейшем нейросеть уверенно распознавала до 96% набираемых символов.

Но этот результат был получен в лабораторных условиях. В помещении стояла полная тишина, использовался качественный микрофон. Один и тот же испытуемый набирал текст примерно в одном и том же стиле: с примерно равномерной скоростью печати и силой нажатия на клавиши. Использовалась громкая механическая клавиатура. Такое исследование показывало теоретическую возможность атаки, но его результаты сложно было применить на практике: изменить немного стиль набора, поменять клавиатуру, добавить естественный шумовой фон в помещении — и ничего распознать не получится.

Реальное подслушивание

Каждый человек набирает текст на клавиатуре по-своему. Авторы нового исследования выявили ряд закономерностей, которые помогли им при дальнейшем анализе звуков нажатий на клавиши. В частности, они выяснили, что пользователи имеют склонность набирать с одинаковой скоростью пары букв, которые часто встречаются рядом в словах. Определили, что при анализе достаточно легко отделять друг от друга отдельные слова: ведь звук нажатия на пробел или клавишу Enter чаще всего заметно отличается от любых других клавиш.

Во время экспериментов исследователи исходили из того, что потенциальная жертва подслушивания набирает текст на клавиатуре в рабочем кабинете при нормальном уровне фонового шума. В остальном у участников не было особых ограничений. Они могли использовать любую клавиатуру, набирать текст как угодно. Запись проводилась на не особо качественный микрофон, встроенный в ноутбук. Впрочем, для успешной атаки потенциальному шпиону нужно записать достаточно длительную последовательность нажатий на клавиши — в противном случае обучить нейросеть не получится. Запись выглядит примерно так:

Форма звукового сигнала

Форма звукового сигнала, соответствующего нажатию на определенные клавиши. Источник

Каждый всплеск амплитуды соответствует нажатию на определенную клавишу. Пауза между нажатиями может отличаться в зависимости от опытности пользователя и того, какая последовательность букв набирается. Нейросеть в этом исследовании была натренирована на распознавание именно пауз между нажатиями: они, как выяснилось, также несут в себе много информации, не меньше, чем отличия в самих звуках нажатия!

Достаточно важным преимуществом нового исследования стало использование нейросети для предсказания целых слов. Если нейросеть определяет по звукам нажатий слово «медв1дь», то мы можем уверенно утверждать, что на самом деле пользователь набрал «медведь», просто произошла ошибка в распознавании. Чем больше букв в слове, тем точнее удается его угадать. Это правило работает вплоть до слов из шести букв, дальше точность не растет.

Всего в эксперименте участвовало 20 добровольцев. Они сначала набирали заранее известный текст, который потом соотносился со звуками нажатий и использовался для тренировки алгоритма распознавания. Затем испытуемые набирали секретный текст, который нейросеть пыталась распознавать, используя данные о характере набора и соответствие реальным словам. Точность распознавания различалась для разных пользователей, но в среднем данный метод позволил правильно угадать 43% текста по звукам нажатий на клавиши.

Сторонние каналы вокруг нас

Это еще один пример атаки по сторонним каналам, когда утечка информации происходит неявным образом. Мы много про них писали: вот здесь, например, предложен метод подглядывания с помощью датчика освещенности. Тут мы рассказывали об извлечении звука из видеоданных путем анализа незаметных дрожаний изображения. Подслушивать телефонные переговоры можно с помощью акселерометра, датчика, встроенного в каждый смартфон. Неявных каналов утечки информации на самом деле очень много.

Но из всех этих атак извлечение текста методом анализа звуков клавиатурного набора наиболее близко к реальности. Когда мы набираем номер кредитной карты или пароль, мы можем убедиться, что никто не подглядывает или закрыть клавиатуру от чужих взглядов. Но от подслушивания просто так не защитишься.

Конечно, результат 43% правильно угаданного текста не очень впечатляет! Особенно если вспомнить, что угадываются слова, а не случайная последовательность символов, которую стоит ожидать от пароля. Но новое исследование — это важный шаг в сторону практической реализации атаки. Пока что до этого далеко, но можно представить сценарий, когда ваш пароль, или номер кредитки, или секретную переписку могут увести соседи по кафе либо попутчики в вагоне поезда.

Возможно, в следующих исследованиях к этому опасному сценарию удастся приблизиться. Но уже сейчас можно наметить методы защиты от таких атак и начать применять их для особо конфиденциальных данных прямо сегодня. Например, не набирать пароли и другие секреты во время конференц-звонков, тем более во время публичных онлайн-мероприятий. По многим причинам рекомендуется использовать двухфакторную аутентификацию — она хорошо защищает от многих сценариев утечки основного пароля.

Наконец, есть метод противодействия конкретно этой атаке по стороннему каналу. Она построена на том, что у пользователя есть определенный «почерк», постоянный характер набора текста на клавиатуре. И если есть повод опасаться прослушки, то имеет смысл сломать привычный паттерн и начать набирать текст по-другому. Причем одинаково хорошо работает как слишком медленный набор текста, так и слишком быстрый.

]]>
full large medium thumbnail
Способы обнаружения и ограничения атак living off the land (LOTL) | Блог Касперского https://www.kaspersky.ru/blog/lotl-attacks-detection-hardening-guidance/37163/ Fri, 22 Mar 2024 17:24:12 +0000 https://www.kaspersky.ru/blog/?p=37163 Серьезные атакующие, выбравшие целью именно вашу компанию, наверняка захотят проникнуть в инфраструктуру глубоко и закрепиться в ней надолго. Иногда для этого используется качественное вредоносное ПО, но многие злоумышленники предпочитают обходиться без него. Они атакуют компанию, используя уязвимости, украденные учетные данные и легитимные программы, которые уже есть в системе. Эта техника называется living off the land (LOTL, буквально «кормиться с земли» или, что точнее по смыслу, «работать подручными средствами»), и, с точки зрения злоумышленника, у нее масса достоинств:

  • вредоносная активность сливается с повседневной работой в сети и обычными административными активностями;
  • инструменты, которые уже установлены на компьютерах, с меньшей вероятностью вызовут срабатывание базовых средств защиты информации (EPP);
  • атакующим не надо тратиться на разработку своих вредоносных инструментов;
  • у такой активности нет простых в применении индикаторов компрометации (IOC), поэтому зловредные действия сложно отследить, а кроме того, сложно сопоставить атаки в разных организациях;
  • во многих компаниях мониторинг сети и информация о повседневной сетевой активности собирается и хранится недостаточно детально, поэтому ни в реальном времени, ни тем более в прошедшем не удается эффективно и подробно проследить за развитием атаки. В результате предотвращение атаки и устранение ее последствий оказываются очень трудны.

Технику LOTL применяют как шпионские группировки (раз, два), так и финансово мотивированные злоумышленники и банды ransomware.

В каких средах работают атаки LOTL

Атаки LOTL могут успешно проводиться в любых средах: облачных, локальных, гибридных, на платформах Windows, Linux и macOS. На последних, кстати, атаку часто называют living off the orchard, то есть «кормиться с сада», вероятно подразумевая яблоневый сад. В каждой из этих сред у злоумышленников находятся подходящие инструменты и техники.

  • Windows. Инструменты, полезные злоумышленникам, обычно называются LOLBINS (LOL binaries) или LOLBAS (LOL binaries and scripts). Мы анализировали самые популярные LOLBINS, а более полный список всех замеченных в атаках windows-инструментов можно изучить в репозитории на GitHub. Для повышения привилегий и отключения защитных средств атакующие могут эксплуатировать легитимные драйверы, их список доступен на www.loldrivers.io.
  • Unix/Linux. Обширный список инструментов, эксплуатируемых злоумышленниками, доступен в репозитории gtfobins на GitHub.
  • macOS. «Садовые» инструменты, применяемые в атаках, собраны на сайте www.loobins.io.

Еще раз подчеркнем, что все файлы, перечисленные по ссылкам выше, являются легитимными инструментами. Они также не являются уязвимыми сами по себе, просто их может применить злоумышленник, проникший в систему и получивший достаточные привилегии.

Что мешает вам обнаружить атаки LOTL?

Даже если в организации достаточно зрелая служба информационной безопасности, имеются специалисты и продвинутые инструменты, на практике защитникам мешают эффективно обнаруживать атаки LOTL такие типичные проблемы:

  • неадаптированные настройки. Даже при наличии продвинутых инструментов защиты, их требуется адаптировать к реалиям организации, особенностям сегментации сети, взаимодействия пользователей и серверов, типичных сценариев работы в IT-системах. На основании доступной информации об угрозах (Threat intelligence) и известных особенностей компании нужно писать и адаптировать правила корреляции. Иногда защитники слишком полагаются на детектирование IOC, но не уделяют должного внимания потенциально опасным поведенческим сигналам. Иногда службы ИБ или IT используют широкие исключения и обширные разрешенные списки (allowlist), в которые включены многие LOLBAS просто потому, что это легитимные приложения. Все перечисленное значительно снижает эффективность защиты;
  • недостаточное протоколирование. Стандартный уровень логов во многих системах не позволяет обнаруживать вредоносные действия, сохранять необходимые для анализа параметры событий, надежно отличать легитимные административные манипуляции от вредоносных;
  • недостаточная автоматизация. Обнаружить вредоносные действия в ворохе логов можно только после предварительной фильтрации и удаления «фонового шума». Наиболее эффективным будет сбор телеметрии с EDR, он собирает релевантную телеметрию, повышает гибкость в детектировании техник атакующих и снижает количество ложных срабатываний. В отсутствие фильтрации и автоматического анализа логи бесполезны, их просто слишком много;
  • изоляция от IT. Описанные выше проблемы будут стоять особенно остро, если службы IT и ИБ мало взаимодействуют, команда ИБ недостаточно знакома с регламентами работ IT, настройками их инструментов и так далее. Другая сторона проблемы — если команды мало общаются, расследование подозрительной активности может затянуться, иногда на недели и месяцы. Злоумышленники тем временем будут развивать свою атаку.

Как обнаружить атаку Living off the Land

Рекомендаций по практической кибербезопасности много, и ни одна из них не является исчерпывающей. Самое свежее и подробное из общедоступных руководств опубликовали недавно киберагентства США, Великобритании и Австралии. Но даже в нем авторы подчеркивают, что дают только ориентир и советы по лучшим практикам.

Наиболее практичные, действенные и исполнимые советы по детектированию таковы:

  1. Введите детальное протоколирование событий. Собирайте логи в централизованном хранилище, которое допускает лишь однократную запись и исключает модификации. Это нужно, чтобы атакующие не могли удалить или изменить логи. Централизация логов критична, потому что она позволяет проводить поведенческий анализ, ретроспективный поиск и целенаправленную охоту на угрозы. Также благодаря централизации часто удается сохранять логи за более длительный отрезок времени.
    Чтобы быть полезными, логи должны иметь два важных свойства — полноту и детальность (comprehensive and verbose). В них обязаны регистрироваться события безопасности, включая все команды в консолях управления (шеллах), системные вызовы, активность Powershell и трассировки событий WMI и так далее. Стоит еще раз подчеркнуть, что стандартные конфигурации протоколирования редко охватывают все нужные события. Более того, в некоторых облачных средах нужный уровень протоколирования доступен только в рамках дорогих пакетов обслуживания. В прошлом году на этом обожглись некоторые клиенты Microsoft 365, после чего Microsoft пересмотрели свою политику.
     
    Для правильной реализации требования о протоколировании будут незаменимы инструменты SIEM (централизация, агрегация и анализ событий) и EDR (сбор необходимой телеметрии с хостов).
  2. Определите и зафиксируйте типовую, повседневную активность сетевых устройств, серверов, приложений, пользователей, администраторов. Чтобы собрать информацию о нормальном поведении в конкретной сети (baseline), полезно использовать SIEM — в нем сразу видны нормальные последовательности событий, взаимосвязи сервисов и так далее. Особое внимание нужно уделить анализу «административного» поведения, использованию конкретных инструментов привилегированными аккаунтами, включая системные. Число административных инструментов нужно свести к минимуму, настроить детальное протоколирование их работы и заблокировать или обвесить предупреждениями использование других подобных инструментов. Для аккаунтов администраторов важно проанализировать, в какое время они работают, какие команды запускают и в какой последовательности, с какими устройствами взаимодействуют и так далее.
  3. Используйте автоматические системы (например, модели машинного обучения), чтобы непрерывно анализировать логи, сравнивать с типовой активностью и предупреждать ИБ об аномалиях. В идеале для этого можно внедрить систему поведенческой аналитики, UEBA.
  4. Постоянно обновляйте настройки, чтобы снижать «фоновый шум», корректировать малоэффективные виды предупреждений или понижать их приоритет.
     
    Можно корректировать правила мониторинга и триггеры предупреждений, чтобы точнее различать обычные административные действия и потенциально опасное поведение. Избегайте избыточно широких правил, которые будут создавать нагрузку на системы и аналитиков, таких как «CommandLine=*». В сотрудничестве с командой IT нужно снизить разнообразие используемых утилит администрирования, их доступность на нерелевантных системах, сократить число доступных протоколов и типов аккаунтов для входа в корпоративные системы.

Как защититься от атак LOTL

Сама природа этих атак такова, что полностью предотвратить их почти невозможно. Но правильная настройка сети, конечных точек, приложений и учетных записей может резко сузить пространство для маневра атакующих, ускорить их обнаружение и минимизировать ущерб, который они принесут при попытке проникновения.

  1. Изучите и воплотите рекомендации своих вендоров оборудования и приложений по усилению безопасности (hardening). Перечисленное в этом абзаце следует считать программой-минимум:
    • для Windows-систем — оперативно применяйте обновления Microsoft;
    • для Linux-систем — проверьте разрешения для ключевых приложений и демонов, следуя одному из индустриальных руководств, например Red Hat Enterprise Linux Benchmarks;
    • устройства на базе macOS хочется особо выделить, потому что для них отсутствуют общепринятые рекомендации по харденингу, зато существует заблуждение, что они «безопасны из коробки». В смешанных сетях Windows-устройства зачастую превалируют, и службы IT и ИБ сосредотачиваются на Windows и не ищут угрозы и подозрительные события на устройствах Apple. Кроме рекомендации регулярно обновлять macOS до последней версии и обязательно применять EDR/EPP, добавим совет изучить macOS Security Compliance Project, который позволяет сгенерировать рекомендации ИБ для конкретных macOS-устройств;
    • для организаций, активно использующих облачные сервисы Microsoft 365 и Google Workspace, важно воплотить минимальные ИБ-рекомендации от Microsoft и Google;
    • специального внимания и глубокого анализа возможных мер харденинга стоят критические IT-активы компании, например ADFS и ADCS для IT-систем на базе Microsoft;
    • широко применяйте универсальные меры харденинга, такие как минимизация числа запущенных служб, принцип наименьших привилегий, шифрование и аутентификация всех сетевых коммуникаций.
  2. Сделайте стандартом подход allowlisting (он же default deny). Если его внедрение для всех приложений и всех компьютеров затруднено, можно попробовать поэтапный подход. Популярные LOLBAS, которые не используются вашей командой в работе и не нужны системным процессам, можно заблокировать. Те инструменты, что реально нужны, должны быть доступны только администраторам, только на релевантных системах и только на время выполнения административных функций. Все сеансы использования таких инструментов должны тщательно протоколироваться и анализироваться на аномалии.
     
    Проведите детальную инвентаризацию конфигураций, политик и установленного ПО на каждом хосте. Если на хосте не требуется то или иное приложение, его желательно удалить, чтобы ограничить атакующих в инструментарии и снять часть головной боли с обновлениями и уязвимостями. Для этой задачи идеально подходят решения класса EDR.
  3. Усильте сегментацию сетей IT и OT и мониторинг на уровне внутренней сети. Кроме изоляции сети OT, в отдельную подсеть можно вынести административные машины с высокими привилегиями, важные серверы и так далее.
     
    При внедрении таких ограничений во многих организациях в разрешенные списки (allowlist) вносят избыточно широкие диапазоны IP, например все адреса определенного облачного провайдера. Даже если в этом облаке расположены легитимные серверы, с которыми должен взаимодействовать сервер организации, «соседние» IP вполне могут взять в аренду злоумышленники. Поэтому необходимо более точно определять критично необходимые диапазоны IP и разрешать их по минимуму.
     
    Средства сетевого анализа нужно использовать в том числе для мониторинга трафика между сегментами, фокусируясь на необычных сеансах связи и коммуникациях с более важными сегментами сети. Для этого анализа потребуется глубокий анализ трафика (DPI).
     
    Чтобы значительно упростить работу по мониторингу и резко усложнить проведение атаки, рекомендовано внедрить в организации «административные компьютеры» (privileged access workstations). Высокорисковые административные действия должны быть разрешены только с них. В качестве программы-минимум в Windows-средах только с PAW разрешаются манипуляции с серверами Active Directory.
  4. Внедрите аутентификацию и авторизацию для всех взаимодействий человек-машина или машина-машина, вне зависимости от их сетевого расположения.
  5. Внедрите комплексный подход к защите инфраструктуры, основанный на применении инструментов отслеживания и реагирования (SIEM + EDR), постоянном повышении информированности и экспертизы своей команды (Threat Intelligence + Cybersecurity Training) и непрерывного улучшения общего подхода к ИБ в компании.
]]>
full large medium thumbnail
Что такое коммерческое шпионское ПО и каким оно бывает | Блог Касперского https://www.kaspersky.ru/blog/commercial-spyware/37149/ Thu, 21 Mar 2024 20:30:36 +0000 https://www.kaspersky.ru/blog/?p=37149 В последнее время коммерческое шпионское программное обеспечение (commercial spyware) все чаще попадает в заголовки. Причем речь не о специализированных ресурсах про информационные технологии или кибербезопасность — заметки о коммерческом шпионском ПО уже давно и регулярно появляются в непрофильных СМИ.

В этом посте мы поговорим о том, какие коммерческие шпионские комплексы существуют, как они работают, что умеют и чем они опасны. А в конце обязательно расскажем, как от них можно защищаться.

Что такое коммерческое шпионское программное обеспечение

Для начала разберемся с определением. Коммерческое шпионское ПО — это создаваемые частными компаниями легальные вредоносные программы, предназначенные для точечной слежки и сбора важных данных с устройств пользователей. Стандартный круг задач коммерческих шпионских программ: кража переписки, подслушивание звонков и слежка за местоположением.

Часто для установки коммерческого шпионского ПО на устройства жертвы злоумышленники используют уязвимости нулевого дня, а во многих случаях — zero-click-эксплойты, которые делают возможным заражение без каких-либо действий со стороны атакуемого.

Зловреды-шпионы всегда стараются быть как можно менее заметными: чем дольше жертва не будет догадываться о заражении, тем больше информации удастся собрать атакующим. Более того, в коммерческих шпионах зачастую предусмотрены инструменты для удаления следов заражения, чтобы атакуемые даже постфактум не могли заподозрить, что за ними кто-либо следил.

Хотя коммерческое шпионское ПО разрабатывают частные компании, продают они его, как правило, тем или иным государственным организациям — в первую очередь правоохранительным органам и прочим силовым ведомствам.

В итоге коммерческое шпионское ПО используется в том числе для слежки за гражданскими активистами, журналистами и другими некриминальными лицами. Собственно, поэтому программы-шпионы регулярно попадают в новостные ленты.

1. Pegasus — NSO Group

Атакуемые ОС: iOS, Android

Использование уязвимостей нулевого дня: Apple iOS, Apple Safari, WhatsApp, Apple iMessage

Использование zero-click-эксплойтов: да

Страна происхождения: Израиль

Альтернативные названия: Chrysaor, DEV-0336, Night Tsunami

 

Теперь поговорим о конкретных компаниях — и начнем с наиболее популярного игрока рынка коммерческого шпионского ПО. Это, конечно же, печально известная израильская компания NSO Group, разработчик iOS-шпиона Pegasus и его версии для Android — Chrysaor. Ранняя версия Pegasus, обнаруженная в 2016 году, требовала от жертвы перейти по присланной ссылке, а после открытия вредоносной страницы в браузере уже запускался автоматический механизм заражения с помощью эксплойта Trident.

Как были устроены атаки Pegasus в 2016 году

Как были устроены атаки Pegasus в 2016 году. Источник

Достаточно быстро визитной карточкой Pegasus стала возможность заражения айфонов c помощью zero-click-эксплойтов. Например, несколько лет назад для атаки на смартфоны Apple использовалась уязвимость в голосовых звонках WhatsApp, которую можно было активировать с помощью серии вредоносных пакетов. Это, в свою очередь, позволяло получить возможность удаленного исполнения кода на атакуемом устройстве.

Наибольшую же известность получил обнаруженный в 2021 году организацией Citizen Lab и подробно исследованный командой Google Project Zero эксплойт FORCEDENTRY. Он предназначен для атаки на систему обмена сообщениями Apple iMessage и позволял запустить на айфоне шпионское ПО после отправки жертве сообщения с GIF-файлом.

Этот файл, впрочем, был вовсе не анимированным изображением, а зараженным PDF-документом, в котором применялся алгоритм сжатия. Когда смартфон жертвы пытался создать превью документа, активировалась уязвимость в ответственной за работу с этим алгоритмом сжатия программе, что приводило к запуску цепочки эксплойтов и заражению устройства.

После того как этот эксплойт был обнаружен, Apple закрыла уязвимости. Однако, как выяснилось позже, NSO Group как ни в чем не бывало перешла к эксплуатации уязвимостей в других приложениях. В апреле 2023 года все та же Citizen Lab опубликовала исследование эксплойтов FINDMYPWN и PWNYOURHOME. Первый из них был связан с уязвимостью в приложении Find My, второй — в HomeKit. Впрочем, конечной целью для обоих этих эксплойтов была все та же система обмена сообщениями iMessage.

Сообщения от Lockdown Mode при атаке эксплойтом PWNYOURHOME

Сообщения от Lockdown Mode о блокировке атак эксплойтом PWNYOURHOME. Источник

Наконец, в сентябре 2023 года Citizen Lab опубликовала информацию о еще одном эксплойте, используемом NSO Group, — BLASTPASS. Работает этот эксплойт похожим образом: он также активирует уязвимость в iMessage, но на этот раз она связана с механизмом отправки в сообщениях объектов из Apple Wallet — например, билетов на мероприятия.

Вне зависимости от конкретного направления атаки, итогом заражения становится возможность для атакующих получить доступ к переписке жертвы, прослушивать звонки, красть пароли и следить за местоположением. География применения шпионского комплекса невероятно широка — соответствующая часть посвященной Pegasus статьи в Википедии занимает внушительное пространство.

2. DevilsTongue, Sherlock — Candiru

Атакуемые ОС: Windows, macOS, iOS, Android

Использование уязвимостей нулевого дня: Microsoft Windows, Google Chrome

Использование zero-click-эксплойтов: вероятно

Страна происхождения: Израиль

Альтернативные названия: SOURGUM, Caramel Tsunami, Saito Tech Ltd.

 

Еще одна израильская компания, которая занимается разработкой коммерческого шпионского ПО, — основанная в 2014 году Candiru. На самом деле это первое из имен, использованных этой кибершпионской организацией. Дело в том, что она постоянно меняет названия, так что сейчас, вероятно, она именует себя как-то иначе. Известно, что за Candiru стоит несколько инвесторов, связанных с NSO Group. Но, в отличие от NSO Group, в Candiru исповедуют гораздо большую секретность: у компании нет веб-сайта, ее сотрудникам запрещено упоминать своего работодателя в LinkedIn, а в здании, где Candiru арендует свой офис, не получится найти никаких упоминаний о ней.

Candiru регулярно меняет официальные названия

] Официальные названия, которые успела сменить Candiru с 2014 по 2022 год. Источник

Деятельность Candiru пока не так хорошо изучена — все известное ограничивается информацией из утекших документов, а также парой исследований инцидентов, в которых было замешано шпионское ПО, разработанное этой компанией. Например, в ходе расследования Microsoft было обнаружено несколько использованных Candiru уязвимостей нулевого дня в операционной системе Windows. А также несколько zero-day в браузере Google Chrome, которые, вероятно, также эксплуатировала Candiru.

Разработанный компанией шпионский комплекс носит название DevilsTongue и предусматривает несколько векторов атаки: от взлома устройств с физическим доступом и использования метода man-in-the middle до распространения вредоносных ссылок и зараженных офисных документов.

Описание возможностей шпионского ПО, разработанного Candiru

Возможности шпионского комплекса DevilsTongue, разрабатываемого Candiru. Источник

Также в качестве опции Candiru предлагает шпионский инструмент под названием Sherlock, который, по мнению авторов исследования Citizen Lab, может представлять собой платформу для zero-clickатак на различные операционные системы — Windows, iOS и Android. Кроме того, есть сообщения о том, что Candiru разрабатывала шпионское ПО для атак на macOS.

3. Alien, Predator — Cytrox/Intellexa

Атакуемые ОС: Android, iOS

Использование уязвимостей нулевого дня: Google Chrome, Google Android, Apple iOS

Использование zeroclick-эксплойтов: нет (частичный аналог при использовании комплекса Mars)

Страна происхождения: Северная Македония/Кипр

Альтернативные названия: Helios, Balinese Ltd., Peterbald Ltd.

 

Alien — это одна из двух частей шпионского комплекса, которая отвечает за взлом атакуемого устройства и установку на него второй части, необходимой для организации слежки. Эту вторую часть называют Predator по аналогии с известным фильмом.

Разработкой шпионского зловреда изначально занималась основанная в 2017 году компания Cytrox. Ее корни из Северной Македонии, а связанные зарегистрированные дочерние компании есть в Израиле и Венгрии. Позже Cytrox была приобретена зарегистрированной на Кипре компанией Intellexa, которая принадлежит Талю Диллиану, отслужившему 24 года на высоких постах в разведке израильской армии.

Шпионское ПО Alien/Predator фокусируется на атаках на операционные системы Android и iOS. Согласно прошлогоднему исследованию Google Threat Analysis Group, разработчики Android-версии Alien применяли несколько цепочек эксплойтов, использовавших в том числе пять уязвимостей нулевого дня в браузере Google Chrome и в ОС Android.

Атаки Alien/Predator начинались с сообщения жертвам, в котором содержались вредоносные ссылки. После перехода по ним атакуемые попадали на сайт злоумышленников, который использовал уязвимости в браузере и ОС для заражения устройства. После этого он сразу же, чтобы не вызывать подозрений, перенаправлял жертву на легитимную страницу.

Также Intellexa предлагает в качестве опции шпионский комплекс Mars, часть которого устанавливается на стороне используемого жертвой провайдера мобильной связи. После этого Mars ожидает, пока атакуемый зайдет на HTTP-страницу, и в этот момент использует метод man-in-the-middle для перенаправления жертвы на зараженный сайт — далее происходит описанное в предыдущем абзаце.

Заражение шпионом Predator при использовании Mars происходит без каких-либо действий со стороны атакуемого. Схема атаки похожа на zero-click, однако вместо соответствующих уязвимостей в данном случае используется дополнительное оборудование.

4. Subzero — DSIRF

Атакуемые ОС: Windows

Использование уязвимостей нулевого дня: Microsoft Windows, Adobe Reader

Использование zeroclick-эксплойтов: нет

Страна происхождения: Австрия

Альтернативные названия: KNOTWEED, Denim Tsunami, MLS Machine Learning Solutions GmbH

 

Впервые о шпионском ПО Subzero, разработанном австрийской компанией с длинным названием DSR Decision Supporting Information Research Forensic GmbH (DSIRF), заговорили в немецкоязычной прессе еще в 2021 году. Но по-настоящему известным этот spyware-комплекс стал лишь спустя год. В июле 2022 года команда Microsoft Threat Intelligence выпустила подробное исследование шпионского ПО, применявшегося группировкой под кодовым обозначением KNOTWEED (Denim Tsunami), которое, по мнению исследователей, и являлось DSIRF Subzero.

Возможности зловреда DSIRF Subzero

Слайды из презентации DSIRF рассказывают о возможностях зловреда-шпиона Subzero. Источник

Для компрометации атакуемых систем зловред Subzero использовал несколько уязвимостей нулевого дня в Windows и Adobe Reader. В целом же вектор атаки был следующим: жертве присылали электронное письмо, содержавшее вредоносный PDF-файл, после открытия которого запускалась цепочка эксплойтов. Результат этих действий — начало работы на устройстве жертвы бестелесного шпионского ПО.

На следующем этапе шпион собирал в зараженной системе пароли и другие реквизиты аутентификации, которые только мог обнаружить, — в браузерах, клиентах e-mail, сервисе проверки подлинности локальной системы безопасности (LSASS) и менеджере паролей Windows. Вероятно, впоследствии эти реквизиты использовались для сбора информации о жертве и организации дальнейшей слежки.

По заявлениям исследователей, зловред Subzero применялся для атак на организации в Европе и Центральной Америке как минимум с 2020 года. Также исследователи отметили, что DSIRF не только продавала шпионское программное обеспечение, но и обеспечивала участие своих сотрудников в атаках.

В августе 2023 года стало известно о том, что компания DSIRF закрывается. Но радоваться рано: не исключено, что кибершпионская деятельность будет продолжена дочерней компанией DSIRF — MLS Machine Learning Solutions, — которой, как считается, и принадлежит сейчас шпионское программное обеспечение Subzero. Кстати, сайт MLS до сих пор вполне себе работает — в отличие от страницы DSIRF, которая на момент написания материала «на техобслуживании».

5. Heliconia — Variston IT

Атакуемые ОС: Windows, Linux

Использование уязвимостей нулевого дня: Microsoft Defender, Google Chrome, Mozilla Firefox

Использование zeroclick-эксплойтов: нет

Страна происхождения: Испания

Альтернативные названия: нет

В том же 2022 году, когда Microsoft рассказала подробности о деятельности Subzero, в Google представили свое исследование с разбором другого комплекса коммерческого шпионского ПО — Heliconia. В отчете Google Threat Analysis Group (TAG) были описаны три составляющих этого комплекса, предназначенные для атак на компьютеры, работающие под управлением Windows и Linux.

Первая часть, получившая название Heliconia Noise, использует уязвимость в JavaScript-движке Google Chrome V8. После ее эксплуатации следует побег из «песочницы» Chrome и запуск в атакуемой системе шпионского ПО. Также в коде этой части был обнаружен фрагмент, упоминающий в качестве разработчика зловреда компанию Variston. По мнению исследователей Google, речь идет об испанской компании Variston IT. Она специализируется на оказании услуг в области информационной безопасности.

Связь с компанией Variston IT в коде Heliconia

В коде Heliconia исследователи обнаружили связь с некой компанией «Variston». Источник

Вторая часть шпионского комплекса, которую исследователи Google назвали Heliconia Soft, использует уязвимость в JavaScript-движке встроенного в Windows антивируса Microsoft Defender. Происходит это следующим образом: жертве присылают ссылку на зараженный PDF-файл, в котором содержится вредоносный JavaScript-код. Этот код и активирует уязвимость Microsoft Defender в тот момент, когда запускается автоматическая проверка загруженного PDF-файла. В результате эксплуатации этой уязвимости Heliconia получает привилегии уровня операционной системы и возможность установить шпионское ПО на компьютер жертвы.

Третья часть называется Helicona Files. Она использует уязвимость в XSLT-процессоре браузера Mozilla Firefox для атак на компьютеры, работающие под управлением Windows и Linux. Судя по данной уязвимости, которая затрагивает Firefox версий с 64-й по 68-ю, шпионское ПО было разработано достаточно давно и использовалось как минимум в 2018 году.

6. Reign — QuaDream

Атакуемые ОС: iOS

Использование уязвимостей нулевого дня: Apple iOS

Использование zeroclick-эксплойтов: да

Страна происхождения: Израиль/Кипр

Альтернативные названия: DEV-0196, Carmine Tsunami, InReach

QuaDream — еще одна израильская компания, разрабатывающая шпионское ПО под названием Reign. Основана она выходцами из NSO Group, а созданный ими шпион очень напоминает Pegasus. Например, для заражения айфонов шпионом Reign применяется zero-click-эксплойт, похожий на описанный выше FORCEDENTRY.

Исследователи Citizen Lab назвали этот эксплойт ENDOFDAYS. Судя по всему, в качестве исходной точки атаки этот эксплойт использует уязвимости в iCloud Calendar, которые позволяют незаметно для жертвы заразить смартфон Apple с помощью отправки в календарь невидимых вредоносных приглашений.

Что касается шпионских возможностей iOS-версии Reign, то их список выглядит впечатляюще:

  • поиск по файлам и базам данных;
  • запись звонков;
  • подслушивание через микрофон смартфона;
  • создание фотографий через заднюю и переднюю камеры;
  • кража паролей;
  • генерация одноразовых кодов двухфакторной аутентификации iCloud;
  • отслеживание геолокации;
  • очистка следов заражения устройства.
Возможности шпионского ПО QuaDream Reign

Возможности исследованного Citizen Lab образца iOS-версии шпиона QuaDream Reign. Источник

Судя по некоторым упоминаниям, компания QuaDream также разрабатывала зловредов и для атаки на Android-устройства, но о них в публичном доступе нет никакой информации. Вообще, по любви к секретности QuaDream схожа с Candiru. У QuaDream тоже нет веб-сайта, ее сотрудникам также запрещено рассказывать что-либо о своей работе в социальных сетях, а офис компании не получится найти на Google-картах.

Интересно, что для продажи своей продукции QuaDream использовала посредника — кипрскую компанию InReach. Взаимоотношения у этих двух компаний очень непростые, в какой-то момент дело даже дошло до суда. В апреле 2023 года, вскоре после публикации расследования Citizen Lab, посвященного QuaDream, компания внезапно объявила о прекращении своей деятельности. Впрочем, пока не до конца понятно: это полная капитуляция или тактическое отступление.

Как защититься от коммерческого шпионского ПО

Полностью защититься от атак с использованием коммерческого шпионского ПО, как правило, непросто. Но можно как минимум затруднить атакующим их задачу. Для этого стоит следовать этим рекомендациям:

  • Оперативно обновляйте программное обеспечение на всех ваших устройствах. В первую очередь — операционные системы, браузеры и приложения систем обмена сообщениями.
  • Не переходите по подозрительным ссылкам — одного визита на сайт может быть достаточно для заражения вашего устройства.
  • Используйте VPN для маскировки своего интернет-трафика — это защитит от перенаправления на вредоносный сайт в момент просмотра HTTP-страниц.
  • Регулярно перезагружайтесь — часто шпионское ПО не может навсегда закрепиться в зараженной системе, и перезагрузка позволит от него избавиться.
  • Установите надежное защитное решение на все ваши устройства.
  • И, конечно же, прочитайте пост эксперта по безопасности Костина Райю, в котором вы найдете больше советов о том, как защититься от Pegasus и ему подобного шпионского ПО.
]]>
full large medium thumbnail
Что такое SIM Swapping и чем такие атаки опасны для бизнеса | Блог Касперского https://www.kaspersky.ru/blog/what-is-sim-swapping/37134/ Mon, 18 Mar 2024 18:23:37 +0000 https://www.kaspersky.ru/blog/?p=37134 Сегодня мы поговорим о так называемом SIM Swapping или «подмене SIM-карты». Этот метод атаки далеко не нов, но в силу своей эффективности он продолжает оставаться актуальным. Атаки с подменой SIM-карты представляют серьезную угрозу для бизнеса, поскольку злоумышленники могут использовать их для доступа к корпоративным коммуникациям, принадлежащим компании учетным записям и важной информации — в том числе финансовой.

Что такое SIM Swapping (подмена SIM-карты)

Подмена SIM-карты (на английском SIM Swapping или SIM Swap) — это метод атаки, который злоумышленники используют для захвата мобильного номера телефона и переноса его на устройство, принадлежащее атакующему. Проще говоря, преступники тем или иным способом получают в офисе сотового оператора новую SIM-карту с номером жертвы, вставляют ее в собственный телефон и таким образом получают доступ к коммуникациям атакуемого.

Как правило, злоумышленников в первую очередь интересует доступ к текстовым сообщениям. А точнее, к одноразовым кодам подтверждения, которые приходят в SMS. Получив этот доступ, далее они могут входить в привязанные к данному номеру телефона аккаунты и/или подтверждать транзакции с помощью перехваченных кодов.

Что касается непосредственно процесса подмены SIM-карты, то тут могут использоваться различные варианты. В некоторых случаях злоумышленники пользуются услугами сообщника, работающего в салоне связи или офисе оператора. В других — обманывают сотрудника при помощи поддельных документов или методов социальной инженерии.

Фундаментальная проблема, которая делает атаку SIM Swapping возможной, состоит в том, что в современном мире SIM-карты и номера сотовых телефонов используются не совсем по своему назначению. Изначально эти номера не были предназначены для того, чтобы служить официальными идентификаторами, в которые они в итоге превратились.

Однако так уж сложилось, что очень часто для защиты аккаунтов используются одноразовые коды из SMS. Поэтому все другие защитные меры могут быть сведены на нет из-за того, что кто-то очень убедительно поговорил с сотрудником сотового оператора и добился выдачи новой SIM-карты на принадлежащий вам номер. Разумеется, эту опасность следует учитывать.

Зачастую для атакованной организации итогом атаки SIM Swapping становятся прямые финансовые потери. В последнее время предметом интереса преступников все чаще становятся криптовалютные активы, поскольку их можно достаточно легко, удобно и, что самое главное, быстро угонять. Но строго говоря, этот метод может применяться и в более сложных атаках.

Угон Twitter-аккаунта у Комиссии по ценным бумагам

Вот, к примеру, совсем свежий случай: 9 января 2024 года в Twitter-аккаунте Комиссии по ценным бумагам и биржам США (известной как SEC) появилось сообщение о том, что SEC наконец-то одобрила размещение биржевых фондов на Биткойн на биржах США.

Этого благоприятного для Биткойна события давно ожидали, так что новость совсем не выглядела неправдоподобной. Естественно, после публикации этого твита цена Биткойн взлетела примерно на 10% — до $48 000.

Атака SIM Swapping на Twitter-аккаунт U.S. Securities and Exchange Commission (SEC)

Фейковый твит от взломанного аккаунта Комиссии по ценным бумагам и биржам США, анонсирующий одобрение Bitcoin ETF. Источник

Однако позже твит был удален, и вместо него появилось сообщение о том, что аккаунт SEC был скомпрометирован. На следующий день вышло заявление X/Twitter о том, что компания не обнаружила взлома своих систем, а причина компрометации аккаунта SEC состоит в том, что некий индивидуум получил доступ к номеру телефона, к которому был привязан этот аккаунт. Очень вероятно, что после публикации фейкового твита этот индивидуум хорошо заработал на скачке цены Биткойна.

Ну а ближе к концу января появилось официальное подтверждение от самой Комиссии по ценным бумагам, что действительно Twitter-аккаунт организации был угнан с помощью SIM Swapping. Заодно выяснилось, что хотя ранее аккаунт SEC использовал двухфакторную аутентификацию, по просьбе сотрудников SEC она была отключена поддержкой X/Twitter в июле 2023 года для решения проблем с входом в аккаунт. После решения этих проблем включить 2FA обратно просто забыли — так что до самого январского инцидента учетная запись SEC оставалась без дополнительной защиты.

Ограбление криптобиржи FTX на $400 000 000

Также совсем недавно стало известно, что одно из самых крупных криптоограблений в истории было осуществлено с помощью Sim Swapping. Речь о произошедшем осенью 2022 года угоне у криптобиржи FTX активов на $400 000 000.

Изначально у многих были подозрения, что за этим ограблением стоял сам основатель FTX Сэм Бэнкман-Фрид. Однако последовавшее расследование показало, что вот тут-то он, похоже, ни при чем. Не так давно было предъявлено обвинение шайке киберпреступников во главе с неким Робертом Пауэллом, которая и провернула эту операцию.

Атака SIM Swapping на криптобиржу FTX

Часть обвинительного заключения по делу об ограблении криптобиржи FTX на $400 000 000 с помощью SIM Swapping. Источник

Из текста обвинительного заключения мы узнали детали этого ограбления, которое, кстати говоря, не было для шайки ни первым, ни последним. Киберпреступники неоднократно проворачивали подмену SIM-карт — в списке пострадавших десятки людей. А всего в тексте обвинительного заключения содержится упоминание еще как минимум шести случаев успешной кражи крупных сумм денег, помимо FTX.

Вот как действовали преступники: сперва шайка подбирала подходящую жертву и добывала ее персональные данные. Далее один из сообщников изготавливал поддельные документы на имя жертвы, но с фотографией другого сообщника, непосредственно занимавшегося подменой SIM-карты.

Затем сообщник наносит визит в офис сотового оператора и получает там подменную SIM-карту. Далее SIM-карта используется для получения SMS с различными кодами аутентификации, необходимыми для входа в аккаунты и одобрения транзакций, в ходе которых активы переводятся на счета, принадлежащие шайке. Интересно, что уже на следующий день после ограбления FTX сообщники тем же способом ограбили еще и некое частное лицо, умыкнув у него скромные $590 000.

Как защититься от подмены SIM-карты (SIM Swapping)

Как видите, в тех случаях, когда речь идет о серьезных суммах денег, SIM-карта и, соответственно, двухфакторная аутентификация через одноразовые коды из SMS становятся слабым звеном. Как показывают приведенные выше примеры, атаки SIM Swapping могут быть крайне эффективны, поэтому совершенно очевидно, что злоумышленники продолжат их использовать.

Вот что следует сделать для защиты:

  • Везде, где это возможно, вместо номера телефона используйте для привязки аккаунтов альтернативные варианты — скажем, электронную почту.
  • Обязательно включайте оповещения о новом входе в принадлежащие вам аккаунты, внимательно следите за соответствующими уведомлениями и старайтесь максимально оперативно реагировать на подозрительные входы.
  • Избегайте использования двухфакторной аутентификации с помощью одноразовых кодов из SMS, опять-таки, насколько это возможно.
  • Для двухфакторной аутентификации предпочтительно использовать приложения-аутентификаторы и аппаратные ключи FIDO U2F — их обычно называют YubiKey по наиболее известному бренду.
  • Всегда используйте для защиты аккаунтов надежные пароли — то есть обязательно уникальные и очень длинные, а желательно еще и случайные. Для их генерации и хранения используйте менеджеры паролей.
  • И конечно же, не забывайте защищать те устройства, на которых хранятся пароли и установлены приложения-аутентификаторы.
]]>
full large medium thumbnail
Как взламывают Wi-Fi WPA2 с помощью перехвата PMKID | Блог Касперского https://www.kaspersky.ru/blog/wi-fi-pmkid-attack/37126/ Fri, 15 Mar 2024 11:35:38 +0000 https://www.kaspersky.ru/blog/?p=37126 Если вы переживаете о безопасности своей беспроводной сети, то очень даже может быть, что вы переживаете не зря. Во многих роутерах по умолчанию включена опция, которая делает вашу сеть Wi-Fi, защищенную WPA/WPA2, весьма уязвимой. В этом посте мы поговорим об одном из самых опасных методов взлома беспроводных сетей, эксплуатирующих эту опцию, и о том, как от него защититься.

Самая простая и эффективная атака на WPA/WPA2-PSK: перехват PMKID

Перехват PMKID — это самый эффективный, простой в исполнении и совершенно незаметный для жертвы вариант атаки на беспроводные сети с защитой стандартов WPA/WPA2. Суть этой атаки в том, что она позволяет перехватывать зашифрованные пароли от Wi-Fi, которые беспроводные роутеры постоянно вещают в эфир, даже когда к ним не подключены никакие устройства. Заполучив зашифрованный пароль, атакующий может использовать метод перебора, чтобы его расшифровать, — и таким образом подключиться к Wi-Fi-сети.

Данная атака может быть и массовой — с применением так называемого вардрайвинга. В этом случае взломщик садится в автомобиль или на мотоцикл и катается по городу, попутно сканируя все доступные беспроводные сети и перехватывая зашифрованные пароли от них, которые вещают роутеры. Список необходимого для этого оборудования невелик — достаточно ноутбука, дальнобойного адаптера Wi-Fi и мощной антенны.

Зашифрованные пароли, которые взломщику удалось перехватить, можно взламывать прямо по ходу движения. Но более эффективный вариант — после завершения поездки выгрузить всю добычу на высокопроизводительный компьютер (или арендовать вычислительные мощности в облаке) и запустить инструмент для перебора паролей. Не так давно эффективность данной атаки была продемонстрирована в Ханое: вьетнамский хакер просканировал около 10 000 ханойских беспроводных сетей и смог расшифровать пароли для половины из них.

Оборудование, необходимое для массового взлома Wi-Fi методом перехвата PMKID

Это все, что нужно для взлома 5000 беспроводных сетей методом перехвата PMKID. Источник

Почему атака на Wi-Fi методом перехвата PMKID вообще работает?

Почему же беспроводные роутеры вещают пароль от Wi-Fi буквально «в воздух», пусть и в зашифрованном виде? Дело в том, что это штатная функция стандарта 802.11r, который реализован в большинстве роутеров и обычно включен по умолчанию. Данный стандарт описывает механизм быстрого роуминга в Wi-Fi-сетях, использующих несколько точек доступа. Чтобы ускорить переподключение клиентского устройства к новым точкам доступа, они постоянно передают в эфир свой идентификатор — тот самый PMKID.

Этот идентификатор представляет собой производную от ключа PMK (Pairwise Master Key, парный главный ключ). Если точнее, то в нем содержится результат вычисления хеш-функции SHA-1, в исходные данные которой входит этот самый ключ PMK и еще некоторое количество данных. А ключ PMK, в свою очередь, представляет собой производную от пароля Wi-Fi — то есть опять-таки результат вычисления хеш-функции SHA-1 от этого самого пароля.

Говоря по-простому, PMKID содержит пароль от беспроводной сети в дважды захешированном виде. В теории процесс хеширования необратим, то есть из полученного в результате хеширования значения невозможно восстановить исходные данные. Вероятно, на это и полагались создатели стандарта 802.11r, когда придумывали механизм быстрого роуминга с использованием PMKID.

Однако захешированные данные можно подбирать перебором. И этому особенно помогает тот факт, что люди довольно редко используют для беспроводных сетей действительно надежные пароли, а чаще всего полагаются на достаточно предсказуемые комбинации символов. Вот этого создатели 802.11r, очевидно, не учли.

Данная проблема была обнаружена несколько лет назад командой одной из наиболее популярных утилит для восстановления паролей — или, попросту говоря, для их взлома — Hashcat. С тех пор успели появиться и специализированные инструменты, предназначенные именно для взлома перехваченных PMKID.

Взлом пароля от Wi-Fi из перехваченного PMKID

Успешное извлечение пароля «hashcat!» от беспроводной сети из перехваченного PMKID. Источник

Таким образом, на практике злоумышленник обычно перехватывает PMKID, в котором зашифрован пароль, а далее использует словарную атаку — то есть перебор наиболее распространенных паролей, заранее собранных в базу данных.

Как защитить свою беспроводную сеть от атаки на PMKID

Что же сделать, чтобы предотвратить атаку с перехватом PMKID на вашу беспроводную сеть? К счастью, есть несколько защитных мер, которые не так уж сложно реализовать на практике:

  • Придумайте для вашей беспроводной сети как можно более длинный и сложный пароль. Атака на PMKID позволяет перехватить захешированный пароль от Wi-Fi, но после этого его еще надо расшифровать. Чем пароль сложнее, тем меньше вероятность, что злоумышленникам это удастся. Поэтому для защиты от данной атаки придумайте для вашей беспроводной сети как можно более длинный и неочевидный пароль.
  • Отключите в настройках роутера передачу PMKID. К сожалению, не все роутеры позволяют это сделать, но не помешает как минимум попробовать поискать эту настройку. Найти ее можно по словам PMKID или 802.11r.
  • Перейдите на WPA Если все ваши устройства поддерживают более новый стандарт безопасности Wi-Fi, стоит задуматься о том, чтобы на него перейти: WPA3 в целом значительно надежнее, чем WPA2, и, в частности, не подвержен атаке с перехватом PMKID.
  • Настройте гостевую сеть. Надежный пароль от основной сети может быть сложно часто вводить на новых устройствах, поэтому настройте гостевую сеть с более простым паролем. Кстати, в гостевую сеть также полезно выселить всякие потенциально небезопасные штуки вроде IoT-устройств.
  • Используйте компонент «Устройства в моей сети», который есть в наших подписках Kaspersky Plus и Kaspersky Premium. Эта функция показывает список устройств в вашей сети и предупреждает, если к ней подключится какое-то новое устройство.
]]>
full large medium thumbnail
PrintListener: удаленная кража отпечатков пальцев | Блог Касперского https://www.kaspersky.ru/blog/printlistener-attack/37121/ Thu, 14 Mar 2024 17:53:55 +0000 https://www.kaspersky.ru/blog/?p=37121 Недавно исследователи из США и Китая опубликовали работу, в которой предложили крайне необычный способ кражи отпечатков пальцев. Представьте, что вам звонит злоумышленник. Или же вы подключаетесь со смартфона к конференц-звонку, доступ к которому имеет атакующий. Во время звонка вы что-то делаете на телефоне, естественно, водя пальцем по экрану. Звук от такого движения хорошо слышен через встроенные в смартфон микрофоны, а значит, потенциальный злоумышленник может этот звук записать и проанализировать. А из него воссоздать какие-то фрагменты отпечатка, которых будет достаточно, чтобы с помощью «искусственного пальца» разблокировать ваш смартфон. Только вдумайтесь: из каких-то «шорохов» можно вычислить рисунок на подушечке пальца, это фантастически красивая атака по сторонним каналам!

Как можно украсть отпечаток пальца через звук

Общая схема новой атаки PrintListener показана на картинке:

Схема атаки PrintListener

Если во время звонка потенциальная жертва водит пальцем по экрану, злоумышленник может восстановить элементы отпечатка по звуку. Источник

Когда пользователь водит по поверхности экрана пальцем, он производит практически не слышимый человеческим ухом шум. Эти, грубо говоря, «шорохи» неоднородны — их характер меняется, когда к экрану прикасаются крупные узлы в рисунке отпечатка, так называемые «петли» и «дуги». Если записать шум при помощи чувствительного микрофона, а позже проанализировать его, то на основании полученных данных можно восстановить примерное расположение и рисунок таких узлов.

Ярко выраженные элементы рисунка на пальце

Ярко выраженные элементы рисунка на пальце являются ключевыми для определения, идентичен ли отсканированный отпечаток ранее сохраненному. Источник

Чтобы сделать атаку хоть сколько-то реалистичной, авторы нового исследования провели большую работу. Во-первых, они создали автоматизированную систему поиска звуков, похожих на шорох от движения пальца по экрану. Чтобы не надо было искать эти достаточно тихие и быстрые события вручную. Во-вторых, создали большую базу данных, в которой имелись и фотографии отпечатков, и соответствующие им звуки движения пальца по дисплею в разных направлениях, при разном фоновом шуме, для разных моделей смартфонов, и так далее.

Всего в эксперименте приняло участие 65 добровольцев, было просканировано 180 пальцев. Эти данные были обработаны алгоритмом машинного обучения. Обученный алгоритм смог достаточно уверенно предсказывать некоторые характеристики отпечатка исключительно по звуку движения пальца по поверхности смартфона.

Эффективность атаки PrintListener

PrintListener — далеко не первый вариант атаки на сканеры отпечатков. В 2017 году была опубликована исследовательская работа, в которой к сканеру прикладывали не реальный отпечаток пользователя, а вообще какой-то случайный. И в некоторых случаях это срабатывало! Почему? Во многих современных смартфонах сканер отпечатков встроен в кнопку включения, и она довольно узкая. По определению такой сканер видит только фрагмент отпечатка. Более того, сканеры ориентируются именно на ярко выраженные элементы рисунка на пальце. Если на синтетическом пальце какая-то петля в общих чертах совпадает с петлей на реальном отпечатке, сканер может авторизовать пользователя! Атаку назвали MasterPrint.

Еще одним важным параметром в работе сканера является частота ложноположительных срабатываний. Идеальный сканер отпечатков должен принимать приложенный палец только в случае стопроцентного совпадения рисунка. Но пользоваться таким датчиком будет невозможно! Пользователь каждый раз прикладывает палец немного иначе — под другим углом, чуть выше или чуть ниже. Палец может быть сухим или влажным, он может быть загрязнен или поврежден. Чтобы учесть такую неидеальность реального мира, сканер настраивают так, чтобы он открывал доступ не только при полном совпадении, но и в ситуации «почти совпадает с эталоном». Это неизбежно приводит к ложноположительным срабатываниям: когда палец приложен чужой, но сканер считает, что он «такой, как надо». Типичный процент таких нежелательных срабатываний варьируется от 0,01% (в самом строгом случае) до 1%. Последний вариант будет удобнее использовать, но растет вероятность, что кто-то другой приложит свой палец к чужому смартфону, и устройство будет разблокировано.

Атака MasterPrint показала, что синтетический отпечаток с каким-то распространенным элементом типа «петля» срабатывал при частичном распознавании в 2,4–3,7% случаев, причем с первого раза. Если у нас есть возможность сделать несколько попыток, вероятность ложноположительного срабатывания растет. В исследовании 12 последовательных попыток пропускали поддельный отпечаток в 26–30% случаев! В данных экспериментах тот самый коэффициент ложноположительных срабатываний составлял 0,1%.

Атака PrintListener развивает идеи, заложенные в работе MasterPrint 2017 года. Обработка звуковой информации позволяет с достаточно высокой уверенностью говорить о наличии в рисунке какого-то крупного узла. Она, по сути, позволяет атаковать сканер отпечатков не наудачу и наугад, а с использованием какого-то узла, восстановленного по звуку. Злоумышленник может напечатать на 3D-принтере палец с синтетическим отпечатком, в рисунке которого будет предсказанный крупный элемент.

При допустимой частоте ложноположительных срабатываний в 0,1%, атака PrintListener успешно обманывала сканер отпечатков в 48–53% случаев. Более строгий сценарий, с допустимой частотой ложных срабатываний 0,01%, все равно позволял взломать биометрический сканер в 7,8–9,8% случаев. Это значительно эффективнее, чем в случае MasterPrint. Более того, во всех случаях делалось не более 5 попыток просканировать синтетический палец, что соответствует реальным ограничениям на авторизацию с помощью биометрии в тех же смартфонах.

Польза и вред биометрии

О традиционных рисках для сканеров отпечатков пальцев мы писали ранее. Если коротко — ее ни в коем случае нельзя считать абсолютно надежным средством авторизации. Достаточно легко украсть ваш отпечаток пальца традиционными методами. Люди оставляют отпечатки на поверхностях и предметах, к которым прикасаются. В некоторых случаях «извлечь» пригодный к использованию отпечаток можно даже из фотоснимка. Причем для этого не нужно делать снимок пальцев крупным планом, подойдет и обычная фотография высокого разрешения, сделанная с разумной дистанции в три метра.

Самые простые сканеры можно обмануть, просто напечатав украденную ранее биометрическую информацию на принтере. С современными ультразвуковыми датчиками в смартфонах, расположенных под дисплеем, такой фокус не пройдет, но можно распечатать искусственный палец с необходимым рисунком на 3D-принтере. Есть общая проблема любой биометрической системы аутентификации: такую информацию трудно сохранить в тайне. А поменять отпечаток пальца, в отличие от пароля, невозможно.

Нельзя сказать, что новое исследование дает новые поводы для переживаний за безопасность наших данных. Неидеальная природа биометрии уже учтена в логике работы датчиков в наших устройствах. Именно из-за того, что отпечаток пальца довольно легко «позаимствовать» или распознать ошибочно, смартфоны периодически просят нас ввести пин-код или подтвердить покупку в Сети с помощью пароля. В комбинации с другими методами безопасности сканер отпечатков неплох. Такая защита от несанкционированного доступа лучше, чем вообще никакой. Тем более что простой цифровой код разблокировки смартфона тоже можно подсмотреть или подобрать, исходя из следов на экране дисплея.

Атака PrintListener тем не менее получилась выдающаяся. Важные данные об отпечатках пальцев получилось вытащить из совершенно, казалось бы, неподходящего источника. Сценарий атаки при этом получился вполне реалистичный. Он по смыслу похож на предыдущие исследования, в которых по звуку распознавались вводимые пользователем пароли на клавиатуре. Хочется сделать вывод, что во время телефонного звонка или публичной трансляции в Сети лучше не водить пальцем по экрану. Но мораль этой истории на самом деле проще: не оставляйте конфиденциальную информацию (особенно если речь идет о данных, критичных для бизнеса) под защитой только лишь биометрии.

]]>
full large medium thumbnail
Сторонние магазины приложений приходят на iOS: готовимся к новым угрозам? | Блог Касперского https://www.kaspersky.ru/blog/ios-alternative-app-stores-and-browsers-security/37113/ Wed, 13 Mar 2024 12:32:45 +0000 https://www.kaspersky.ru/blog/?p=37113 Все 17 лет существования iOS она была крепко огороженным садом. Приложения и функции попадали к пользователю только под жестким контролем Apple. Теперь под давлением рынка и регуляторов американская корпорация вынуждена менять статус-кво. С марта вступает в действие европейский закон Digital Markets Act (DMA), и в новой версии iOS 17.4 — и только для Евросоюза — появится возможность установить на iPhone дополнительные магазины приложений и альтернативные браузеры. Одновременно пропадут некоторые привычные функции, например мини-приложения, запускаемые в браузере и имеющие свой ярлык на домашнем экране (Progressive Web Apps). Какие возможности это принесет пользователям и какие угрозы несут изменения?

Как установить себе другой магазин приложений

Чтобы обеспечить честную конкуренцию, регуляторы обязали Apple допустить другие магазины приложений на iPhone. Пользователь сможет зайти на сайт альтернативного магазина, нажать кнопку установки и, явно подтвердив операционной системе свое намерение, установить этот новый магазин. Дальше им можно пользоваться вместо App Store или параллельно с ним.

Наполнение этих альтернативных магазинов и понимание того, кто вообще захочет открывать подобные магазины, пока неизвестно. Важно то, что эти магазины не обязаны соблюдать все указания Apple, поэтому в них ожидаются ранее запрещенные Apple сервисы и технологии (в первую очередь — оплата вне App Store). Весьма вероятно, что свой магазин захотят открыть Epic Games, которые наряду со Spotify были одним из основных лоббистов в тяжбах с Apple, хотя последняя серия мыльной оперы противостояния Apple и Epic Games намекает, что это случится еще нескоро.

Важно отметить, что Apple не допустит анархии, — чтобы стать магазином приложений, нужно пройти проверку в Apple и предоставить аккредитив на 1 миллион евро. Также не допускается загрузка разных версий приложения в App Store и альтернативные магазины — если разработчик хочет присутствовать везде, приложение должно быть идентичным. Ну и наконец, все приложения должны будут пройти «нотаризацию» в Apple. Этот процесс — если он окажется идентичен «нотаризации» в macOS, — вероятнее всего, будет не ручной проверкой, как в App Store, а автоматическим сканированием на вредоносное ПО и соблюдение некоторых технических рекомендаций Apple.

Последствия для безопасности. Вредоносное ПО будет появляться на iOS чаще. С одной стороны, установка сторонних приложений будет отчасти по-прежнему регламентироваться Apple — не получится, как в Android, просто нажать кнопку в настройках и установить неизвестное приложение с непонятного сайта. С другой стороны, систему автоматического сканирования, созданную инженерами в Купертино для сторонних магазинов приложений, обмануть будет даже проще, чем живых модераторов App Store. Поэтому количество и разнообразие вредоносного ПО на iOS, вероятно, возрастет.

Кроме явно вредоносного ПО Apple резонно указывает на более высокий риск появления приложений с мошенническим контентом и непрозрачными схемами сбора платежей. Подобные проблемы автоматическим сканированием выявить невозможно.

Увы, новые правила никак не помогут появлению на iOS антивирусных и защитных решений, работающих на уровне операционной системы и аналогичных таковым на Android, — нужная для этого функциональность по-прежнему недоступна в iOS. Поэтому мы рекомендуем серьезно относиться как к самому решению установить сторонний магазин приложений, так и к скачиванию из него. Если вы устанавливаете магазин от крупной фирмы и скачиваете знаменитую игру с десятками миллионов загрузок — скорее всего, проблем не будет. Но все рекомендации сохранять бдительность, которые мы ранее давали пользователям Android, становятся гораздо важнее для европейских пользователей iOS. Напомним, что общее число скачиваний зловредов из официального Google Play за прошлый год превысило 600 миллионов.

Последствия для конфиденциальности. Apple утверждает, что ограничения на слежку в приложениях будут соблюдаться и в программах, скачиваемых из сторонних магазинов. Правда, «карточка описания конфиденциальности», которую заполняют разработчики при загрузке своих изделий в App Store, может быть менее подробной или вовсе отсутствовать в других магазинах.

Последствия для родительского контроля. Хотя ограничения, например экранного времени, продолжат работать с любыми программами, в приложениях из альтернативных магазинов могут неверно работать или вообще отсутствовать ограничения на внутриигровые или семейные покупки и требующие подтверждения родителей запросы на покупку приложения.

Сторонние браузеры

«Альтернативные» браузеры были на iOS и раньше, но, по сути, они представляли собой лишь оболочки для единственного доступного на iOS механизма показа страниц («движка») WebKit, разработанного Apple. Теперь Apple будет допускать в iOS и другие движки — но только после специальной сертификации. Стоит отметить, что и на других платформах с разнообразием движков все довольно печально, — практически все «альтернативные» браузеры основаны на коде Chromium (движок Blink), поддерживаемом силами Google. Также на рынке заметен Gecko, применяемый в Mozilla Firefox, и на этом рыночное разнообразие, в общем-то, исчерпывается.

Ранее и Google, и Mozilla были замечены в подготовке к запуску Blink и Gecko на iOS, поэтому весьма вероятно, что полноценные Firefox и Chrome появятся в Евросоюзе в скором будущем. При первом запуске Safari (или открытии любой веб-страницы из приложения) пользователи в ЕС смогут выбрать себе браузер по умолчанию.

Последствия для безопасности. Они двоякие. Мы ожидаем улучшения безопасности в одних областях и ухудшения в других. К известным уязвимостям WebKit добавятся возможные дефекты в Firefox и Chrome, и неизвестно, насколько оперативно они будут фикситься в iOS-версиях этих приложений, хотя оба разработчика имеют прекрасную репутацию в части исправления уязвимостей. С другой стороны, уязвимости нулевого дня в ПО Apple, включая WebKit, всегда были основным вектором атак на iPhone со стороны шпионского ПО — как коммерческого, вроде Pegasus, так и целевого, вроде Triangulation. Сейчас разработчики этих атак на 100% уверены, какой браузер используют жертвы, — Safari/Webkit. Благодаря «альтернативщикам» разрабатывать и проводить подобные атаки станет сложнее, ведь придется учитывать все варианты браузеров.

Последствия для конфиденциальности. Зависят от выбранного альтернативного браузера. Если ориентироваться на аналогичные браузеры для Windows и macOS, то при переходе на Firefox конфиденциальность, скорее всего, улучшится или сохранится на том же уровне, что и у Safari, а вот при использовании Chrome может и снизиться — это возможно предположить на основе анализа доступных инструментов борьбы со слежкой в этих браузерах и их настроек по умолчанию.

Последствия для родительского контроля. Возможности по защите детей от нежелательного контента в альтернативных браузерах пока не ясны, но, скорее всего, контроль будет технически сложнее настроить. Поэтому его эффективность вызывает вопросы.

Заметная потеря

Европейские пользователи не только получат новые возможности, но и кое-что потеряют от введения DMA. Чтобы реализовать нужные функции для «альтернативных» браузеров, Apple полностью отказалась от поддержки в iOS для ЕС расширенных веб-приложений (PWA, progressive web apps). Хотя подобные аппы по сути представляют собой веб-страницы, они мало отличимы от полноценных приложений, поскольку могут сохранять контент на устройстве, отправлять пользователю оповещения и так далее. В виде PWA нередко создаются приложения интернет-магазинов, журналов, кафе и ресторанов. Все эти мини-приложения, которые можно было легко добавить на главный экран iPhone, больше не будут работать в ЕС после обновления iOS. Далеко не все компании, которые «завернули» свои приложения в PWA, успеют своевременно адаптироваться к этому изменению.

Будут ли доступны альтернативные браузеры и магазины вне Европы

Apple приложила большие усилия к тому, чтобы ввести все новшества только в регионе, где это предписано законом, то есть в Европейском союзе. Только пользователи, зарегистрированные в 27 странах — членах ЕС, получат все описанные обновления в iOS 17.4. Жителей других стран эти новшества не коснутся, поэтому просто включить голландский VPN или даже поехать в отпуск на Кипр будет недостаточно для получения этих обновлений на iOS. Кроме того, даже жители ЕС, покинувшие территорию Евросоюза более чем на 30 дней, лишатся возможности устанавливать обновления приложений из сторонних магазинов — для загрузки апдейтов им придется вернуться обратно на родину.

]]>
full large medium thumbnail
Как защититься от мошеннической схемы Pig Butchering | Блог Касперского https://www.kaspersky.ru/blog/pig-butchering-crypto-investment-scam/37103/ Mon, 11 Mar 2024 11:10:05 +0000 https://www.kaspersky.ru/blog/?p=37103 Сегодня мы поговорим о набирающей обороты мошеннической схеме под названием Pig Butchering. Из-за высокой эффективности эта схема быстро завоевывает популярность у мошенников, а количество пострадавших от нее постоянно растет. Что это, как работает и как защититься — расскажем в сегодняшнем посте.

Что такое Pig Butchering и как работает эта мошенническая схема

Pig Butchering, что переводится как «забой свиней», — определенный вид мошенничества, связанный, с одной стороны, с инвестициями (часто в криптовалюты), а с другой — с романтическими отношениями в Сети.
По аналогии с тем, как долго выращивают свиней перед забоем, в схеме Pig Butchering мошенники обычно подолгу и тщательно обхаживают свою жертву — как правило, в течение недель или даже месяцев. В этом плане Pig Butchering серьезно отличается от других мошеннических схем, создатели которых зачастую нетерпеливы и рассчитывают на быструю прибыль.

Завязка: случайное сообщение и дружелюбный незнакомец

Начинается все с какого-нибудь случайного сообщения в мессенджере, соцсети или SMS. Мошенник либо делает вид, что отправил сообщение не тому адресату, либо ссылается на каких-нибудь отдаленных общих знакомых, про которых несложно узнать из профиля в соцсети. Если жертва отвечает мошеннику, мол, вы ошиблись номером, тот вежливо извиняется и старается завязать ни к чему не обязывающую беседу. Сообщение за сообщением, у жертвы с мошенником завязываются постоянные отношения.

Тут надо заметить, что часто мошенники специально подбирают жертв таким образом, чтобы повысить на это шансы. То есть ищут неплохо обеспеченных, но одиноких и уязвимых людей, которые могут быть совсем не против того, чтобы завести общение с дружелюбным незнакомцем. На этом этапе цель мошенника состоит в том, чтобы построить с жертвой как минимум дружеские отношения, а в идеале — романтическую связь.

Тем самым мошенник втирается в доверие к жертве и усыпляет ее бдительность. Как уже было сказано выше, мошенники обычно никуда не торопятся и тратят на общение с жертвой много времени, что нехарактерно для сетевых обманщиков. Так что, если даже у жертвы на первых порах возникают какие-то подозрения, они успевают развеяться.

Развитие сюжета: возможность выгодно инвестировать

Однако рано или поздно мошенник каким-либо образом направляет беседу в ту сторону, в которую ему требуется, — то есть к финансовым темам. Конкретные подходы тут могут быть разными, но общая суть сводится к тому, что мошенник аккуратно представляет жертве возможность выгодно инвестировать деньги.

Это могут быть классические инструменты вроде акций, облигаций, фьючерсов и опционов. Но в последнее время это чаще всего связано с какими-нибудь «перспективными» криптовалютными проектами. Общая сложность и непрозрачность темы вместе с легкостью движения средств делают крипту идеальной средой для подобного мошенничества.

На этом этапе жертва может встревожиться и заподозрить неладное. Однако мошенник быстро ее успокаивает: никакие деньги ему лично или кому-то с ним связанному переводить не надо. Жертве достаточно просто создать аккаунт на торговой площадке и попробовать внести туда немного денег, чтобы посмотреть, как это работает.

Кульминация: невероятные прибыли и внесение новых денег

Важная деталь схемы Pig Butchering состоит в том, что на всех ее этапах мошенник старательно поддерживает у жертвы иллюзию контроля. Жертва самостоятельно создает аккаунт на трейдинговой площадке и может самостоятельно же выбирать, чем там торговать. Мошенник лишь дает ненавязчивые советы, помогая сделать все быстрее и проще — и, конечно же, максимально выгодно.

Советы на тему трейдинга, которые дает мошенник, оказываются удачными — кто бы сомневался. Жертва быстро получает на трейдинговой площадке первую прибыль, входит в азарт и начинает вносить на депозит все новые суммы, чтобы зарабатывать еще больше.

Развязка: мошенник исчезает с деньгами

Но, конечно же, рано или поздно наступает развязка. Происходит это обычно в тот момент, когда на счету набирается достаточная сумма. Как вариант, мошенник может доить жертву вплоть до того момента, когда та пытается вывести деньги с площадки.

Тут-то жертве и открывается правда: выясняется, что трейдинговая платформа была фейковой, а все полученные ею невероятные прибыли — нарисованными. Ну а настоящие деньги, естественно, давно исчезли в неизвестном направлении. На этом этапе мошенник перестает общаться с жертвой, удаляет использованные для развода аккаунты и растворяется в тумане.

Жертва остается без денег, причем обычно совсем не маленьких: часто украденные мошенниками суммы доходят до десятков или даже сотен тысяч долларов — а то и миллионов.

Мошеннические фермы в Юго-Восточной Азии

Как вы уже могли понять из описания Pig Butchering, у этой схемы есть несколько ключевых отличий от большинства мошеннических операций. Во-первых, преступники хорошо подготовлены — у них есть эффективные инструменты для обмана своих жертв. Во-вторых, они никуда не торопятся и готовы долго обрабатывать один объект, постепенно подводя к неминуемой развязке. В-третьих, речь идет о действительно крупных суммах, то есть долгий период обработки окупается.

Секрет такой эффективности заключается в том, что в подавляющем большинстве случаев за Pig Butchering стоят не отдельные злоумышленники, а крупные преступные группировки. Эти организации содержат огромные мошеннические «фермы», чаще всего расположенные в наименее благополучных странах Юго-Восточной Азии. Такие фермы есть в Лаосе и на Филиппинах, но основными лидерами по количеству ферм являются Камбоджа и в первую очередь Мьянма, в которой уже не первый год идет гражданская война.

KK Park: одна из крупнейших мошеннических ферм

Одна из крупнейших скам-ферм, на которых занимаются «забоем свиней», — KK Park. На этой ферме, расположенной в Мьянме у самой границы с Таиландом, работает более 2000 человек. Источник

Предприятия эти по-настоящему масштабные: скажем, в прошлогоднем репортаже об одной из крупнейших мошеннических ферм, называющейся KK Park, говорилось о том, что на ней работает более 2000 человек, и она даже удостоилась собственной статьи в Википедии. Причем фермы все время расширяются, и, конечно же, открываются новые.

Вообще говоря, эти мошеннические фермы было бы вернее называть трудовыми лагерями — и это, пожалуй, самая печальная деталь данной схемы. Дело в том, что рядовые операторы Pig Butchering, которые непосредственно общаются с жертвами, обычно занимаются этим совсем не по своей воле.

Владельцам мошеннических предприятий требуются достаточно высококвалифицированные сотрудники: хорошо эрудированные, со знанием языков и уверенными навыками общения в Сети. Несложно догадаться, что такие люди в джунглях Мьянмы и Камбоджи сами по себе не возникают. Как правило, это граждане других государств, которых заманивают обещанием высокооплачиваемой работы — операторами кол-центров, SMM-специалистами, переводчиками или айтишниками.

Строительство нового корпуса фермы KKII

Скам-фермы постоянно расширяются: на фотографии, снятой 1 июля 2023 года, показано строительство нового здания в KKII, более новой части KK Park. Скорее всего, сейчас оно уже достроено. Источник

Обычно новые работники мошеннических ферм сперва попадают в соседний Таиланд, из которого их вывозят в Мьянму или Камбоджу. Там их транспортируют в лагерь, расположенный вдали от крупных населенных пунктов, и отбирают документы. Далее эти люди становятся, по сути, рабами: их заставляют работать по 12–16 часов в сутки буквально за еду, широко используют по отношению к ним насилие, а иногда даже перепродают другим мошенникам. В 2023 году именно в такое рабство к мошенникам попала пара россиян.

Общий масштаб проблемы крайне серьезен. В прошлогоднем докладе Управления верховного комиссара ООН по правам человека со ссылкой на надежные источники приведены вот такие цифры: на мошеннических фермах в Мьянме задействовано не менее 120 000 человек и еще примерно 100 000 человек — в Камбодже.

Как защититься от Pig Butchering

Точные суммарные потери жертв схемы Pig Butchering сложно посчитать, поскольку это глобальная проблема, — мошенники атакуют граждан разных стран. Кроме того, далеко не все пострадавшие сообщают о произошедшем с ними. Однако достаточно будет и примерных оценок — объем индустрии, сложившейся вокруг мошеннической схемы Pig Butchering, оценивают в миллиарды долларов.

Поскольку дело прибыльное, нет никакой надежды на то, что проблема рассосется сама собой. Равно как нет надежды и на то, что ее решат власти Камбоджи и Мьянмы — им, мягко говоря, немного не до того. Поэтому о защите себя и своих близких, увы, придется позаботиться самостоятельно. Вот что мы тут можем посоветовать:

  • Относитесь осторожно к случайным онлайн-знакомствам, даже если человек общается с вами достаточно долго и вроде бы не похож на обманщика.
  • Не вкладывайтесь бездумно в непонятные инвестиционные схемы, даже если вам демонстрируют их якобы высокую прибыльность.
  • Особенно это касается криптовалюты — в силу специфики данной сферы количество обманщиков в ней, к сожалению, очень высоко. И что также важно, все операции в блокчейне необратимы и никем не застрахованы.
  • Помните о золотом правиле инвестиций: чем выше потенциальная прибыль — тем выше риск. Никогда не вкладывайте в рискованные схемы те деньги, которые не готовы потерять.
  • Расскажите своим родным и близким об этой мошеннической схеме — не исключено, что это поможет защитить их от потери денег и психологической травмы, которая неизбежна в результате такого масштабного обмана.
]]>
full large medium thumbnail
Как злоумышленники обманывают женщин 8 Марта | Блог Касперского https://www.kaspersky.ru/blog/international-womens-day-scam-2024/37095/ Thu, 07 Mar 2024 12:11:13 +0000 https://www.kaspersky.ru/blog/?p=37095 Международный женский день отмечают в разных странах мира по-разному, но в этот день к женщинам, вне зависимости от их происхождения, уровня заработка или политических убеждений, приковано внимание всего мира — и, разумеется, мошенников. Предпраздничная лихорадка для злоумышленников — отличный повод заработать, и вот они с утроенной скоростью отправляют ссылки на поддельные сайты, генерируют сотни тысяч фейковых промокодов и обещают ценные подарки за любую покупку.

Сегодня расскажем, как женщинам не попасться на удочку мошенников накануне праздника.

Фейковые подарки от маркетплейсов

Согласно статистике, женщины куда чаще мужчин закупаются в онлайн-маркетплейсах: 43% против 32%. По той же причине женщины чаще становятся целью промокампаний, которых в преддверии любого праздника становится невероятно много. К сожалению, эти кампании далеко не всегда легальны и организованы теми брендами, от лица которых рассылаются предложения неслыханной щедрости.

Уже несколько лет подряд накануне 8 Марта девушки получают сообщения в WhatsApp якобы от Amazon с предложением получить ценный подарок: «Розыгрыш призов от Amazon в честь праздника — более 10 000 бесплатных товаров!». Для участия в акции нужно пройти по ссылке и заполнить небольшой опрос, а после разослать сообщение нескольким десяткам друзей и подтвердить свою личность по электронной почте. Конечно же, заполнившие опрос не получают ни модных смартфонов, ни фенов для сушки волос, ни ноутбуков. Вместо этого, как отмечают исследователи, устройства жертв могли быть скомпрометированы: злоумышленники могли получить доступ к камере, микрофону, банковским приложениям, контактам и галерее.

При этом многие бренды на самом деле активно используют мессенджеры и почту для распространения акционных предложений, и Amazon не исключение. Поэтому, если вам пришло подобное сообщение, сначала проверьте его: особенное щедрое предложение, наличие грамматических ошибок, странный адрес отправителя и призывы срочно перейти по ссылке, «пока все не закончилось», могут означать, что оно отправлено злоумышленниками. Помните правила безопасного онлайн-шопинга и используйте надежную защиту, чтобы быть уверенными, что вы действительно переходите на официальный сайт, а не на его подделку.

«Цветы для наших постоянных клиенток!»

Традиция дарить цветы 8 Марта появилась после того, как итальянские борцы за права женщин в 1946 году выбрали букет мимозы в качестве символа стойкости, устойчивого роста и солидарности. До сих пор девушки ежегодно в этот праздник получают цветы от друзей и близких. Этот милый способ порадовать человека используют в том числе мошенники.

Накануне Международного женского дня злоумышленники обещают прислать цветы в подарок, уточняя, что получателю нужно будет всего лишь оплатить доставку. После того как жертва соглашается на сделку, ей приходит сообщение в мессенджере со ссылкой на оплату. Разумеется, сделав все по инструкции, жертва не получит никаких цветов, а номер «администратора цветочного салона» будет почему-то недоступен.

Вся эта история относится к привычному мошенничеству с доставками, которое мы подробно разбирали ранее. В этом случае можно считать потерянными и деньги за доставку, и данные банковской карты, с которой впоследствии могут исчезнуть уже куда более крупные суммы. Чтобы такого не произошло, мы рекомендуем золотое правило: не платите ни за один подарок. Ведь на то он и подарок, чтобы быть для вас бесплатным. Если цветочный магазин, студия маникюра или спа-салон — внезапно — и впрямь захотят порадовать вас цветами, убедитесь, что они не потребуют с вас за это ни копейки.

«Все, что вы скажете, может быть использовано против вас»

Вы наверняка слышали о «правиле Миранды»: все, что вы скажете, может быть использовано против вас. Оно применимо не только к реальной жизни, но и к виртуальной. Дело в доксерах — людях, которые собирают максимально подробную информацию о своей жертве, причем ту, которую сама жертва и опубликовала, и, например, угрожают опубликовать ее в открытом доступе. Такой вид угроз называют доксингом.

Особенно уязвимы перед доксерами девушки. Злоумышленник может использовать собранные данные жертвы для кетфишинга — создания фейковой личности с именем, лицом и прочими персональными данными жертвы для последующих афер в соцсетях или приложениях для знакомств. Или же может попросту терроризировать сообщениями, звонками, фейковыми доставками и даже ложным вызовом полиции (swatting). Так, по рассказам популярной стримерши Amouranth (более 6,3 млн подписчиков в Twitch), доксеры несколько раз в месяц вызывают полицию к ней домой.

Стримерша Wolfabelle столкнулась с другим видом доксинга: недоброжелатель выяснил ее адрес и пригрозил опубликовать его, если она не окажет ему сексуальные услуги. Злоумышленник даже отправил ей собственноручно сделанную фотографию ее дома, чтобы показать серьезность намерений.

К счастью, подобные истории можно предотвратить. Если коротко, то для этого нужно: не делиться своей геопозицией, тщательно фильтровать данные о себе в поисковой выдаче, не публиковать персональную информацию в соцсетях или же закрыть свои профили. А о том, что делать, если вы уже стали жертвой доксинга, мы рассказали в другом посте.

Как же безопасно провести 8 Марта?

  • Будьте внимательны при участии в акциях. Розыгрыши и подарки — это здорово, но как только вас просят что-либо оплатить или разослать ссылку друзьям, то почти наверняка вы имеете дело с мошенниками.
  • Не переходите по подозрительным ссылкам из сообщений. Ознакомьтесь с нашей подробной инструкцией по защите от фишинга и помните, что накануне любого праздника активность злоумышленников резко увеличивается.
  • Публикуйте информацию о себе только в закрытых профилях соцсетей. Этот лайфхак если не полностью, то хотя бы частично обезопасит вас от доксинга. И не забывайте тщательно фильтровать подписчиков и френдов, которые могут получить доступ к вашему профилю.
  • Используйте комплексную защиту, которая предотвратит переходы на фишинговые и мошеннические сайты, позаботится о защите ваших платежных и личных данных и предупредит кражу цифровой личности.
]]>
full large medium thumbnail
Защищаем защиту дома | Блог Касперского https://www.kaspersky.ru/blog/protecting-from-wifi-camera-jamming-and-other-burglar-tricks/37087/ Tue, 05 Mar 2024 09:55:06 +0000 https://www.kaspersky.ru/blog/?p=37087 Недавно полицейское управление города Эдина разместило весьма примечательное предупреждение горожанам: по результатам расследования девяти квартирных краж полицейские пришли к выводу, что воры подавляют связь Wi-Fi в квартире. Это делается, чтобы умные камеры видеонаблюдения в доме не могли предупредить владельцев об опасности и передать им видео с инцидентом. Возможно ли такое технологичное ограбление? Да. Есть ли другие способы атаковать умные системы защиты дома? Несомненно. Что с этим делать? Сейчас расскажем!

Беззащитные защитники

Устройства, предназначенные для безопасности, будь то замки, камеры, сигнализации и так далее, казалось бы, должны быть максимально надежно защищены от враждебных действий всех видов. Их же будут целенаправленно атаковать, чтобы вывести из строя! На практике, к сожалению, производители не всегда предусмотрительны. Они допускают самые разные ошибки: в умных замках делают недостаточно надежной механическую часть, в камерах передают видеопоток в открытом виде, позволяя просматривать его посторонним или даже вмешиваться в него, в сигнализациях плохо защищают каналы управления. Это — в дополнение к прочим уязвимостям умного дома, о которых мы пишем уже много лет.

Что еще печальней, многие устройства уязвимы к двум простейшим атакам: нарушение питания и нарушение связи.

Нарушить работу Wi-Fi в доме можно разными способами — от грубого глушения всего частотного диапазона радиоволн до более узкоспециализированных атак на конкретную сеть или клиента Wi-Fi. Обойтись без возни с радио тоже можно. Интернет обычно подключен в квартире одним из четырех легко узнаваемых кабелей: оптоволоконный, телефонный, витая пара (Ethernet) или телевизионный коаксиальный. Надежно нарушить связь можно, просто обрезав эти кабели.

Ну а если питание всей системы безопасности основано на электросети без резервных источников, то, просто обесточив квартиру, можно спокойно преодолеть умную защиту.

Повышаем эффективность защиты

Большую часть проблем, описанных в предыдущем разделе, можно решить. Как и с любыми мерами безопасности, все приемы не гарантируют 100% защиты, но значительно снизят вероятность успешного ограбления.

Выбираем правильную технику. Обо всем вышенаписанном лучше всего позаботиться еще до покупки охранных и защитных систем. Так вы сможете учесть дополнительные требования к технике:

  • наличие автономного питания,
  • возможность передачи информации без Wi-Fi,
  • достаточный уровень механической защищенности,
  • соблюдение производителем высоких стандартов кибербезопасности.

Первые два требования прекрасно сочетаются в камерах, работающих с помощью технологии PoE (Power over Ethernet). По единому кабелю передается и информация, и электропитание. Вам остается купить либо роутер или концентратор с поддержкой PoE, либо отдельный конвертер PoE и подключить его к электросети через источник бесперебойного питания (ИБП). Благодаря этому и Интернет в квартире, и работоспособность камер и датчиков, и их связь с роутером окажутся устойчивы к отсутствию электропитания и помехам Wi-Fi.

Если вариант с кабелями Ethernet, проложенными по квартире, не подходит, можно рассмотреть камеры, имеющие автономное питание (аккумуляторы), на худой конец — подключить камеры через мощный powerbank. Это защитит от отключений электричества, но проблема со зловредными помехами Wi-Fi останется. Для ее преодоления можно выбрать устройства, работающие по 3G, 4G, 5G. Стоит учесть, что они обычно предназначены для домов, а не квартир, поэтому часто имеют уличное исполнение: с влагостойким кожухом, дальнобойной ИК-подсветкой и так далее.

У многих камер есть возможность записи на SD-карту, но это мало чем поможет в оперативном реагировании на инцидент.

Достаточный уровень механической защищенности в первую очередь важен для замков, но отчасти актуален и для камер, дверных звонков и датчиков, которые находятся в прямом доступе у злоумышленника. Оценить степень такой защиты перед покупкой сложно, но можно поискать в Интернете как обзоры с тестами на реальную взломостойкость и вандалоустойчивость, так и отзывы покупателей.

Оценить уровень кибербезопасности конкретной камеры или дверного звонка тоже нелегко: придется подробно изучить сайт производителя, его репутацию в части техподдержки и выпуска обновлений. Некоторые полезные советы на эту тему мы давали ранее.

Внедряем дублирование. Даже если техника уже куплена, некоторые дополнительные меры помогут улучшить защиту дома. Интернет-канал очень желательно резервировать. В зависимости от ситуации резервный канал может быть запущен либо через 4G-модем, либо с помощью второго проводного соединения и второго роутера. Главная сложность — настроить роутер и остальную технику так, чтобы связь автоматически переключалась на резервный канал при отключении основного. В некоторых роутерах это несложно, функция так и называется, резервный канал, в некоторых — вообще невозможно. Разумеется, обоим роутерам (если их два) потребуется питание через ИБП. Если у вас еще нет бесперебойного питания, самое время исправить это упущение.

Если дублирование интернет-канала и автоматическое переключение на уровне роутера обеспечить сложно, в качестве относительно простой альтернативы можно установить дублирующую камеру: одна работает через основной канал Интернета, другая — через резервный.

Защищаемся от кибератак. Чтобы усложнить целенаправленные атаки на защитные устройства, важно соблюдать правила кибербезопасности, о которых мы уже не раз писали: защищать роутер, выбирать надежные пароли от Wi-Fi, регулярно обновлять прошивки умных устройств и роутера, использовать комплексное защитное решение для всех компьютеров, смартфонов и умных устройств в домашней сети.

]]>
full large medium thumbnail
Как хранить историю местоположений в Android в 2024 году | Блог Касперского https://www.kaspersky.ru/blog/google-location-history-security-2024/37075/ Fri, 01 Mar 2024 11:04:02 +0000 https://www.kaspersky.ru/blog/?p=37075 Среди регулярно звучащих обвинений в адрес корпорации Google одно особенно тревожит пользователей — компания может следить за местоположением всех владельцев Android-смартфонов (и отчасти Apple-смартфонов). Предыдущий опыт подсказывает, что Google действительно это делает, не только применяя эти данные для показа рекламы, но и сохраняя их в виде истории перемещений и даже выдавая их правоохранительным органам. Теперь Google обещает, что история местоположений будет храниться только на устройстве. Верим?

Что не так с историей местоположений?

Функция location history (история местоположений) позволяет легко увидеть, где и когда бывал пользователь. Использовать ее можно разными способами: вспомнить название пляжа или ресторана, где был в отпуске два года назад, найти адрес, который часто посещает супруг после работы, рекомендовать новые бары на основании ранее посещенных, видеть, в каком цветочном магазине заказан букет-сюрприз на праздник, и так далее. Как полезные, так и вредные для владельца смартфона — точнее, аккаунта Google — способы применения встречаются очень часто. Неудивительно, что многие люди, не исключая имеющих безупречный моральный облик и строго соблюдающих закон, хотят отключить эту опцию.

К сожалению, в прошлом компанию Google неоднократно ловили на злоупотреблении этой настройкой. Даже если явно отключить историю местоположений, она собиралась под другим именем — в виде «активности в вебе и приложениях». Это привело к череде исков против Google, и компания их проиграла. В 2023 году она выплатила $93 млн по одному иску, а годом ранее — $392 млн по другому. Для корпорации с оборотом в сотни миллиардов это ничтожная сумма, но существенно то, что суд обязал Google пересмотреть свои практики отслеживания местоположения.

Видимо, это юридическое и пиар-давление привело к тому, что в конце 2023 года было анонсировано радикальное изменение — теперь, по словам Google, история собирается и хранится только на устройствах пользователей. Стала ли эта функция безопасней?

Как (предположительно) работает история местоположений в 2024 году?

Начнем с того, что вам нужно проверить, обновилась ли эта функция конкретно на вашем устройстве. Как обычно у Google, обновления на миллиардную базу Android-устройств публикуются поэтапно и только для относительно свежих версий Android. Поэтому, если предупреждение, аналогичное изображенному ниже, у вас не появлялось, весьма вероятно, что эта функция не обновлена и включение истории местоположений приведет к ее сохранению на серверах Google.

Если Google явно не предупредил вас о хранении истории местоположений на устройстве, вероятнее всего, она продолжит сохраняться на серверах Google

Если Google явно не предупредил вас о хранении истории местоположений на устройстве, вероятнее всего, она продолжит сохраняться на серверах Google

Если же ваша история местоположений теперь хранится локально, то в приложении «Карты» должны появиться функции централизованного управления «местами». Выбрав точку на карте — например, кафе — и открыв его описание, вы сразу увидите все предыдущие посещения этого места, все сеансы поиска этой точки на карте и так далее. Одним нажатием кнопки прямо из карточки места можно удалить всю активность, связанную с этой геолокацией.

Google обещает, что по умолчанию история для каждого места хранится в течение трех месяцев, а затем удаляется. Чтобы изменить это или отключить сбор истории, достаточно нажать на синюю точку, символизирующую ваше местоположение, и отключить сбор истории во всплывающем окне.

Настройка параметров хранения истории местоположений и ее отключение

Настройка параметров хранения истории местоположений и ее отключение

Очевидным недостатком офлайн-хранения истории местоположений становится ее недоступность на других устройствах того же пользователя. Для того чтобы устранить этот недостаток, Google предлагает хранить резервную копию истории на своих серверах, но в зашифрованном виде.

Важно помнить, что сейчас мы описываем новую реализацию истории местоположений со слов Google, и после детального анализа работы этой схемы могут проявиться подводные камни и нюансы, пока никому, кроме разработчиков Google, не известные.

Какие угрозы устраняет это обновление?

Хотя новый метод хранения повышает конфиденциальность информации о местоположении, его нельзя назвать универсальным решением всех существовавших проблем. Как он влияет на разные сценарии гипотетических угроз?

  • Отслеживание в целях рекламы. Скорее всего, влияния никакого не будет — Google может продолжать собирать информацию о том, в каких местах вы бываете, в деперсонализированном и обобщенном виде. Рекламу, привязанную к текущему или прошлому местоположению, вы все равно будете получать, пока не отключите ее или ее таргетинг целиком. Кроме того, стоит помнить, что рекламно-шпионские инструменты слежки за местоположением есть не только у Google, — этим злоупотребляют и другие приложения и сервисы (раз, два, три).
  • Злые хакеры и кибершпионы. Эти группы злоумышленников обычно используют коммерческие программы для шпионажа (stalkerware) или вредоносные импланты, поэтому для атакующих изменения в работе истории местоположений Google мало что изменит.
  • Ревнивый партнер или слишком любопытный родственник. Следить за историей местоположений с помощью компьютера, на котором вы зашли в свой аккаунт Google, станет сложнее. А вот потихоньку подглядеть в разблокированный телефон по-прежнему возможно, равно как и тайком установить на смартфон коммерческий шпионский софт, все тот же stalkerware. Поэтому здесь критически важны не обновления Google Maps, а общие меры по защите смартфонов от мобильных шпионов.
  • Правоохранительные органы. Скорее всего, здесь будет мало изменений, ведь полиция может запросить ваше местоположение не только у Google, но и у сотового оператора, а также получить его на основе данных с многочисленных камер наблюдения — так будет и проще, и быстрее.

Получается, обновление не так уж сильно поможет приватности пользователей? Увы, это так.

Как эффективно защитить данные о своем местоположении?

Защититься от сбора данных о своем местоположении в наши дни можно лишь с помощью довольно радикальных способов. Перечислим их по мере возрастания радикальности.

]]>
full large medium thumbnail
VoltSchemer: атаки на беспроводную зарядку с помощью источника питания | Блог Касперского https://www.kaspersky.ru/blog/voltschemer-attack-wireless-chargers/37060/ Wed, 28 Feb 2024 08:35:24 +0000 https://www.kaspersky.ru/blog/?p=37060 Группа ученых из Флоридского университета опубликовала исследование, посвященное семейству атак с использованием беспроводных зарядок стандарта Qi, которое они назвали VoltSchemer. В нем они подробно описали, как устроены эти атаки, почему они вообще возможны и каких результатов им удалось добиться.

Рассказываем о главных находках ученых. А в конце немного поговорим о том, что все это значит с практической точки зрения и стоит ли опасаться того, что кто-нибудь «поджарит» ваш смартфон с помощью беспроводной зарядки.

Основная идея атак семейства VoltSchemer

Cтандарт Qi на сегодняшний день является доминирующим: его поддерживают все современные беспроводные зарядки и смартфоны, которые умеют от таких зарядок заряжаться. Атаки VoltSchemer эксплуатируют две фундаментальные особенности этого стандарта.

Первая особенность связана с тем, что смартфону и беспроводной зарядке нужно каким-то образом обмениваться информацией для того, чтобы координировать процесс зарядки аккумулятора. Для этого стандартом Qi предусмотрен коммуникационный протокол, в котором для передачи сообщений используется то единственное, что связывает зарядку и смартфон, — магнитное поле.

Вторая особенность: беспроводные зарядки предполагают неограниченное общественное использование. Любой смартфон можно положить на любую беспроводную зарядку без какого-либо предварительного спаривания, и процесс зарядки аккумулятора начнется немедленно. Поэтому в коммуникационном протоколе стандарта Qi не предусмотрено использование шифрования — все команды передаются в открытом виде.

Из второй особенности следует, что на общение зарядки и смартфона можно провести атаку Man-in-the-Middle — то есть влезть в их коммуникацию, чтобы перехватывать сообщения и отправлять собственные. А благодаря первой особенности сделать это не так уж сложно: чтобы посылать вредоносные команды, достаточно научиться управлять магнитным полем так, чтобы имитировать сигналы стандарта Qi.

Атака VoltSchemer: вредоносный адаптер питания

Для большей наглядности исследователи выполнили вредоносный адаптер питания в виде накладки на обычную настенную USB-розетку. Источник

Собственно, это и сделали исследователи: они соорудили «вредоносный» адаптер питания, замаскированный под настенную USB-розетку, который позволил им создавать точно настроенные шумы напряжения. Тем самым исследователи получили возможность отправлять беспроводной зарядке собственные команды, а также заглушать Qi-сообщения, отправленные смартфоном.

Таким образом, для атак семейства VoltSchemer не требуются никакие модификации ни «железа», ни прошивки самой беспроводной зарядки. Все, что нужно, — это разместить в подходящем месте вредоносный источник питания.

Далее ученые исследовали те возможности, которые все это может дать потенциальному атакующему. То есть рассмотрели различные векторы атаки, которые с некоторой натяжкой можно считать «практическими» в этом контексте, и проверили их осуществимость на практике.

Атака VoltSchemer: общая схема и векторы атаки

VoltSchemer не предполагает никаких модификаций непосредственно беспроводной зарядки — для атаки достаточно использовать вредоносный источник питания. Источник

1. Беззвучные команды голосовым помощникам Siri и Google Assistant

Первое, что рассмотрели исследователи, — это возможность отправки через беспроводную зарядку беззвучных голосовых команд встроенному в заряжающийся смартфон голосовому помощнику. Этот вектор атаки исследователи подсмотрели у своих коллег из Гонконгского политехнического университета, назвавших эту атаку Heartworm.

Атака Heartworm: общая идея

Общая идея атаки Heartworm, позволяющей отправлять беззвучные команды голосовому помощнику смартфона, используя магнитное поле. Источник

Идея тут в том, что микрофон смартфона преобразует звук в электрические колебания. Соответственно, можно сымитировать эти электрические колебания в микрофоне, минуя стадию собственно звука и работая сразу с электричеством. Для борьбы с проблемами такого рода производители микрофонов используют электромагнитное экранирование — клетки Фарадея. Однако тут есть важный нюанс: если с электрической составляющей эти экраны справляются хорошо, то вот для магнитного поля они вполне проницаемы.

Совместимые с беспроводными зарядками смартфоны, как правило, оборудованы ферритовым экраном, защищающим от магнитного поля. Но этот экран есть только в непосредственной близости от индукционной катушки и не закрывает микрофон. Таким образом, микрофоны современных смартфонов очень даже уязвимы для атак с помощью устройств, которые способны манипулировать магнитным полем, — а беспроводные зарядки как раз и представляют собой такие устройства.

Атака Heartworm: отсутствие защиты в современных смартфонах

Микрофоны современных смартфонов не защищены от манипуляций с помощью магнитного поля. Источник

Авторы VoltSchemer добавили к уже известной атаке Heartworm возможность влиять на микрофон заряжающегося смартфона с помощью «вредоносного» источника питания. Их предшественники, разработавшие оригинальную атаку, использовали для этого специально модифицированную беспроводную зарядку.

2. Перегрев заряжающегося смартфона

Далее исследователи проверили, можно ли с помощью атаки VoltSchemer перегреть заряжающийся на атакованной зарядке смартфон. В нормальной ситуации при достижении нужного уровня заряда аккумулятора или повышении температуры до порогового значения смартфон может отдать команду прекратить процесс зарядки.

Однако исследователи смогли использовать VoltSchemer для того, чтобы заглушить эти команды. Не получив команду отключения, атакованная зарядка продолжает отправлять смартфону энергию, постепенно его нагревая, а тот ничего не может с этим поделать. В смартфонах на такой случай предусмотрены экстренные механизмы защиты, направленные на то, чтобы избежать перегрева: сначала смартфон закрывает приложения, а если и это не помогает, то полностью выключается.

Атака VoltSchemer: перегрев заряжающегося смартфона

С помощью атаки VoltSchemer исследователям удалось нагреть заряжающийся на беспроводной зарядке смартфон до температуры 178°F — примерно 81°C. Источник

Таким образом исследователи смогли нагреть смартфон до температуры 81°C — что довольно опасно для аккумулятора и в особенно неудачных обстоятельствах может привести к его воспламенению.

3. «Поджаривание» устройств и предметов

Далее исследователи рассмотрели возможность «поджаривания» разнообразных посторонних устройств и предметов. Разумеется, в нормальной ситуации беспроводная зарядка не должна включаться, если ей не поступит команда от положенного на нее смартфона. Однако атака VoltSchemer позволяет отдать такую команду в произвольный момент времени — и попросить зарядку не останавливаться.

Что произойдет с предметами, которые случайно оказались в этот момент лежащими на зарядке? Естественно, ничего хорошего. Например, исследователи смогли нагреть скрепку для бумаг до температуры 280°C — этого было бы достаточно для того, чтобы поджечь скрепленные ею документы. Также они смогли насмерть поджарить ключ от автомобиля, USB-флешку, SSD-накопитель и RFID-чипы, которые встраивают в банковские карты, офисные пропуска, проездные, биометрические паспорта и тому подобные документы.

Атака VoltSchemer: поджаривание посторонних предметов и устройств

Также с помощью атаки VoltSchemer исследователи смогли вывести из строя ключи от автомобиля, USB-флешку, SSD-накопитель и несколько карточек с RFID-чипами, а также нагреть скрепку до температуры 536°F — 280°C. Источник

Всего исследователи рассмотрели 9 разных моделей продающихся в магазинах беспроводных зарядок, и все они оказались уязвимы для атак VoltSchemer. Как легко догадаться, максимальную опасность представляют модели с наиболее высокой мощностью — именно с их помощью исследователям удалось добиться серьезных повреждений и самого высокого перегрева смартфона.

Стоит ли бояться атаки VoltSchemer в реальной жизни?

Защититься от VoltSchemer не так уж сложно: достаточно не пользоваться публичными беспроводными зарядками и не подключать собственную беспроводную зарядку к подозрительным USB-портам и адаптерам питания.

Но, несмотря на то что атаки VoltSchemer весьма интересны и зрелищны, их практическая применимость крайне сомнительна. Во-первых, атаку очень сложно организовать. А во-вторых, не очень понятна потенциальная выгода для атакующего — разумеется, если он не маньяк-пироман.

А вот что это исследование демонстрирует, так это то, насколько в принципе опасны могут быть беспроводные зарядки — в особенности наиболее мощные модели. Так что избегать незнакомых беспроводных зарядок может оказаться и впрямь неплохой идеей. Взломать их вряд ли кто-то взломает, но вот опасность поджарить смартфон из-за «сошедшей с ума» и переставшей реагировать на команды зарядки вовсе не выглядит невероятной.

]]>
full large medium thumbnail
Проблемы безопасности детского робота-игрушки | Блог Касперского https://www.kaspersky.ru/blog/robot-toy-security-issue/37004/ Tue, 27 Feb 2024 15:00:33 +0000 https://www.kaspersky.ru/blog/?p=37004 Эксперты «Лаборатории Касперского» изучили безопасность популярного детского робота и нашли серьезные проблемы, из-за которых злоумышленники получали возможность сделать видеозвонок на любого робота, перехватить управление над родительским аккаунтом или — потенциально — загрузить на робота модифицированную прошивку. Рассказываем обо всем этом подробнее.

Что умеет игрушечный робот

Изученная нами модель детского робота — это своеобразный гибрид смартфона (или планшета, если угодно) и умной колонки, поставленный на колесное шасси, позволяющее ему перемещаться в пространстве. Конечностей у робота нет, так что возможность ездить по дому — единственный вариант его физического взаимодействия с окружающим миром.

Центральным элементом робота служит крупный сенсорный дисплей, на который могут выводиться интерфейс управления, интерактивные и обучающие приложения для ребенка, а также мультяшное лицо, хорошо и разнообразно анимированное. Естественно, анимация зависит от контекста — над персоной робота разработчики очень неплохо потрудились.

Также роботом можно управлять с помощью голосовых команд, но это работает далеко не со всеми функциями — часто робота все же приходится ловить и тыкать пальцем ему в лицо во встроенный дисплей.

Помимо встроенного микрофона и весьма громкого динамика, у робота есть широкоугольная камера, расположенная прямо над дисплеем. И одна из важных функций, активно рекламируемых производителем, — это возможность родителям совершать видеозвонки ребенку прямо на робота.

На передней стороне робота — примерно посередине между дисплеем и колесами — находится дополнительный оптический датчик для распознавания объектов, чтобы робот мог избегать препятствий при перемещении. Поскольку распознавание препятствий никак не зависит от основной камеры, то разработчики предусмотрели очень полезную штуку: физическую шторку, позволяющую полностью эту камеру закрыть.

Так что если вы опасаетесь, что через камеру кто-нибудь может подсматривать за вами или вашим ребенком (увы, небезосновательно, но об этом ниже), то ее можно просто прикрыть шторкой. Ну а если вы переживаете о подслушивании через встроенный микрофон, то робота можно полностью выключить — судя по тому, как долго после этого он загружается, это действительно честное отключение, а не «режим сна».

Разумеется, на стороне родителей для управления и контроля за игрушкой используется специализированное приложение. И, как вы вероятно догадываетесь, все это подключено к Интернету и под капотом задействует массу различных облачных сервисов (если вам интересны технические подробности, то их можно найти в полной версии исследования безопасности, опубликованной на Securelist).

А чем сложнее система, тем больше вероятность того, что в ней есть дыры, которые позволяют сделать с ней что-то нехорошее. И тут мы подходим к основной теме этого поста: внимательно изучив робота, мы обнаружили несколько серьезных уязвимостей.

Неавторизованные видеозвонки

Первое, что мы выяснили в процессе исследования, — злоумышленники потенциально могли совершать видеозвонки на любого робота. Сервер производителя робота позволял получить токен для установки сеанса видеосвязи, зная ID робота и идентификатор родителя. ID всех роботов состоят из девяти символов (первые два всегда одинаковы) и схожи с серийным номером, напечатанным на корпусе, поэтому их легко подобрать. А идентификатор родителя можно было получить, отправив запрос с ID робота на сервер производителя без какой-либо аутентификации.

Таким образом, злоумышленник, желающий позвонить какому-нибудь ребенку, мог либо постараться узнать ID конкретного робота, либо устроить чат-рулетку, перебирая ID и звоня на случайных роботов.

Полный перехват контроля над родительским аккаунтом

Помимо этого, благодаря излишней «доверчивости» системы можно было отправить на сервер производителя запрос, используя только ID робота, а в ответ получить массу персональных данных — IP-адрес, страну проживания, имя, пол и возраст ребенка, плюс информацию родительского аккаунта — адрес электронной почты и номер телефона родителя, а также код для привязки родительского приложения к роботу.

А это, в свою очередь, открывало возможность для куда более серьезной атаки: полного угона родительского аккаунта. Для этого злоумышленнику достаточно было удаленно выполнить несколько несложных действий.

  • Со своего устройства войти в родительский аккаунт, используя полученную электронную почту или номер телефона. Для авторизации нужно также указать одноразовый код из 6 цифр, но количество попыток его ввода не ограничено, так что подобрать код можно банальным перебором.
  • В один клик отвязать робота от настоящего родительского аккаунта.
  • Привязать его к собственному аккаунту. Для подтверждения этого действия используется тот самый код привязки, о котором мы говорили выше, — его сервер отдавал любому желающему.

После угона аккаунта родители полностью потеряли бы доступ к роботу: для его восстановления пришлось бы связаться с техподдержкой. Причем злоумышленник мог бы легко повторить всю процедуру с начала и снова угнать аккаунт, ведь все, что для этого нужно, — ID робота, который остается неизменным.

Загрузка модифицированной прошивки

Наконец, в процессе изучения механизмов работы различных систем робота мы обнаружили проблемы с безопасностью обновления его ПО. Пакеты обновлений не имели цифровых подписей, и робот без каких-либо проверок устанавливал сформированный определенным образом архив с обновлением, который ему отдавал сервер производителя.

Это давало потенциальную возможность совершить атаку на сервер обновлений, подменить архив на модифицированный и загрузить на игрушки вредоносную прошивку, позволяющую исполнять на всех роботах произвольные команды с привилегиями суперпользователя. Таким образом, в теории злоумышленники могли бы получить контроль над перемещением роботов в пространстве, использовать встроенные камеры и микрофоны для подглядывания и подслушивания, звонить на роботов и так далее.

Как оставаться в безопасности

Впрочем, у этой сказки хороший конец. Мы рассказали разработчикам игрушки об обнаруженных проблемах, они приняли меры для их исправления, и сейчас описанные уязвимости уже устранены.

Напоследок хотим дать несколько советов, как защитить себя при использовании разнообразных смарт-гаджетов.

  • Помните, что всевозможные умные устройства — это, как правило, очень сложные цифровые системы, разработчики которых далеко не всегда обеспечивают безопасное и надежное хранение пользовательских данных.
  • При выборе подобного устройства внимательно изучите его обзоры и отзывы пользователей, а в идеале — и исследования безопасности, если таковые получится найти.
  • Имейте в виду, что сам по себе факт обнаружения уязвимостей в том или ином устройстве не делает его хуже, — проблемы можно найти где угодно. Обращать внимание надо на реакцию производителя: если недостатки устранены, то это хороший знак. А вот если производитель решил на них наплевать — это плохо.
  • Чтобы избежать подсматривания и подслушивания с помощью умных устройств, стоит выключать их, когда они не используются, закрывать встроенную камеру специальной шторкой, если она есть, или заклеивать стикером.
  • И, конечно же, нужно защищать все устройства всех членов вашей семьи с помощью надежного защитного решения. Взлом детского робота — довольно экзотическая опасность, но вероятность столкнуться с другими интернет-угрозами в наше время очень велика.
]]>
full large medium thumbnail
Apple разработала новый способ защиты переписок в iMessage | Блог Касперского https://www.kaspersky.ru/blog/apple-pq3-quantum-secure-messaging/37044/ Fri, 23 Feb 2024 07:27:34 +0000 https://www.kaspersky.ru/blog/?p=37044 Широкое распространение квантовых компьютеров в ближайшем будущем может позволить хакерам расшифровывать сообщения, зашифрованные методами классической криптографии, с невиданной ранее скоростью. Решение этой возможной проблемы предложили в Apple: после ближайшего обновления «яблочных» ОС диалоги в iMessage будут защищены новым постквантовым криптографическим протоколом PQ3. Эта технология позволяет изменить алгоритмы сквозного шифрования с открытым ключом так, что они будут работать на «классических» компьютерах, но обеспечат защиту от потенциального взлома с использованием будущих квантовых компьютеров.

Как работает новый протокол шифрования и зачем он нужен — рассказываем в этой статье.

Как работает PQ3

Все популярные приложения и сервисы обмена сообщениями сегодня используют стандартные методы асимметричного шифрования с помощью пары из открытого и закрытого ключей. Открытый ключ используется для шифрования отправленных сообщений и может передаваться по незащищенным каналам. Закрытый ключ чаще всего используется для создания симметричных сессионных ключей, которыми затем шифруются сообщения.

На сегодняшний день этого уровня безопасности достаточно, но в Apple играют на опережение, опасаясь, что хакеры могут готовиться к появлению квантовых компьютеров загодя. Из-за низкой стоимости хранения данных злоумышленники могут собирать огромные объемы зашифрованных данных и хранить их до тех пор, пока их расшифровка с использованием квантовых компьютеров не станет возможна.

Для предотвращения подобных случаев Apple разработала новый протокол криптографической защиты PQ3. Теперь обмен ключами защищен с помощью дополнительного постквантового компонента. Это к тому же позволяет минимизировать количество сообщений, которые потенциально могут быть дешифрованы злоумышленниками.

Виды криптографии, используемые в мессенджерах

Виды криптографии, используемые в мессенджерах. Источник

Протокол PQ3 станет доступен пользователям в iOS 17.4, iPadOS 17.4, macOS 14.4 и watchOS 10.4. При этом переход на новый протокол будет осуществляться постепенно — сначала на этот протокол автоматически переведут все диалоги пользователей на устройствах, поддерживающих PQ3. Затем в течение 2024 года Apple планирует полностью заменить ранее использовавшийся протокол сквозного шифрования.

Стоит отметить, что Apple не первопроходцы в области обеспечения постквантовой кибербезопасности сервисов мгновенного обмена сообщениями. Так, осенью 2023 года разработчики Signal добавили в него поддержку похожего протокола PQXDH. Он обеспечивает постквантовую безопасность переписки для пользователей обновленных версий Signal при создании новых защищенных чатов.

Как появление PQ3 скажется на безопасности пользователей Apple

По сути, Apple добавляет постквантовый компонент в общую схему шифрования сообщений в iMessage. PQ3 станет лишь частью подхода обеспечения безопасности вкупе с традиционным асимметричным шифрованием ECDSA.

Но уповать исключительно на постквантовые технологии защиты не стоит. Игорь Кузнецов, руководитель Глобального центра исследований и анализа угроз «Лаборатории Касперского» (GReAT), так комментирует нововведения Apple:

«Поскольку протокол PQ3 по-прежнему использует традиционные алгоритмы подписи для аутентификации сообщений, в случае атаки «человек посередине» злоумышленник, обладающий мощным квантовым компьютером (который еще только предстоит создать), имеет шансы на успех.

Кроме того, появление нового протокола позволит обеспечить исключительно безопасность передачи сообщений. Но, как только сообщение будет получено владельцем Apple-устройства, оно может быть прочитано с экрана, извлечено после разблокировки телефона, например сотрудниками правоохранительных органов, или же вовсе похищено продвинутыми злоумышленниками с помощью Pegasus, TriangleDB или аналогичного вредоносного ПО».

Поэтому тем, кто беспокоится о защите своих данных, не стоит полагаться исключительно на современные постквантовые криптографические протоколы. Важно обеспечить всестороннюю защиту своего устройства и самостоятельно следить за тем, чтобы третьи лица не смогли получить доступ к вашим диалогам.

]]>
full large medium thumbnail
Фишинг учетных данных к ESP-провайдеру через ESP-провайдера https://www.kaspersky.ru/blog/sendgrid-credentials-phishing/37038/ Thu, 22 Feb 2024 10:01:06 +0000 https://www.kaspersky.ru/blog/?p=37038 Базы электронных адресов, по которым компании рассылают письма своим клиентам, всегда были интересной добычей для злоумышленников. Их могут использовать и для спам-рассылок, и для фишинга, и для более сложных мошеннических схем. Если в придачу к базам атакующему удается получить доступ к легитимному инструменту для организации рассылки, то это значительно повышает шансы на успех любой атаки. Ведь люди, давшие согласие на получение писем и привыкшие потреблять информацию именно таким способом, с большей вероятностью откроют привычную рассылку от компании, чем какое-то постороннее послание. Поэтому злоумышленники периодически пытаются захватить доступ к личным кабинетам компаний в сервисах ESP-провайдеров. В очередной выявленной нами фишинговой кампании они усовершенствовали свой метод и охотятся на учетные данные на сайте ESP-провайдера SendGrid, рассылая фишинговые письма непосредственно через сам SendGrid.

Почему в данном случае фишинг через SendGrid более успешен?

Среди советов, которые мы обычно даем в постах про фишинг, мы чаще всего рекомендуем внимательно смотреть на домен сайта, куда вас пытаются послать при помощи кнопки или текстовой гиперссылки. ESP-провайдеры, как правило, не позволяют вставить в письмо прямую ссылку на сайт клиента, а служат своего рода посредником — получатель письма видит внутри ссылки домен ESP-провайдера, который далее редиректит кликнувшего уже на сайт, заданный при настройке кампании по рассылке. Это делается в том числе для корректного сбора аналитики.

В данном случае текст фишингового письма написан от имени ESP-провайдера SendGrid, который якобы очень беспокоится о безопасности своих клиентов и убеждает их включить двухфакторную аутентификацию, чтобы контроль над личным кабинетом не захватили посторонние. В письме объясняются преимущества метода 2FA и дана ссылка для обновления настроек безопасности. И ведет она, как вы, вероятно, уже догадались, на какой-то адрес в домене SendGrid (где, вероятно, должен был бы располагаться сайт с настройками, если бы это письмо действительно рассылала компания SendGrid).

При этом для всех почтовых сканеров данное фишинговое письмо выглядит как абсолютно легитимная рассылка, идущая с серверов SendGrid с корректными ссылками, ведущими на домен SendGrid. Единственное, что может насторожить получателя такого письма, — адрес отправителя. Дело в том, что ESP-провайдеры подставляют туда домен реального заказчика и идентификатор рассылки. Чаще всего для фишинга используется угнанная учетная запись (новых клиентов ESP-провайдеры проверяют более тщательно, а старые, сделавшие уже не одну рассылку, имеют накопленную репутацию надежных).

Письмо якобы от SendGrid

Письмо от имени SendGrid, присланное через SendGrid, для фишинга учетной записи для сервиса SendGrid

Фишинговый сайт

На этом оригинальные трюки преступников заканчиваются. SendGrid перенаправляет кликнувшего по ссылке пользователя на обычную фишинговую страницу, имитирующую страницу входа в учетную запись. Сайт расположен на домене «sendgreds», что при беглом прочтении действительно достаточно похоже на легитимный sendgrid.

Сайт, имитирующий страницу входа SendGrid

Сайт, имитирующий страницу входа SendGrid. Обратите внимание на домен в адресной строке

Как оставаться в безопасности

Поскольку само по себе письмо выслано при помощи легитимного сервиса и не имеет характерных признаков фишингового, автоматические фильтры могут его пропустить. Поэтому для защиты пользователей компании мы всегда рекомендуем использовать решения с продвинутыми антифишинговыми технологиями не только на уровне почтового шлюза, но и на всех устройствах, имеющих выход в Интернет. В таком случае будет заблокирована попытка перехода на сайт злоумышленников.

Ну и да, в кои-то веки тут стоит прислушаться к совету злоумышленников и все-таки включить двухфакторную аутентификацию. Но не через ссылку в подозрительном письме, а в настройках на сайте ESP-провайдера.

]]>
full large medium thumbnail
Как легко перейти на Kaspersky с других защитных решений | Блог Касперского https://www.kaspersky.ru/blog/switch-to-kaspersky/37025/ Wed, 21 Feb 2024 13:38:42 +0000 https://www.kaspersky.ru/blog/?p=37025 Многие иностранные вендоры антивирусов, парольных менеджеров и иных защитных решений ограничивают или вовсе запрещают их использование в России, причем порой защита перестает работать внезапно, а уязвимости и атаки никто не отменял. Неожиданно остаться без защиты или менеджера паролей — удовольствие ниже среднего, так что мы подготовили для вас пошаговую инструкцию по переходу на Kaspersky и подарок для всех пострадавших от запретов.

По ссылке в конце поста вы можете установить нашу наиболее продвинутую защиту — Kaspersky Premium — и бесплатно использовать ее 60 дней. Это предложение по переходу от других вендоров действует до 30 апреля 2024 года, и мы даже не спросим у вас, от кого вы решили перейти к нам (сами догадываемся).

Наша защита — лучшая по версии независимых исследователей

Мы можем много писать о преимуществах нашей защиты, ее быстродействии, современном технологическом стеке и высочайшем уровне нейтрализации угроз. Но лучше нас об этом расскажут независимые тестирования, по итогам которых наши продукты и решения признаны лучшими.

Кстати, недавно наша защита для домашних пользователей получила высшую награду «Продукт года 2023» от независимой европейской тестовой лаборатории AV-Comparatives, а также первое место в категории «Защита отдельных пользователей» по итогам независимого тестирования компании SE Labs в четвертом квартале 2023 года.

Во всех трех вариантах нашей защиты — Kaspersky Standard, Kaspersky Plus и Kaspersky Premium — одинаковый стек защитных технологий, а значит, покупатели любого из этих решений могут быть уверены — они используют «Продукт года 2023».

Kaspersky —

Kaspersky — «Продукт года 2023» по версии AV-Comparatives

Как перейти на Kaspersky

Сделать это очень просто: достаточно выбрать один из трех вариантов подписки на нашем сайте, исходя из ваших потребностей. Вы можете наглядно сравнить преимущества каждой из версий. Для максимальной защиты мы рекомендуем подписку Kaspersky Premium. В нее, помимо стандартных инструментов защиты и оптимизации компьютера, входят:

Кроме того, Kaspersky Premium обеспечивает максимальную защиту вашей цифровой личности. Мы проверяем на утечки (в том числе — в дарквебе) ваши аккаунты, привязанные не только к адресам электронной почты, как в других версиях подписки, но и к номерам телефонов, — например, в интернет-банках и социальных сетях, и советуем, что нужно сделать, если такая утечка произошла. Вы можете добавить в проверку адреса e-mail и телефоны всех членов вашей семьи.

Выбирая подписку, вы можете также указать количество защищаемых устройств — от одного до десяти — и приобрести подписку на один или два года: второе, разумеется, выгоднее.

При покупке мы автоматически создадим вам аккаунт My Kaspersky для активации и управления подпиской на разных устройствах под управлением Windows, macOS, Android и iOS и пришлем инструкцию на указанный при покупке e-mail.

Подготовка к установке

Перейдите по ссылке из полученного письма на сайт My Kaspersky, завершите создание аккаунта и войдите в него. В окне с информацией о подписке нажмите на кнопку «Скачать», чтобы загрузить приложение на устройство. Для мобильных устройств вы можете также скачать наши приложения в одном из магазинов приложений — App Store, Google Play, RuStore, Huawei AppGallery и других.

Перед установкой приложения Kaspersky необходимо убедиться, что ваше устройство соответствует программным и аппаратным требованиям (Windows, macOS, Android, iOS), и удалить с устройства несовместимые защитные решения других вендоров. Многие думают, что несколько вариантов защиты на одном компьютере повышают уровень безопасности, но это не так. Наоборот, разные программы начинают конфликтовать друг с другом и бороться за ресурсы компьютера, что приводит к торможению и зависанию. Так что «должен остаться только один» — тем более что наша защита по тестам обеспечивает стопроцентную эффективность против вредоносов.

Почистить компьютер лучше всего с помощью специальных утилит, найти которые можно на сайте производителя удаляемого защитного решения. Если удалять его штатными средствами операционной системы, могут остаться «хвосты», которые приведут к конфликтам. Проще всего найти нужную утилиту, поискав в Интернете «имя_удаляемой_программы uninstall tool» (вот, например, деинсталляторы для Avast, Bitdefender, ESET, McAfee и Norton).

Установка приложения

Вы на финишной прямой. Установка приложения не вызовет у вас никаких сложностей: на компьютере процесс идет… в виде чата, привычном для любого, кто пользуется мессенджерами. Это, кстати, позволяет провести время инсталляции с пользой — изучить самые интересные возможности нового Kaspersky, а также с помощью появляющегося в процессе установки QR-кода установить приложение на свой смартфон. Ну а для любителей изучить подробности установки заранее мы собрали ссылки на инструкции по инсталляции Kaspersky для Windows, macOS, Android и iOS.

Если вы скачали приложение для компьютера из вашего аккаунта My Kaspersky или — для смартфона — по QR-коду, то после установки оно автоматически активируется подпиской. В очень редких случаях может понадобиться активировать приложение самостоятельно, войдя в свой аккаунт My Kaspersky, или же по этим простым инструкциям: Windows, macOS, Android, iOS.

Разбираемся с паролями

Обладатели Kaspersky Plus и Kaspersky Premium, помимо прочего, получают и премиум-подписку на наш менеджер паролей. В его личном зашифрованном хранилище вы можете хранить все ваши пароли, важные документы и токены для двухфакторной аутентификации, синхронизируя их между всеми вашими устройствами. И будьте уверены, что никто — даже сотрудники Kaspersky — не получит доступ к ним: AES-зашифрованное хранилище защищено главным паролем, который знаете только вы.

Установить Kaspersky Password Manager на компьютер можно в процессе инсталляции Kaspersky Plus или Kaspersky Premium, а также отдельно, скачав его с сайта My Kaspersky или магазинов приложений. Вам не придется вспоминать и вручную вводить в Kaspersky Password Manager все свои пароли — мы разработали механизм переноса паролей из браузеров и других менеджеров паролей. Краткие инструкции по импорту данных для самой популярной ОС — Windows — приведены ниже, а подробные инструкции для всех операционных систем — на сайте поддержки (для Windows, macOS, Android, iOS).

Импорт паролей из браузеров

  • Открыть главное меню Kaspersky Password Manager и нажать в нижней части окна на значок шестеренки.
  • Перейти в Настройки, после — в Импорт и экспорт.
  • В блоке Импорт данных из браузеров выбрать браузер, из которого вы хотите импортировать данные — Chrome, Firefox, Edge или Яндекс.Браузер, — и нажать на кнопку Импортировать.

Импорт паролей из других парольных менеджеров

  • Для начала вам нужно будет экспортировать данные из другого менеджера паролей в файл формата CSV. Инструкции для этого можно найти на сайте производителя (например, для Avast Passwords, Keepass, Lastpass, 1Password).
  • Открыть главное меню Kaspersky Password Manager и нажать в нижней части окна на значок шестеренки.
  • Перейти в Настройки, после — в Импорт и экспорт.
  • Нажать на кнопку Импортировать в блоке Импорт данных из других менеджеров паролей и указать файл CSV, из которого вы хотите импортировать данные.

Помимо паролей, вы можете перенести в Kaspersky Password Manager и все свои токены двухфакторной аутентификации из Google Authenticator (Android, iOS). Для этого достаточно экспортировать все токены из Google Authenticator в один большой QR-код и отсканировать его с помощью Kaspersky Password Manager на мобильном устройстве.

Токены синхронизируются между всеми вашими устройствами, поэтому вам не придется каждый раз искать смартфон при необходимости ввести 2FA-код на компьютере — вы сможете сгенерировать его прямо в десктопной версии Kaspersky Password Manager. И даже если с вашим смартфоном что-то случится, вы не потеряете доступ к сайтам, защищенным двухфакторкой, — всегда можно сгенерировать код на компьютере или восстановить токены из облака.

Чек-лист для перехода на Kaspersky

  • Выбрать одно из трех решений для домашнего использования: Kaspersky Standard, Kaspersky Plus или Kaspersky Premium.
  • Посчитать, сколько устройств вам нужно защитить, и приобрести соответствующую подписку на сайте Kaspersky, у партнеров или в магазинах приложений.
  • Удалить старые защитные решения с помощью утилит от их производителей.
  • Установить приложения Kaspersky и Kaspersky Password Manager, а при желании — и другие входящие в подписку приложения.
  • Убедиться, что приложения активировались автоматически, либо активировать их вручную (Windows, macOS, Android, iOS).
  • Импортировать пароли из других программ.
  • Изучить учетную запись My Kaspersky и найти там массу полезных и интересных фич.
  • Радоваться жизни и чувствовать себя защищенными.

Для того чтобы получить 60 дней бесплатной пробной подписки Kaspersky Premium на три устройства, до 30 апреля 2024 года перейдите по этой ссылке и укажите ваши данные. Если вам нужно защитить более трех устройств, вы можете выбрать другой вариант подписки на нашем сайте.

]]>
full large medium thumbnail
Самые масштабные атаки шифровальщиков в 2023 году | Блог Касперского https://www.kaspersky.ru/blog/ransowmare-attacks-in-2023/37006/ Tue, 20 Feb 2024 14:24:06 +0000 https://www.kaspersky.ru/blog/?p=37006 Когда-то каждый публичный инцидент с применением шифровальщиков-вымогателей приводил к оживленному обсуждению в прессе. Сейчас слово ransomware в заголовке не вызывает такого интереса — ведь атаки шифровальщиков случаются с завидной регулярностью. Между тем они остаются крайне серьезной угрозой для безопасности организаций. В этом обзоре рассмотрим наиболее громкие и масштабные инциденты, которые произошли за 2023 год.

Январь 2023: атака группировки LockBit на Королевскую почту Великобритании

Год начался с того, что группировка LockBit атаковала Королевскую почту Великобритании. В результате атаки была парализована доставка международной почты, из-за чего в системе Королевской почты застряли миллионы писем и посылок. Помимо этого, из строя вышел сайт для отслеживания доставки посылок, возможность онлайн-оплаты отправлений и некоторые другие системы.

Также в распределительном центре Королевской почты в Северной Ирландии принтеры начали массово распечатывать копии записки характерного оранжевого цвета с требованием выкупа от группировки LockBit.

LockBit ransomware требует выкуп от Royal Mail

Записка от ransomware-группировки LockBit с требованием выкупа, которую начали распечатывать принтеры в распределительном центре Royal Mail. Источник

Как это обычно и бывает в современных ransomware-атаках, LockBit также угрожали выложить в Интернете похищенные данные, если не будет выплачен выкуп. Однако Королевская почта не стала платить, так что данные в итоге были опубликованы.

Февраль 2023: ESXiArgs атакует серверы VMware ESXi по всему миру

Февраль отметился массовой автоматизированной атакой ESXiArgs ransomware на организации, использующие уязвимые серверы VMware ESXi, через RCE-уязвимость CVE-2021-21974. Несмотря на то что патч для этой дыры VMware выпустила еще в начале 2021 года, в ходе атаки были зашифрованы более 3000 серверов VMware ESXi.

В качестве выкупа вымогатели требовали чуть больше 2 биткойнов — около $45 000 на момент атаки. А для каждой отдельной жертвы генерировали новый Bitcoin-кошелек, адрес которого указывался в записках с требованием выкупа.

Записка с требованием выкупа ESXiArgs ransomware

Записка с требованием выкупа оригинальной версии ESXiArgs ransomware. Источник

Через несколько дней после начала атаки злоумышленники усовершенствовали шифровальщик, в результате чего восстанавливать зашифрованные виртуальные машины стало существенно сложнее. А чтобы их деятельность было труднее отслеживать, они перестали указывать адреса кошельков для выкупа, предлагая жертвам вместо этого связываться с операторами через p2p-мессенджер Tox.

Март 2023: группировка Clop массово эксплуатирует зиродей в GoAnywhere MFT

В марте 2023 года группировка Clop начала массово эксплуатировать в своих атаках уязвимость нулевого дня в ПО для управляемой передачи файлов Fortra GoAnywhere MFT. Данная группировка в целом известна своим пристрастием к использованию уязвимостей в подобных сервисах: в 2020–2021 годах вымогатели атаковали организации через дыру в Accelon FTA, а ближе к концу 2021 года переключились на эксплуатацию уязвимости в SolarWinds Serv-U.

Всего в ходе атак на уязвимые серверы GoAnywhere MFT пострадали более 100 организаций, включая компанию Procter & Gamble, муниципалитет Торонто и Community Health Systems — одну из крупнейших сетей больниц в США.

Карта доступных через Интернет серверов Fortra GoAnywhere MFT

Карта серверов GoAnywhere MFT, подключенных к Интернету. Источник

Апрель 2023: отключение POS-терминалов NCR Aloha из-за атаки BlackCat

В апреле произошла атака группировки ALPHV (также известной как BlackCat, по названию используемого шифровальщика) на компанию NCR, которая занимается производством и обслуживанием банкоматов, считывателей штрихкодов, платежных терминалов и тому подобной торговой и банковской техники.

В результате атаки шифровальщика на несколько дней вышли из строя дата-центры, которые были ответственны за работу платформы Aloha POS, которая используется в ресторанах, в первую очередь быстрого питания.

Платформа NCR Aloha POS

Платформа NCR Aloha POS, которую вывела из строя группировка ALPHV/BlackCat. Источник

Данная платформа по сути является единым центром цифровой деятельности заведения общепита и отвечает за все ее аспекты — от обработки платежей, приема онлайн-заказов и работы программы лояльности до управления процессом приготовления блюд на кухне и начисления заработной платы. В итоге из-за атаки шифровальщика на NCR многие заведения общепита были вынуждены переключиться на использование ручки и бумаги для решения всех этих задач.

Май 2023: атака Royal ransomware на город Даллас

В начале мая произошла атака Royal ransomware на муниципальные службы техасского города Далласа — девятого по численности населения города США. В результате атаки были, в частности, выведены из строя IT-сервисы полиции Далласа. А принтеры, подключенные к сети муниципалитета Далласа, начали распечатывать записки с требованием выкупа.

Royal ransomware требует выкуп от Далласа

Записка от Royal ransomware с требованием выкупа, которую начали распечатывать принтеры муниципалитета Далласа. Источник

Позже в том же месяце последовала еще одна атака шифровальщика на городской муниципалитет: на этот раз вымогатели из группировки BlackByte напали на город Августа в американском штате Джорджия.

Июнь 2023: массовые атаки группировки Clop через уязвимость в MOVEit Transfer

В июне группировка Clop, о которой мы уже говорили выше в связи с февральскими атаками на программное обеспечение Fortra Goanywhere MFT, начала эксплуатировать уязвимость в другом продукте для управляемой передачи файлов — Progress MOVEit Transfer. Эта дырка, CVE-2023-34362, была была обнародована и закрыта специалистами компании Progress в последний день мая, но как обычно, далеко не все клиенты вовремя накатили патчи.

Эта ransomware-атака стала одним из крупнейших инцидентов года, в результате которого пострадало множество организаций, включая нефтяную компанию Shell, департамент образования Нью-Йорка, медиакорпорацию BBC, ирландскую авиакомпанию Aer Lingus, британскую сеть аптек Boots, Университет Джорджии, немецкого производителя полиграфического оборудования Heidelberger Druckmaschinen и ряд других.

Clop ransomware требует выкуп

Объявление на сайте Clop, в котором вымогатели требуют, чтобы пострадавшие компании связались с ними для переговоров. Источник

Июль 2023: Гавайский университет заплатил выкуп группировке NoEscape

В июле Гавайский университет признал, что ему пришлось заплатить вымогателям выкуп. Сам инцидент произошел месяцем ранее, пока все были увлечены историей с атаками на MOVEit. В ходе него сравнительно новая группировка NoEscape успешно атаковала шифровальщиком одно из подразделений университета, Гавайский общественный колледж.

В результате атаки злоумышленники заполучили 65 Гбайт данных, публикацией которых они и угрожали университету. Судя по всему, эта информация включала личные данные 28 000 человек. Именно последний факт и убедил университет все-таки заплатить вымогателям выкуп.

Атака NoEscape ransomware на Гавайский университет

Запись о взломе Гавайского университета на сайте группировки NoEscape. Источник

Также стоит обратить внимание на то, что для предотвращения распространения шифровальщика сотрудникам университета пришлось временно отключить IT-системы. И даже несмотря на то, что после уплаты выкупа группировка NoEscape предоставила декриптор, восстановление IT-инфраструктуры предположительно должно было завершиться лишь через два месяца после инцидента.

Август 2023: атаки группировки Rhysida на организации в сфере здравоохранения

Август отметился атаками ransomware-группировки Rhysida на несколько организаций в сфере здравоохранения. В частности, пострадала компания Prospect Medical Holdings (PMH), управляющая 16 больницами и 165 поликлиниками в нескольких американских штатах.

По утверждениям вымогателей, в процессе взлома им удалось заполучить 1 Тбайт принадлежащих компании документов и базу данных SQL объемом в 1,3 Тбайта, в которой содержались 500 000 номеров социального страхования, паспорта и водительские удостоверения клиентов и сотрудников, истории болезней пациентов, а также финансовые и юридические документы. В качестве выкупа злоумышленники потребовали 50 биткойнов — около $1 300 000 на тот момент.

Rhysida ransomware требует выкуп

Записка от группировки Rhysida с требованием выкупа. Источник

Сентябрь 2023: атаки BlackCat на сети казино Caesars и MGM

В начала сентября появилась информация о нападении вымогателей сразу на две крупнейшие американские сети отелей-казино — Caesars и MGM. За атаками стояла группировка ALPHV/BlackCat, о которой мы уже писали выше в связи с атакой на платформу NCR Aloha POS.

В результате этого инцидента была заблокирована вся инфраструктура компаний — от системы регистрации в отелях до игровых автоматов. Интересно, что жертвы выбрали два разных варианта решения проблемы. Caesars решили заплатить вымогателям $15 000 000 — половину от изначально затребованных злоумышленниками $30 000 000.

В MGM решили не платить выкуп и самостоятельно разбираться с выведенной из строя IT-инфраструктурой. В результате на восстановление ушло 9 дней, за которые компания по собственной оценке потеряла $100 000 000, из которых только на прямые расходы, связанные с восстановлением IT-систем, ушло до $10 000 000.

Атаки BlackCat ransomware на Caesars и MGM

Caesars и MGM принадлежит больше половины казино Лас-Вегаса

Октябрь 2023: группировка BianLian шантажирует авиакомпанию Air Canada

Месяцем позже вымогатели из группировки BianLian шантажировали флагманского перевозчика Канады — авиакомпанию Air Canada. По утверждениям вымогателей, им удалось украсть более 210 Гбайт различной информации, включая данные сотрудников, конфиденциальные документы, данные поставщиков и так далее. В том числе злоумышленникам удалось выкрасть сведения, касающиеся технических нарушений и проблем безопасности авиакомпании.

BianLian шантажирует Air Canada

Страница с требованием выкупа от Air Canada на сайте ransomware-группировки BianLian. Источник

Ноябрь 2023: эксплуатация уязвимости Citrix Bleed группировкой LockBit

Ноябрь запомнился использованием уязвимости Citrix Bleed группировкой LockBit, о которой мы также успели поговорить выше. Несмотря на то что патчи для этой уязвимости были опубликованы месяцем ранее, на момент массовой атаки более 10 000 публично доступных серверов оставались уязвимыми. Этим и воспользовались вымогатели из LockBit для взлома систем нескольких крупных компаний, кражи данных и шифрования файлов.

Среди известных жертв можно отметить компанию Boeing, принадлежащие которой данные злоумышленники в итоге опубликовали, не дождавшись выплаты выкупа. Также вымогатели атаковали крупнейший в мире коммерческий банк — Промышленный и коммерческий банк Китая (ICBC).

LockBit шантажирует Boeing

Страница с требованием выкупа от Boeing на сайте LockBit

В ходе инцидента серьезно досталось австралийскому подразделению DP World — крупной логистической компании из ОАЭ, которая управляет десятками портов и контейнерных терминалов по всему миру. В результате атаки на IT-системы DP World Australia произошло серьезное нарушение логистических операций, из-за которого в австралийских портах застряли около 30 000 контейнеров.

Декабрь 2023: захват инфраструктуры ALPHV/BlackCat правоохранительными органами

Под конец года в ходе совместной операции ФБР, Департамента юстиции США, Европола и правоохранительных органов ряда европейских стран удалось лишить ransomware-группировку ALPHV/BlackCat контроля над ее инфраструктурой. Взломав ее, правоохранители сперва несколько месяцев тихо наблюдали за действиями злоумышленников, попутно собирая ключи для расшифровки данных и помогая жертвам BlackCat.

Таким образом агентствам удалось избавить от необходимости уплаты выкупа более 500 организаций по всему миру и сберечь около $68 000 000 потенциальных выплат. За этим в декабре последовал окончательный захват серверов, который положил конец деятельности BlackCat.

Конец деятельности ALPHV/BlackCat

Совместная операция правоохранительных органов по захвату инфраструктуры ALPHV/BlackCat. Источник

Попутно было обнародовано некоторое количество статистики об операциях этой ransomware-группировки. По словам ФБР, за два года своей деятельности вымогатели из ALPHV/BlackCat успели взломать более 1000 организаций, потребовать от своих жертв более $500 000 000 и получить порядка $300 000 000 выкупа.

Как защититься от ransomware-атак

С каждым годом атаки вымогателей становятся все сложнее и разнообразнее, поэтому какого-то одного универсального совета по предотвращению ransomware-инцидентов нет и быть не может. Защитные меры должны быть комплексными — в частности, следует сконцентрироваться на следующих задачах:

]]>
full large medium thumbnail
Атака KeyTrap позволяет вывести из строя DNS-сервер | Блог Касперского https://www.kaspersky.ru/blog/keytrap-dnssec-vulnerability-dos-attack/36997/ Mon, 19 Feb 2024 09:51:34 +0000 https://www.kaspersky.ru/blog/?p=36997 Группа исследователей из нескольких немецких университетов и институтов обнаружила уязвимость в DNSSEC — наборе расширений протокола DNS, которые предназначены для повышения его безопасности, в первую очередь для противодействия DNS-спуфингу.

Атака, эксплуатирующая эту уязвимость, которую они назвали KeyTrap, позволяет вывести из строя DNS-сервер, отправив ему единственный вредоносный пакет данных. Рассказываем подробнее об этой атаке.

Как работает атака KeyTrap и чем она опасна

Публично об уязвимости в DNSSEC стало известно только сейчас, однако она была обнаружена еще в декабре 2023 года и зарегистрирована как CVE-2023-50387. Ей присвоена оценка 7,5 по шкале CVSS 3.1 и уровень опасности «высокий». Полностью информация об уязвимости и соответствующей атаке пока не обнародована.

Суть KeyTrap состоит в следующем. Атакующий создает собственный DNS-сервер, отвечающий на запросы кэширующих DNS-серверов (то есть серверов, которые непосредственно обслуживают запросы клиентов) вредоносным пакетом. Далее злоумышленник заставляет кэширующий сервер запросить DNS-запись у вредоносного DNS-сервера, который в ответ отправляет криптографически подписанную вредоносную DNS-запись. При этом подпись выполнена таким образом, что в процессе ее проверки атакуемый DNS-сервер зависает на продолжительное время с загрузкой процессора 100%.

По словам исследователей, в зависимости от используемого на DNS-сервере ПО, эта атака может с помощью единственного вредоносного пакета заставить сервер зависнуть на срок от 170 секунд до 16 часов. В результате атаки KeyTrap можно не только лишить доступа к веб-контенту всех клиентов, которые пользуются выведенным из строя DNS-сервером, но и помешать работе различных инфраструктурных сервисов, таких как защита от спама, обработка цифровых сертификатов (PKI) и безопасная междоменная маршрутизация (RPKI).

Сами исследователи называют KeyTrap «самой серьезной из когда-либо обнаруженных атак на DNS-серверы». Интересно, что изъяны в логике проверки подписи, которые делают эту атаку возможной, обнаружены еще в одной из самых ранних версий спецификации DNSSEC, опубликованной в 1999 году. То есть данной уязвимости без малого четверть века.

Уязвимость CVE-2023-50387 заложена в спецификации DNSSEC еще в 1999 году

Предпосылки для KeyTrap содержатся еще в RFC-2035 — спецификации DNSSEC, опубликованной в 1999 году

Защита от KeyTrap

Исследователи уведомили всех разработчиков программного обеспечения для DNS-серверов и крупнейших публичных DNS-провайдеров. Закрывающие уязвимость CVE-2023-50387 обновления и рекомендации по безопасности уже доступны для PowerDNS, NLnet Labs Unbound и Internet Systems Consortium BIND9. Так что если вы администрируете DNS-сервер, самое время установить для него обновления.

Следует, впрочем, иметь в виду, что проблемы в логике DNSSEC, которые являются предпосылкой для атаки KeyTrap, имеют фундаментальный характер и полностью устранить их не так уж легко. Поскольку уязвимость находится в самом стандарте, а не в конкретных реализациях, выпущенные разработчиками ПО для DNS-серверов заплатки решают проблему лишь частично. По словам исследователей, «в случае атаки на запатченный DNS-сервер мы все еще получим 100% загрузки процессора, но сервер сможет отвечать клиентам».

Нельзя исключать, что эксплуатация этой уязвимости может начаться на практике, результатом чего может быть непредсказуемый выход из строя DNS-серверов. На этот случай администраторам корпоративных сетей будет полезно заранее составить список запасных DNS-серверов, чтобы можно было менять их по мере надобности, сохраняя нормальную работу сети и доступ пользователей к веб-ресурсам.

]]>
full large medium thumbnail