Главная Форум
Добро пожаловать, Гость
Логин: Пароль: Запомнить меня

Мировая кибервойна /Cyberwarfare/, вирусные, DDOS-атаки... на сервера, сайты...

Опрос: В мире идет глобальная кибервойна /Cyberwarfare/?

Да 3 75%
Нет 1 25%
Не знаю Нет голосов 0%
Общее количество голосов:4 ( Дагестанец Тугарин Змей АлексТ Юрий )
Только зарегистрированные пользователи могут участвовать в этом опросе
  • Страница:
  • 1
  • 2

ТЕМА: Мировая кибервойна /Cyberwarfare/, вирусные, DDOS-атаки... на сервера, сайты...

Re: Мировая кибервойна /Cyberwarfare/, вирусные, DDOS-атаки... на сервера, сайты... 27/06/2018 17:40 #51




Вслед за Telegram упал еще один мессенджер




Популярный корпоративный мессенджер Slack оказался недоступен по всему миру. В частности, пользователи пожаловались на сбои в европейских странах, а также на всей территории США.

По данным сервиса DownDetector, проблемы начались в 16:00 по московскому времени. Большинство юзеров не могут войти в Slack. Проблемы затронули как браузерную, так и мобильную версию.

Представители мессенджера написали в Twitter, что разбираются с проблемой и приносят извинения за доставленные неудобства.

В это же время на неполадки жаловались пользователи мессенджера Telegram. Сервис работал с перебоями у пользователей практически по всему миру.

Slack — популярный корпоративный мессенджер, запущенный в 2014 году. Им пользуются ежедневно порядка пяти миллионов человек.






Advertisment

Re: Мировая кибервойна /Cyberwarfare/, вирусные, DDOS-атаки... на сервера, сайты... 27/06/2018 18:10 #52



Эксперты ESET обнаружили кибершпионскую программу,

избегавшую обнаружения с 2013 года







Специалисты компании ESET обнаружили в России и Украине вредоносную программу InvisiMole, которая используется для кибершпионажа. InvisiMole открывает атакующим удаленный доступ к зараженному устройству, позволяет следить за действиями жертвы и перехватывать конфиденциальные данные.

По данным телеметрии ESET, кибергруппа, использующая InvisiMole, активна как минимум с 2013 года. Тем не менее, малварь не была изучена и не детектировалась до момента обнаружения продуктами ESET на зараженных компьютерах в России и Украине. Вредоносная кампания высокотаргетирована, что объясняет низкий уровень зараженности – всего несколько десятков компьютеров. InvisiMole, по всей видимости, применялась только в целевых атаках на высокопоставленные объекты, что и позволяло избегать обнаружения на протяжении пяти лет.

InvisiMole имеет модульную архитектуру. Так, малварь свой путь с DLL-обертки (wrapper DLL), скомпилированной с помощью Free Pascal Compiler. По данным специалистов, DLL помещается в папку Windows и маскируется под легитимный файл библиотеки mpr.dll с поддельной информацией о версии. Хотя образцы с другими именами обертки аналитикам не встречались, они отмечают, что в коде DLL есть указания на то, что файл может называться также fxsst.dll или winmm.dll.




Первый способ запуска малвари – техника подмены DLL (DLL hijacking). DLL-обертка помещается в ту же папку, что и explorer.exe, и загружается при запуске Windows вместе с процессом Windows Explorer вместо легитимной библиотеки, расположенной в %windir%\system32. Были обнаружены 32- и 64-битные версии малвари, что обеспечивает устойчивое присутствие в обеих архитектурах.

В качестве альтернативы подмене DLL возможны другие методы загрузки и обеспечения персистентности. DLL-обертка экспортирует функцию GetDataLength. При вызове этой функции DLL проверяет, была ли она загружена процессом rundll32.exe с помощью explorer.exe или svchost.exeв качестве родительского процесса, и только после этого запускает полезную нагрузку. Это предполагает другие возможные методы обеспечения персистентности – внесение задач в планировщик (родительский процесс – svchost.exe) или запись в ключ автозапуска реестра (родительский процесс – explorer.exe).

Вне зависимости от способа обеспечения устойчивого присутствия, поведение вредоносной программы и непосредственно полезной нагрузки во всех случаях одинаково. DLL-обертка загружает модуль, хранящийся в ресурсах под названиями RC2FM и RC2CL, и (если используется подмена DLL) легитимную библиотеку в процесс explorer.exe, чтобы не нарушать нормальную работу приложения и оставаться незамеченной.

Оба модуля (RC2FM и RC2CL) представляют собой многофункциональные бэкдоры, позволяющие малвари собрать максимум информации о цели.

Модуль RC2FM поддерживает 15 команд. В частности, он может удаленно включать микрофон, записывать аудио, делать снимки экрана, создавать списки файлов на встроенных и внешних дисках, а также передавать собранную информацию своим операторам. Получив соответствующую команду, модуль может вносить изменения в систему. В файлах реализована опция ведения журналов, но имя системного журнала не задано в изученном образце. Это дает основания предполагать, что функция использовалась только на стадии разработки.

Второй модуль, RC2CL, обладает еще более широким списком инструментов для шпионажа – 84 команды. Его функции, скорее, нацелены на максимальный сбор информации, чем на внесение изменений в систему. Он изучает зараженный компьютер и передает атакующим исчерпывающие данные: системную (список активных процессов, запущенных служб, загруженных драйверов или доступных дисков) и сетевую информацию (таблица IP адресов, скорость интернет-соединения), список установленных и используемых программ, недавно открытых документов и других интересующих файлов.

Операторы InvisiMole могут удаленно включать веб-камеру и микрофон, делать снимки экрана и каждого открытого окна. Спайварь позволяет просматривать определенные директории и внешние устройства, отслеживать изменения документов и извлекать выбранные файлы.

Интересно, что в модуле RC2CL также предусмотрена опция выключения функционала бэкдора и работы в качестве прокси. В этом случае малварь выключает файервол Windows и создает сервер, который поддерживает коммуникацию между клиентом и C&C-сервером или двумя клиентами. Кроме того, бэкдор способен вмешиваться в работу системы (например, разлогиниться за пользователя, завершить процесс или выключить систему), но преимущественно обеспечивает выполнение пассивных операций.

Так как InvisiMole собирает большой объем конфиденциальных данных, которые некоторое время хранятся в файлах и удаляются лишь после успешной загрузки на C&C-серверы, разработчики вредоноса не забыли позаботиться и о сокрытии следов. Проблема в том, что опытный системный администратор может восстановить даже удаленные файлы, что поможет в расследовании атаки после того, как жертва узнает о компрометации. Чтобы это предотвратить, InvisiMole имеет функцию безопасного удаления всех файлов. Это означает, что сначала идет перезапись данных нулевыми или рандомными байтами, и только после этого происходит удаление файла.

Эксперты ESET пишут, что можно только догадываться, почему авторы малвари используют два модуля с дублирующими функциями. Можно было бы предположить, что меньший модуль, RC2FM, используется на первом этапе разведки, а больший, RC2CL, запускается только на машинах, заинтересовавших операторов. Но это предположение было бы неверно, — два модуля запускаются одновременно. Второе возможное объяснение: модули собраны разными авторами, а затем объединены, чтобы обеспечить операторов InvisiMole максимумом инструментов.

Исследователи отмечают, что вектор заражения InvisiMole пока не установлен. В настоящее время рассматриваются все варианты, включая ручную установку при наличии физического доступа к машине.






Последнее редактирование: 27/06/2018 18:21 от Тугарин Змей.
Спасибо сказали: Дагестанец

Re: Мировая кибервойна /Cyberwarfare/, вирусные, DDOS-атаки... на сервера, сайты... 09/07/2018 11:20 #53




Браузерную защиту от уязвимости

Spectre удалось обойти




Специалисты компании Aleph Security утверждают, что защитные механизмы некоторых современных браузеров, призванные обезопасить пользователей от проблемы Spectre, можно обойти.
Proof-of-concept эксплоиты специалистов сумели обмануть защиту Edge, Chrome и Safari, а затем, эксплуатируя оригинальную уязвимость Spectre (CVE-2017-5753, она же вариант 1), извлечь через браузеры пользовательские данные. Так как инженеры Mozilla реализовали свою версию защиты иначе, тот же трюк не удалось повторить с браузером Firefox. Исходные коды эксплоитов уже опубликованы на GitHub.
Нужно отметить, что при всем многообразии вариаций Meltdown и Spectre, речь об эксплуатации через браузеры шла лишь относительно самых первых версий уязвимостей. Защиту от таких атак реализовали еще в январе текущего года, вскоре после того, как о «процессорных» багах стало известно всему миру. Так, различные варианты защиты были представлены для Firefox, Chrome, Chromium, V8, Webkit (Safari), а также Edge и IE.
«Заплатки» и принцип их работы разнятся от продукта к продукту. Так, разработчики применяли отключение SharedArrayBuffer, изоляцию сайтов (в браузерах на базе Chromium), снизили точность таймеров performance.now(), добавили больший разброс значений для performance.now().
Исследователи Aleph Security пишут, что им удалось обойти практически все эти средства защиты и извлечь данные из памяти уязвимой машины на скорости примерно 1 бит в секунду. Напомню, что эксплуатация Spectre вариант 1, как правило, позволяет извлечь информацию, которой делятся между собой различные страницы и процессы браузеры. Это могут быть куки HttpOnly, куки из других источников, сохраненные пароли и так далее.
Хотя в итоге скорость атаки оказалась совсем невелика, эксперты объясняют, что они создавали свои эксплоиты не для реальных атак, а чтобы помочь разработчикам браузеров подготовить более надежные патчи. Так, исследователи подчеркивают, что полученные ими результаты демонстрируют неэффективность timing-защиты, которая лишь снижает скорость атак на Spectre, но не предотвращает их. Более надежными способами защиты, оказались техника index masking, предполагающая создание маски для массива данных, а также полная изоляция сайтов.






Re: Мировая кибервойна /Cyberwarfare/, вирусные, DDOS-атаки... на сервера, сайты... 13/07/2018 06:53 #54







Последнее редактирование: 06/09/2018 14:48 от Тугарин Змей.

Re: Мировая кибервойна /Cyberwarfare/, вирусные, DDOS-атаки... на сервера, сайты... 16/07/2018 08:17 #55



Путин рассказал о рекордном количестве

кибератак на Россию за месяц



Российские спецслужбы за время ЧМ-2018 отразили почти 25 миллионов кибератак. Об этом заявил президент Владимир Путин в ходе встречи с представителями Центра международного сотрудничества Межведомственного оперативного штаба по обеспечению безопасности мундиаля, сообщается на сайте Кремля.

«В период чемпионата мира нейтрализовано почти 25 миллионов кибератак и иных преступных воздействий на информационную инфраструктуру России, так или иначе связанную с проведением чемпионата мира по футболу», — сказал он.
Путин рассказал, что за этот период не было допущено ни одного серьезного происшествия, и благодаря работе спецслужб и правоохранительных органов иностранные гости чувствовали себя в безопасности, а законопослушные граждане не сталкивались с излишними барьерами и ограничениями. «Все процедуры, связанные с безопасностью, были надежны, но не создавали ненужных, излишних неудобств», — отметил он.

Российский лидер добавил, что к обеспечению безопасности мундиаля подключились 126 представителей из 55 спецслужб и правоохранительных органов 34 государств. «Такое взаимное доверие, опыт сотрудничества, партнерства правоохранительных органов и специальных служб исключительно важны сегодня. Ведь перед нами общие задачи, одни задачи», — резюмировал он.

Чемпионат мира по футболу прошел в России в период с 14 июня по 15 июля 2018 года. Победителем мундиаля стала сборная Франции, обыгравшая в финале команду Хорватии со счетом 4:2.






Последнее редактирование: 16/07/2018 08:21 от Тугарин Змей.

Re: Мировая кибервойна /Cyberwarfare/, вирусные, DDOS-атаки... на сервера, сайты... 06/09/2018 14:43 #56



Стала известна дата

глобального сбоя интернета




Корпорация по управлению доменными именами и IP-адресами (ICANN) заявила, что 11 октября может произойти сбой в работе мировой сети. Об этом говорится в официальном заявлении, опубликованном на сайте организации.

Представители организации сообщили, что на этот день назначена смена криптографических ключей — защиты системы доменных имен. Из-за этого некоторые пользователи сети могут испытать трудности с доступом на ряд веб-страниц. Сообщается, что такой процесс будет проводиться впервые в истории.

Корпорация по управлению доменными именами опубликовала руководство, которое поможет всем подготовиться к обновлениям.

Согласно результатам предварительного анализа, 99 процентов пользователей этот процесс никак не затронет. Однако небольшую долю юзеров проблема все-таки коснется. Специалисты заявили, что любой человек сразу поймет, если станет жертвой технических изменений. В течение 48 часов после завершения обновления он получит сообщения об ошибках: к примеру, server failure или SERVFAIL. Как следует из опубликованного на сайте руководства, помочь решить проблему сможет оператор.

Сотрудники корпорации уточнили, что 11 октября 2018 года — пока предварительная дата смены ключей. Правление организации должно утвердить ее в сентябре.






Re: Мировая кибервойна /Cyberwarfare/, вирусные, DDOS-атаки... на сервера, сайты... 19/11/2018 10:04 #57



Сразу две хакерские группы атаковали

российские банки от имени Центробанка




Group-IB зафиксировала массовые вредоносные рассылки по российским финансовым учреждениям якобы от имени Центрального Банка России и ФинЦЕРТ, структуры Департамента информационной безопасности ЦБ. Исследователи установили, что атаку 15 ноября 2018 года могла провести хакерская группа Silence, а 23 октября 2018 года — MoneyTaker. Обе преступных группы включены Group-IB в число наиболее опасных для российских и международных финансовых организаций.
Получателями рассылки от 15 ноября стали не менее 52 банков в России и не менее 5 банков за рубежом. Цифры основаны на статистике, собранной системами Group-IB TDS. Но, основываясь на данных по предыдущим атакам, можно подсчитать, что атака велась, скорее всего, по более чем 100 организациям.

Атака в ноябре: Silence


Утром 15 ноября Group-IB зафиксировала массовую вредоносную рассылку по российским банкам с фейкового адреса Центрального банка России. Разумеется, сам ЦБ не имеет к рассылке никакого отношения — злоумышленники подделали адрес отправителя. SSL-сертификаты для прохождения проверки DKIM не использовались.
Письма с темой «Информация центрального банка Российской Федерации» предлагали получателям ознакомиться с постановлением регулятора «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа». Документы якобы размещались во вложенном архиве, распаковав который пользователь в итоге загружал Silence.Downloader —инструмент, который используют хакеры Silence.
Эксперты отметили, что стиль и оформление письма практически идентичны официальным рассылкам регулятора. Скорее всего, хакеры имели доступ к образцам подлинных сообщений. Напомним, что согласно данным отчета Group-IB, выпущенного в сентябре этого года, участниками Silence являются люди, предположительно занимавшиеся или занимающиеся легальной работой — пентестами и реверс-инжинирингом. Именно поэтому они хорошо знакомы с документооборотом в финансовом секторе и работой банковских систем.

Атака в октябре: MoneyTaker


Письмо, отправленное 23 октября также с поддельного адреса ФинЦЕРТ, содержало пять вложений стилизованных под официальные документы ЦБ. Среди них: «Типовая форма соглашения о взаимодействии Центрального банка Российской Федерации по вопросам мониторинга и обмена.doc». Три файла из пяти являлись пустышками-приманками, а два других содержали загрузчик Meterpreter Stager. Для управления этой атакой использовались самоподписанные SSL-сертификаты. Кроме того, серверная инфраструктура, задействованная в ней, неоднократно использовалась с предыдущих атаках хакерами MoneyTaker. Все это позволило предположить, что за октябрьской атакой якобы от имени ЦБ стоят именно они.
Аналитики Group-IB считают, что образцы документов ЦБ хакеры получили из ранее скомпрометированных почтовых ящиков сотрудников российских банков. Полученная информация используется MoneyTaker для проведения целевых атак на банки, в том числе при формировании писем, которые копируют документы регулятора.
Фишинговая рассылка, сделанная от имени ЦБ — довольно распространенный среди киберпреступников вектор атаки, им пользовались группы Buhtrap, Anunak, Cobalt, Lurk. Например, в марте 2016 года злоумышленники рассылали фишинговые письма с info@fincert.net. Что касается реальных оповещений от имени ЦБ России, ранее для доставки вредоносных программ сотрудникам банков их использовали хакеры из Lurk и Buhtrap.
«Начиная с июля ФинЦЕРТ использует для информационного обмена автоматизированную систему обработки инцидентов, которая позволяет осуществлять защищенный и оперативный обмен информацией об инцидентах и операциях, совершенных без согласия клиента на основе базы данных “Фид-Антифрод”, — сообщили в пресс-службе Банка России. — Резервным каналом доставки информации является канал электронной почты. Все сообщения, отправляемые посредством электронной почты, подписаны ЭЦП ФинЦЕРТ».
Информация и индикаторы атаки от 23 октября и 15 ноября были оперативно загружены в систему Threat Intelligence, что позволило предупредить клиентов Group-IB из числа российских банков о потенциальной угрозе.
«MoneyTaker и Silence являются двумя из четырех наиболее опасных хакерских группировок, которые представляют реальную угрозу для международных финансовых организаций, — отмечает Рустам Миркасымов, руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB. — Хакеры из MoneyTaker используют все возможные векторы атак на банки: они могут, например, отправить фишинговое письмо, провести drive by атаку или тестирование сетевой инфраструктуры банка на наличие уязвимостей. А уже после получения доступа к внутренним узлам сети хакеры легко проводят атаки и вывод денег через карточный процессинг или систему межбанковских переводов (в России — АРМ КБР, автоматизированное рабочее место клиента Банка России). Silence в свою очередь менее изобретательны и пользуются только безотказным и проверенным способом атаки — фишинговыми письмами. Но, в отличие от своих коллег, уделяют больше внимания содержанию и оформлению текста писем».

О Silence


Silence – активная и крайне малочисленная хакерская группа, состоящая из русскоговорящих хакеров. Впервые активность группы была зафиксирована специалистами Group-IB в 2016 году. За все время «работы» Silence они атаковали системы управления банкоматами, карточный процессинг и российскую систему межбанковских переводов АРМ КБР. Основные цели преступников находятся в России, Украине, Белоруссии, Азербайджане, Польше, Казахстане, хотя фишинговые письма отправлялись также сотрудникам банков Центральной и Западной Европы, Африки и Азии. Месяц назад Group-IB зафиксировали точечную атаку на компании в Великобритании. Отчет «Silence: новая угроза для банков» был выпущен в сентябре 2018 года, в нем впервые описывается тактика и инструментов группы.

О MoneyTaker


MoneyTaker — преступная хакерская группа, на счету которой 16 атак в США, 5 – на банки России и 1 – в Великобритании. Кроме денег, злоумышленники похищают документацию о системах межбанковских платежей, необходимую для подготовки дальнейших атак, а также используют метод атаки через посредника, то есть взламывают партнеров банков, ИТ-компании, поставщиков финансовых продуктов. В декабре 2017 года Group-IB опубликовала первый отчет об этой группе: «MoneyTaker: полтора года ниже радаров».






Re: Мировая кибервойна /Cyberwarfare/, вирусные, DDOS-атаки... на сервера, сайты... 14/12/2018 18:06 #58



В России подготовятся на случай

отключения от мирового интернета




Группа парламентариев внесла в Госдуму законопроект, который обеспечивает исправную работу рунета в том случае, если этот сегмент будет отключен от общемировой сети. Об этом сообщает ТАСС.

Документ предполагает создание специальной инфраструктуры, которая сможет заменить зарубежные корневые интернет-серверы.

Сообщается, что инфраструктура обеспечит исправную работу рунета, если отечественные операторы не смогут подключиться к глобальной сети. Таким образом, будут созданы особые правила маршрутизации трафика.

Законотворцы подчеркнули, что эти меры существенно уменьшат объем данных, передаваемых за рубеж российскими пользователями. Предполагается, что будет создана национальная система доменных имен. Курировать ее создание и регламент будет Роскомнадзор. Также в законопроекте оговариваются регулярные учения по выявлению угроз и восстановлению работы рунета. Основными их участниками станут операторы связи, владельцы сетей и органы власти.

Авторами инициативы стали депутат Андрей Луговой и сенаторы Андрей Клишас и Людмила Бокова. Законопроект стал ответом на стратегию национальной кибербезопасности США, принятую осенью 2018 года. В ней Россия причислена к странам-агрессорам, проводящим хакерские атаки.






Re: Мировая кибервойна /Cyberwarfare/, вирусные, DDOS-атаки... на сервера, сайты... 24/12/2018 23:14 #59



Рождественский DDoS отменяется:

правоохранители закрыли 15 хакерских сервисов





Правоохранительные органы США, Британии и Нидерландов сообщили о закрытии сразу 15 крупных сервисов DDoS-атак по найму. Интересно, что операция была проведена накануне рождественских и новогодних праздников, которые уже много лет подряд являются «золотой порой» для DDoS-атак на игровые сервисы. Излюбленными целями атакующих являются серверы PlayStation Network, Xbox, Steam, Blizzard и EA Online, а это время года злоумышленники выбирают специально, чтобы затроллить как можно больше людей, собиравшихся провести выходные дома с приставкой.

Упомянутая «традиция» берет начало в 2013 году, когда DDoS-атаки устроила хак-группа DerpTrolling. В 2014 году к DerpTrolling также присоединились хакеры из Lizard Squad, а в 2015 и 2016 годах эстафету подхватили группировки Phantom Squad и R.I.U. Star Patrol. Лишь прошлый 2017 год выдался относительно спокойным, так как DDoS тогда пытались организовать разрозненные одиночки.

В этом году рождественского DDoS’а, похоже, тоже не будет, и неясно, действовали правоохранители самостоятельно, или же к ним обратились за помощью представители игровых кампаний. Совместными усилиями были закрыты 15 нижеперечисленных сервисов, предлагавших услуги DDoS-атак на пойму:

• anonsecurityteam.com;
• booter.ninja;
• bullstresser.net;
• critical-boot.com;
• defcon.pro;
• defianceprotocol.com;
• downthem.org;
• layer7-stresser.xyz;
• netstress.org;
• quantumstress.net;
• ragebooter.com;
• request.rip;
• str3ssed.me;
• torsecurityteam.org;
• vbooter.org.

Стоит вспомнить и о том, что в конце апреля 2018 года Европол отличался о ликвидации одного из крупнейших в мире сервиса для DDoS-атак, WebStresser. Впрочем, это, конечно, не означает, что в сети не осталось хакеров, продающих DDoS на заказ. Например, множество таких сервисов работают в Китае и других странах, куда юрисдикция Евпропола и ФБР попросту не распространяется.

По информации Министерства юстиции США, власти уже предъявили обвинения оператору сервиса Quantum Stresser, 23-летнему Дэвиду Буковски (David Bukoski) из Пенсильвании. Сообщается, что с момента запуска в 2012 году Quantum Stresser успел поработать более чем с 80 000 заказчиков, и только за текущий год с его помощью были проведены свыше 50 000 DDoS-атак на различные цели по всему миру.

Также обвинения были предъявлены 30-летнему жителю Иллинойса Мэтью Гатрелю (Matthew Gatrel) и 25-летнему Хуану Мартинезу (Juan Martinez) из Калифорнии, их подозревают в организации работы сервисов Ampnode и Downthem.

По данным следствия, у Downthem было более 2000 клиентов, и сервис был ответственен за 200 000 DDoS-атак в период с октября 2014 года по ноябрь 2018 года. Как можно заметить, в списке выше Ampnode не фигурирует. Власти объясняют, что данный сервис работал немного иначе: предлагал техническую помощь и ресурсы для создания независимых DDoS-сервисов на стороне заказчика.






Re: Мировая кибервойна /Cyberwarfare/, вирусные, DDOS-атаки... на сервера, сайты... 18/01/2019 06:40 #60



Вирус в популярном браузере воровал

платежные данные пользователей




В браузере Google Chrome обнаружено расширение, крадущее платежные данные пользователей. Отчет об угрозе опубликован в специализированном блоге компании ElevenPaths.

Программа под названием Flash Reader перехватывала информацию о картах Visa, Mastercard и других платежных систем. Все собранные данные передавались на контролируемый преступниками сервер. Опасное ПО было доступно в Chrome Web Store с начала 2018 года. За это время его установили несколько сотен человек.

Жертвы получали уведомления об установке специальной программы, которая якобы была необходима для работы в сети. К сообщению прилагалась фишинговая ссылка на расширение Flash Reader.

Исследователи уточнили, что расширение все еще представляет серьезную угрозу для пользователей сети, несмотря на то, что вредоносная кампания приостановлена.

Ранее специалисты из компании ASERT сообщили о хакерской кампании Stolen Pencil, в ходе которой преступники внедрялись в браузеры юзеров. Они подчиняли себе компьютеры жертв, вынуждая их устанавливать расширение для Google Chrome.






Re: Мировая кибервойна /Cyberwarfare/, вирусные, DDOS-атаки... на сервера, сайты... 04/02/2019 11:16 #61



Разработчики Mozilla рассказали,

с какой именно слежкой будет бороться Firefox






Инженеры Mozilla опубликовали подробности о грядущих нововведениях в сфере борьбе со слежкой за пользователями. Антитрекинговым механизмам, которые появились в браузере Firefox осенью текущего года (начиная с версии 63, благодаря переработке Enhanced Tracking Protection), а теперь начнут работать «в полную силу» с релизом Firefox 65, посвятили специальную wiki-страницу.
Разработчики рассказывают, что в первую Firefox будет полагаться на списки трекеров, составленные специалистами Disconnect.me, сторонней компании, которая разрабатывает решения для борьбы со слежкой. Однако это не новость для пользователей Firefox, и инженеры Mozilla поясняют, что новыми здесь являются правила, на основании которых браузер будет вносить и выносить домены из таких списков.
Так, будет считаться, что сайт следит за пользователями, если он: загружается как сторонний скрипт на других сайтах; злоупотребляет механизмами хранения данных на клиентской стороне бразуера (куки, DOM и так далее), чтобы сохранять информацию о пользователе с целью слежения за ним.
Так как еще в октябре прошлого года Firefox оснастили функциональностью, которая не позволяет сторонним скриптам злоупотреблять куки или механизмами хранения данных, теперь домены могут попасть под блокировку на уровне браузера, даже в том случае, если они не входят в списки Disconnect.me.
Кроме того, сообщается, что в будущем Enhanced Tracking Protection будут продолжать дорабатывать. К примеру, появится функциональность, мешающая сайтам хранить и передавать данные о пользователях в параметрах URL. Пока такая блокировка в браузере не реализована. Также разработчики намерены бороться со слежкой через злоупотребление легитимными функциями. Речь идет об использовании supercookies и других методах фингерпринтинга, например, использовании системных шрифтов, определении разрешения экрана, анализе особенностей работы с мышью и клавиатурой, и многом другом.

Инженеры Mozilla подчеркивают, что представленные правила могут подлежать изменениям, а также из них могут быть сделаны исключения, особенно если речь идет о безопасности пользователей. Ведь аутентификационные системы, login-провайдеры и сервисы по обработке электронных платежей могут следить за пользователями именно для улучшения безопасности, используя для этого те же техники, что и рекламные компании.






Re: Мировая кибервойна /Cyberwarfare/, вирусные, DDOS-атаки... на сервера, сайты... 27/02/2019 07:16 #62



Существовавшую почти 20 лет опасную

уязвимость WinRAR впервые активировали



Существовавшую почти 20 лет опасную уязвимость архиватора WinRAR впервые использовали для атаки. Об этом сообщили эксперты 360 Threat Intelligence Center в официальном Twitter компании.

Мошенники рассылают электронные письма, к которым прикрепляют вредоносные архивы, заражающие устройство жертвы. После проникновения вируса на устройство и его активации злоумышленники получают удаленный доступ к нему. Необходимым условием для осуществления вредоносной атаки является не включенная функция контроля учетных записей на устройстве.«Возможно, это первая вредоносная программа, которая распространяется через электронную почту и использует уязвимость WinRAR», — сообщили эксперты.

Об уязвимости в WinRAR, которая существовала в программе 19 лет, сообщили в феврале этого года. Она позволяла автоматически запускать вредоносный код каждый раз при загрузке системы и затрагивала около 500 миллионов пользователей. Разработчики архиватора WinRAR устранили найденную проблему и обновили программу. Она устранена только в исправленном варианте, поэтому потенциально все еще угрожает большому количеству устройств.






Re: Мировая кибервойна /Cyberwarfare/, вирусные, DDOS-атаки... на сервера, сайты... 01/04/2019 09:46 #63



Новый троян AZORult++ написан на С++

и уже опаснее своего предшественника




AZORult – известный троян-стилер, который также может служить загрузчиком для других вредоносов. AZORult способен похищать самые разные пользовательские данные: информацию из файлов, пароли, куки, историю браузеров, банковские учетные данные и информацию о криптовалютных кошельках.

Еще в конце 2018 года основной продавец AZORult, известный под ником CrydBrox, прекратил продажи этого вредоноса, сообщив, что «любой софт имеет свой срок жизни». Вероятно, это связано с тем, что ранее в широкий доступ попала версия AZORult 3.2, а также исходный код административной панели для управления ботнетом. Эта версия малвари активно распространилась на хакерских форумах, где пользователь мог скачать ее и, практически не имея специальных навыков, настроить для использования в своих целях.Однако специалисты «Лаборатории Касперского» пишут, что на этом история AZORult определенно не закончилась. В начале марта 2019 года внимание специалистов привлекли несколько вредоносных файлов. Они были похожи на уже известный AZORult, но в отличие от оригинальной малвари были написаны не на Delphi, а на C++. По всей видимости, последователи закрывшего продажи CrydBrox решили переписать AZORult на C++ и улучшить его (в итоге новую версию малвари назвали AZORult++).

Свою работу AZORult++ начинает с проверки языкового идентификатора с помощью вызова функции GetUserDefaultLangID(). Если AZORult++ запущен в системе, где языковой идентификатор соответствует русскому, армянскому, азербайджанскому, белорусскому, грузинскому, казахскому, таджикскому, туркменскому или узбекскому языкам, то его исполнение прекращается. В оригинальном AZORult 3.3 такая проверка отсутствовала.

В ходе более детального анализа разработчики заметили, что возможности версии на С++ сильно урезаны по сравнению с последней продававшейся версией AZORult 3.3. В частности, нет функциональности загрузчика, не поддерживается кража сохраненных паролей из многих браузеров, поддерживаемых AZORult v3.3. При этом многие характерные признаки версии 3.3 на Delphi присутствуют у AZORult++: алгоритм общения с управляющим сервером и формат команд, структура и способ хранения собранных данных, ключи шифрования и так далее.

Как и его предшественник, AZORult++ шифрует данные, передаваемые на управляющий сервер, с помощью операции XOR с ключом длиной 3 байта. При этом используемый ключ уже встречался в различных модификациях версии 3.3.Аналитики предупреждают, что несмотря на все недоработки, AZORult++ может быть джае опаснее своего предшественника благодаря возможности устанавливать удаленное подключение к рабочему столу. Для этого троян создает пользовательскую учетную запись с помощью функции NetUserAdd() (имя пользователя и пароль заданы в коде AZORult++), а затем добавляет эту учетную запись в группу администраторов.

После AZORult++ скрывает созданную запись, устанавливая значение ключа в ветке реестра Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\Userlist равное 0. Аналогично путем установки значений ключей реестра разрешается установка RDP-подключения (Remote Desktop Protocol). «Вишенкой на торте» становится вызов ShellExecuteW() для открытия порта для удаленного подключения к рабочему столу.

После этого зараженный компьютер готов принимать входящее RDP-подключение, что позволяет злоумышленнику, зная IP-адрес жертвы и данные созданной учетной записи, подключиться к зараженному компьютеру и получить полный контроль над ним.

Эксперты резюмируют, что хотя AZORult++ еще находится в разработке, можно ожидать расширения функциональности и исправления ошибок, а также попыток широкого распространения малвари под известным для покупателей именем.






Re: Мировая кибервойна /Cyberwarfare/, вирусные, DDOS-атаки... на сервера, сайты... 20/05/2019 12:39 #64




Две хакерские группировки

борются друг с другом за облачные серверы




Исследователи Intezer Labs опубликовали отчет, посвященный конкуренции между майнерскими группировками Pacha и Rocke.
Группировка Pacha была замечена специалистами осенью 2018 года. Считается, что это китайский коллектив, чей основной вектор атак — скрытый майнинг. Rocke, в свою очередь, обнаружена экспертами Cisco Talos летом 2018 года. Основное направление работы группы – майнинг криптовалюты Monero.

Обе группировки ищут в интернете открытые или плохо защищенные серверы и облачные сервисы, а затем заражают их многофункциональной малварью. Наиболее агрессивной из этих двоих можно назвать группу Pacha. Так, для своих атак хакеры используют малварь Linux.GreedyAntd, которая способна удалять и блокировать многие майнинговые вредоносы из зараженных систем, в частности, малварь конкурирующей группировки Rocke.
Rocke тоже демонстрируют похожее поведение и по-прежнему имеет преимущество перед Pacha. Так, в начале 2019 года вредоносы Rocke научились избегать обнаружения и избавляться от облачных защитных решений. Впрочем, сейчас группировка Pacha активно наверстывает упущенное. Например, недавно хакеры стали эксплуатировать крайне популярную среди злоумышленников уязвимость в Atlassian Confluence.
Эксперты Intezer Labs подчеркивают, что «война» между Pacha и Rocke лишний раз доказывает, что парадигма изменилась: теперь злоумышленники стремятся заражать майнинговой малварью не простых пользователей и отдельные ресурсы, но играют по-крупному и нацелены на облачную инфраструктуру и уязвимые Linux-серверы, а ради новых целей готовы жестко конкурировать друг с другом.






Re: Мировая кибервойна /Cyberwarfare/, вирусные, DDOS-атаки... на сервера, сайты... 19/06/2019 02:20 #65



Вирус без границ: хакерская атака на

компьютерные сети по всему миру




В ряде российских регионов парализована система выдачи водительских прав. Источники ТАСС сообщают, что дело в вирусной атаке, которой подверглись компьютеры МВД.
Это лишь часть всемирной эпидемии распространения вируса-вымогателя. Заражены десятки тысяч компьютеров по всему миру. Это и частные компании, и больницы, и госорганы. Важные файлы оказываются зашифрованными, а на экране появляется надпись, переведенная на разные языки — «у вас есть только три дня, чтобы заплатить». Цена вопроса, по разным данным, от 300 до 600 долларов в кибервалюте (биткоины).
Эксперты говорят, что среди пострадавших организаций и ведомств в основном те, IT-специалисты которых по каким-то причинам отключили автообновление операционной системы Windows. Где-то это связано с тем, что программное обеспечение устаревшее или нелицензионное. В других случаях дело в попытках сохранить служебную или банковскую тайну. Боясь автоматической загрузки разного рода «заплаток» от создателей софта, администраторы, по сути, оставили брешь в безопасности, которой не преминули воспользоваться хакеры.
Кстати, как говорят, в этом им очень помогли разработки американских спецслужб. Когда-то Агентство национальной безопасности США создало вредоносную программу, позволяющую проникать в закрытые компьютерные сети. С тем, что нынешняя пандемия выросла из деятельности АНБ, согласен разоблачитель спецслужб, их бывший сотрудник Эдвард Сноуден.
Из «Твиттера» Сноудена: «Ого, решение АНБ создавать инструменты атаки на американское программное обеспечение теперь ставит под угрозу жизни пациентов больниц».
Масштабная атака затронула все сферы жизни: от телекоммуникационных компаний до домов моды.
В России, по сообщениям, вирус попал в компьютеры таких крупных организаций, как «Мегафон», Сбербанк, и федеральных министерств, в том числе МВД и МЧС. В Минздраве заявляют об успешном отражении атаки. Локализацию вируса провели в компьютерной системе РЖД, профилактические работы в «Ростелекоме».
Массовые рассылки вредоносной программы были адресованы множеству частных и государственных гигантов. В целом серьезных последствий удалось избежать. Специалисты по кибербезопасности сейчас ищут способы восстановления зараженных систем.






  • Страница:
  • 1
  • 2
Время создания страницы: 0.38 секунд

123

Disclaimer (письменный отказ от ответственности):
Администрация сайта BUZINA.ORG не несет ответственности за информацию, размещенную третьими лицами в комментариях, на форуме и блогах, а также может не разделять точку зрения авторов.

Наверх