to post messages and comments.

← All posts tagged ИБ

Хакеры изменили курс рубля на 15% с помощью вируса:
Хакеры использовали вирус под названием Corkow Trojan. В результате атаки банк разместил в феврале 2015 года приказы более чем на $500 млн по нерыночному курсу. Действия хакера вызвали очень большую волатильность в течение шести минут, что позволило совершить сделку на покупку долларов по курсу 59,0560 и через 51 секунду продать по курсу 62,3490, говорится в обзоре.Следы, конечно, ведут в Россию :)
РБК

Scarlet Mimic: Years-Long Espionage Campaign Targets Minority Activists
Отчёт Unit 42 of Paolo Alt Network's о том, как группа хакеров охотилась на ФСБ и антипутинцев в течение 4 лет. С интересными техническими подробностями про троян, который сам себя брутфорсит и ждёт разрешения от пользователя на вредоносную активность.

Фейк-не-фейк, ХЗ, но местами очень даже на правду похоже. Тут анонимус рассказывает, как ломанул на заказ какую-то загнивающую питерскую контору и накопал всяких исходников несусветных, которые писаны криво, да косо, но при том работают якобы на объектах государственной важности: от президентской дачи до АЭС и диковинным оборудованием антидиверсионным там управляют. Красиво, живо рассказывает: с картинками, ссылками, цитатами.

В продолжение темы крупных хищений — тут хакеры обчистили уже не клиента банка, а сам банк. Даже несколько.
Преступник получал неименную платёжную карту, пополнял её и тут же снимал внесённые деньги в банкомате, запрашивая чек о проведенной операции. Далее данные о проведённых транзакциях отправлялись сообщнику (сообщникам), который имел доступ к зараженным вирусом POS-терминалам, которые зачастую находились вне России. Через терминалы, по коду операции, указанной в чеке, формировалась команда на отмену операции снятия наличных. В результате отмены операции баланс карты мгновенно восстанавливался (в процессинговой системе банка это выглядело аналогично возврату купленного товара) — и у злоумышленника появлялись «отменённые» деньги на счету.
По словам Group-IB, в результате данных действий пострадали пять неназванных крупных российских банков. Всего преступники похитили около 250 млн руб., но потенциальный ущерб оценивается более чем в 1 млрд руб. Предотвратить последующие попытки такого воровства банкам удалось лишь после разработки и внедрения совместно с платежными системами Visa и MasterCard защитных систем.
POS-терминалы были преимущественно из США и Чехии (Чешской Республики).
Криминальная активность началась летом 2014 и закончилась в первом квартале 2015.
Преступники сумели адаптировать свои схемы, делая вместо пополнения карты в банкоматах перевод средств с карты, оформленной в одном банке, на карту, оформленную в другом. Детали транзакции были использованы для «возврата», а последняя карта использовалась для снятия средств из банкомата, тем самым позволяя преступникам продолжать их мошенничество.
Было открыто несколько судебных дел в отношении виновных; «денежные мулы» были из Лондона, Украины, Латвии и Литвы.
«После первого исправления мошенники немного изменили схемы и снова совершили мошенничество.
Затем ошибка была окончательно исправлена, но никто не уверен, что схема не может быть изменена снова», — говорит Дмитрий Волков, Group-IB.
«Эта схема может повлиять на не-российские банки, но мы знаем только о российских жертвах».

Уже сравнительно не новый вектор атаки: Reflected File Download (RFD) позволяет предложить жертве загрузить что-нибудь исполняемое (в контексте винды, где для исполняемости достаточно выставить нужное расширение файлу) с доверенного домена. Забавная штука. Причем, народ не особо спешит фиксить, не признавая критичность бага и кивая на ответственность пользователей за то, что они запускают. Вот, например, свежий рабочий RFD от португальца David Sopas на гуглофинансах.

Fortinet пытается объяснить, откуда в их межсетевых экранах захардкоженные админские ssh-учётки. Получается не очень убедительно: мол, "это не бэкдор совсем, просто баг системы аутентификации. Мы тут всё потестили, никакого злого умысла там нет. Мирный баг".
Ну, вот, а такие симпатичные ребята с виду. Чистокровные американцы, в РФ прикидываются китайцами, обвешались местными сертификатами, все такие "импортозамещенные". И функционал вкусный, и спикеры толковые. А оно вона чего. Всё туда же.

Директор SANS ICS рассказывает, как неизвестные хакеры устроили блэкаут на Украине. По его версии они получили доступ к сети АСУ ТП электростанций, заразили серверы и рабочие станции малварью, обеспечили подмену значений показателей телеметрии для диспетчеров, вызвали отключение энергоснабжения и зафлудили колл-центры, чтобы отключенные абоненты не смогли дозвониться, а также — заддосили сайты энергокомпаний. В итоге — несколько часов без электроэнергии для десятков тысяч жителей.
Интересно, была ли реальная атака, или всё это только очередные игры пиарщиков?

ФСБ пресекла продажу ключевого алгоритма "Яндекса".
Как стало известно "Ъ", на днях в Москве был осужден бывший сотрудник "Яндекса" Дмитрий Коробов, похитивший у компании исходный код и алгоритмы ее основного сервиса — "Яндекс.Поиск". Интеллектуальную собственность стоимостью в несколько миллиардов рублей он пытался продать за $25 тыс. и 250 тыс. руб., которые планировал потратить на создание своего стартапа, но в момент сделки был арестован сотрудниками УФСБ России по Москве и Московской области. Утрата исходного кода, который в самом "Яндексе" оценивают как "ключевую часть компании", могла обернуться для поисковика годами судебных разбирательств, серьезными репутационными издержками и падением капитализации.
Согласно обвинительному заключению, зачитанному прокурором в ходе заседания, в марте 2015 года Дмитрий Коробов, еще работая в "Яндексе", "осуществил копирование с сервера "Яндекса" программного обеспечения "Аркадия", содержащего исходный код и алгоритмы поисковой системы "Яндекс", в отношении которого установлен режим коммерческой тайны, на съемный носитель информации с целью последующей передачи третьим лицам".
Дмитрий Коробов предпринял действия по поиску желающих приобрести исходный код и алгоритмы, в частности, предлагал их компании ООО "Предприятие НИКС" (работает под брендом "НИКС — Компьютерный супермаркет") и в подтверждение своих намерений и возможности продажи направил на корпоративный почтовый ящик этой компании часть программного обеспечения "Аркадия", говорится в обвинительном заключении. Источник "Ъ" добавляет, что Дмитрий Коробов пытался продать похищенную интеллектуальную собственность на черном рынке: в даркнете и на специализированных хакерских форумах, для доступа к которым использовал Tor, где привлек к себе внимание сотрудников ФСБ.
Суд признал Дмитрия Коробова виновным и назначил ему наказание в виде двух лет условного срока. В пресс-службе "Яндекса" отказались от комментариев до вступления приговора в силу, в НИКС не ответили на запрос "Ъ", Дмитрий Коробов на звонки не отвечал. Источник "Ъ", знакомый с ходом расследования, утверждает, что фирма "НИКС — Компьютерный супермаркет" была выбрана Дмитрием Коробовым в качестве потенциального покупателя, так как в ней работал его близкий друг.

Прогноз эволюции малвари на ближайший год: ghostware & two-faced malware.
Ghostware — наследник blastware, которые крэшили систему всеми доступными им способами после проведения атаки, чтобы замести следы. Ghostware ведет себя более гуманно: систему не трогает от слова вообще, а если трогает, то минимально, быстренько убирая за собой.
Two-faced malware сосредоточится на обходе разного рода песочниц, которые тестируют код перед тем, как пропустить его в доверенную среду. Вредонос будет эмулировать пристойное поведение в песочнице и распускать руки, только попав на целевые системы.

Израильская компания продает устройства для хищения всех данных с любого смартфона
Данная система способна одновременно собирать информацию с сотен смартфонов. Устройство обладает возможностью похищать информацию даже в случаях, когда смартфон не подключен к точке доступа Wi-Fi, достаточно просто активированного Wi-Fi-передатчика.
Скорее всего, разработчики эксплуатируют уязвимости нулевого дня в ОС или мобильных приложениях, поставляемых с операционными системами по умолчанию. Вторым вариантом является наличие бэкдора в ОС.
Не кисло так. Причем, если они запустили девайсы в серию, то предполагается, что новые версии мобильных ОС будут иметь ту же уязвимость, либо у этой компании подписка на бэкдоры от производителей.