ИНТЕРЕСНОЕ ЗА НЕДЕЛЮ В МИРЕ КИБЕРБЕЗОПАСНОСТИ (24-28 АПРЕЛЯ)

  1. Минобороны Дании обвинило «российских хакеров» в кибершпионаже. В течение двух лет российская кибергруппировка APT 28, также известная как Fancy Bear, взламывала электронную почту сотрудников Министерства обороны Дании. Об этом заявил министр обороны страны Клаус Хйорт Фредериксен (Claus Hjort Frederiksen) в интервью изданию Berlingske. По данным военных, несанкционированный доступ осуществлялся в период с 2015 по 2016 годы. Информация, содержавшаяся в скомпрометированных электронных письмах, не является секретной, однако атака рассматривается как серьезный риск для безопасности Дании.
  2. Антивирус «сошел с ума», стал крушить Windows и блокировать Facebook. Во второй половине дня в понедельник, 24 апреля, антивирусный продукт Webroot буквально сошел с ума. Программа вдруг начала обозначать системные файлы Windows как вредоносные и переносить некоторые из них в карантин, тем самым выводя систему из строя. Как правило, антивирусные решения созданы таким образом, чтобы игнорировать файлы ядра Windows, критически важные для работы системы. Тем не менее, Webroot начал принимать их за троян W32.Trojan.Gen, и в результате перемещения файлов компьютеры стали показывать ошибку, что в некоторых случаях привело к выходу их из строя. Вскоре проблема была исправлена, однако многие пользователи так и остались с сотнями, а то и тысячами файлов в карантине.
  3. Новый IoT-ботнет набирает обороты. Новый ботнет из незащищенных web- и IP-камер наращивает объем, сканируя интернет на наличие подключенных уязвимых устройств «Интернета вещей» (IoT). В марте текущего года исследователь безопасности Пьер Ким (Pierre Kim) сообщил о порядка 185 тыс. незащищенных камер, продающихся под 1200 брендами. Эксперт уведомил производителя о проблеме, однако так и не получил ответ.
  4. Зловред в Google Play заразил около 2 млн пользователей. Исследователи Check Point обнаружили новый вид вредоносного ПО в Google Play — зловред FalseGuide, зашитый в приложения с руководствами по прохождению игр. Первые 40 обнаруженных приложений были загружены в Google Play в феврале 2017 г. На тот момент количество инфицированных устройств оценивалось в 600 тыс. Check Point уведомила Google о зловреде, и компания оперативно удалила все приложения. Однако в начале апреля исследователи Check Point обнаружили новые зловредные приложения, которые также были удалены.
  5. Интерпол отключил около 9000 вредоносных командных серверов (C&C). Данные, полученные Интерполом, заставляют серьезно обеспокоиться ситуацией с кибербезопасностью в странах Юго-Восточной Азии. Обнаружилось, что даже государственные веб-серверы заражены и подчиняются командам злоумышленников. В результате проведенного расследования было закрыто 9000 серверов киберпреступников в Индонезии, Малайзии, Мьянме, Филиппинах, Сингапуре, Таиланде и Вьетнаме, которые управляли сотнями скомпрометированных сайтов.
  6. В Генштабе РФ предложили приравнять кибератаки к актам агрессии. Проводимые военными хакерские атаки на критически важные объекты и использование информационных технологий для призывов к свержению действующих режимов следует приравнять к агрессии. Такое заявление сделал замначальника Главного оперативного управления Генштаба ВС РФ Игорь Дылевский. Он предложил дополнить соответствующими пунктами ст. 3 резолюции Генассамблеи ООН «Определение агрессии» от 1974 года.
  7. На Украине силовики изымают из компаний компьютеры из-за российского ПО. СБУ обыскала 8 украинских компаний, которые подозреваются в использовании нелегального российского ПО, предназначенного для шпионских целей. В число компаний попала инвестиционная фирма Dragon Capital, которая утверждает, что найденное ПО предназначено для мониторинга активности сотрудников. Реальной причиной обыска гендиректор фирмы считает борьбу за акции популярного торгового центра Sky Mall.
  8. Совфед ужесточает правила приобретения SIM-карт. Законопроект, разработанный по поручению председателя Совета Федерации Валентины Матвиенко, направлен на ужесточение правил приобретения SIM-карт. Согласно внесенным правкам, операторы сотовой связи при продаже новой SIM-карты клиенту получат право проверять информацию о покупателе с помощью государственных информационных ресурсов.
  9. Пользователи не доверяют большинству интернет-магазинов и сервисов. Антивирусная компания ESET провела опрос, посвященный онлайн-платежам. Респондентам предложили перечислить товары и услуги, которые они оплачивают в Сети, и меры предосторожности. Пользователи могли указать несколько вариантов ответа. Выяснилось, что российские пользователи аккуратно выбирают онлайн-ресурсы, где можно вводить платежную информацию, и тщательно проверяют их безопасность.
  10. Генпрокурор РФ предложил наказывать банки за неадекватную защиту вкладов. Генеральный прокурор РФ Юрий Чайка призвал усилить уголовную ответственность за киберпреступления, а также обязать банки информировать правоохранительные органы обо всех кибератаках и ввести санкции для финорганизаций, не обеспечивших надлежащую безопасность банковских вкладов. Как считает Юрий Чайка, с киберпреступностью нужно бороться более жестко, мошенники должны получать такое же противодействие, что и экстремисты. По его данным, в минувшем году число киберпреступлений возросло в два раза и превысило 42 тысячи, причем большинство из них носило уголовный характер.
  11. «Лаборатория Касперского» обновила индекс информационной безопасности. «Лаборатория Касперского» объявила о зафиксированном уменьшении доли российских пользователей, подвергающихся киберугрозам и пренебрегающих компьютерной защитой. Об этом свидетельствует обновленный индекс информационной безопасности Kaspersky Cybersecurity Index, который компания подсчитала по итогам второй половины 2016 года.

Существует утилита для тестирования компьютера на наличие программ-шпионов NSA

Скрипт, который обнаруживает встроенный код, показал, что около 100 000 систем по всему миру могут оказаться инфицированными

Был ли ваш компьютер заражен подозрительным шпионским имплантатом Национального Агентства Безопасности? Исследователь безопасности придумал бесплатную утилиту, которая поможет определить это.

Люк Дженнингс из компании Countercept написал скрипт в ответ на громкую утечку кибервооружений, которые, по мнению некоторых исследователей, принадлежат Агентству национальной безопасности США. Утилита предназначена для обнаружения имплантата под названием Doublepulsar, который поставляется со множеством эксплойтов для системы Windows, и может использоваться для загрузки других вредоносных программ.

Скрипт, который требует навыков программирования, доступен для загрузки на GitHub.

Некоторые исследователи в сфере безопасности использовали скрипт Дженнингса для сканирования интернета на предмет обнаружения машин, зараженных имплантатом. Полученные результаты были довольно разнообразными и варьировали от 30000 до 100000 компьютеров с загруженным кодом.

Компания Below0Day, занимающаяся тестированием на предмет проникновения, опубликовала твиты с изображениями, отображающими, какие страны были затронуты больше всего. США лидирует, насчитывая 11000 зараженных машин.

Несколько других стран, включая Великобританию, Тайвань и Германию, имеют более 1500 зараженных компьютеров.

Неясно, когда эти компьютеры были заражены, сказал Дженнингс. Тем не менее, подозрительные эксплойты NSA, которые распространяют Doublepulsar, были похищены неделю назад, и с этого момента любой человек с некоторыми навыками взлома мог начать их использовать.

Эксперты по безопасности обеспокоены тем, что киберпреступники или иностранные правительства могут воспользоваться похищенными эксплойтами и атаковать уязвимые компьютеры через Интернет. Они утверждают, что компьютеры с более старыми или не обновленными системами Windows подвергаются особому риску. Перезагрузка системы приведет к удалению имплантата, но не обязательно к удалению связанного с ним вредоносного ПО.

Дженнингс сказал, что он разработал свой скрипт, проанализировав, как имплантат Doublepulsar обменивался информацией через Интернет со своим сервером управления. Однако первоначальное намерение разработчика состояло в том, чтобы помочь компаниям идентифицировать имплантат в своих сетях, а вовсе не сканировать весь интернет в его поисках.

«В Twitter ведется много дискуссий, — сказал он. «Люди задаются вопросом о том, может ли скрипт оказаться неточным, поскольку количество зараженных систем поражает».

«Тем не менее, никто не представил доказательств того, что скрипт является неправильным», — сказал Дженнингс.

«Вероятно, существует определенная группа или даже несколько, использующие похищенные эксплойты для компрометации уязвимых машин», — сказал он.

Старые системы Windows Server, особенно работающие без брандмауэра, легко взломать с помощью эксплойтов. Похоже, что тысячи таких машин по всему Интернету были скомпрометированы.

Дэн Тентлер (Dan Tentler), генеральный директор компании Phobos Group, работающей в сфере обеспечения безопасности, изучает точность скрипта. Он уже проверил вручную 50 машин, которые были помечены как зараженные, и все 50 из них действительно оказались зараженными.

«Обычно, если скрипт неточен, и вы проверяете такое количество компьютеров, то ожидается обнаружить хотя бы несколько погрешностей», — сказал он. «Но я их не обнаружил».

Исследователям в сфере безопасности потребуется больше времени, чтобы проверить точность результатов обнаружения Doublepulsar. Но Тентлер рекомендует системным операторам принять меры для предотвращения заражения недавно похищенными вредоносными программами.

Он говорит, что пользователям следует установить все доступные патчи для своей системы Windows. Предыдущие исправления от Microsoft помогут устранить опасность, но старые операционные системы, такие как Windows XP и Windows Server 2003, больше не получают поддержки от компании.

Пользователи могут рассмотреть возможность обновления системы до новой ОС. Они также могут использовать антивирусные продукты, такие как Защитник Windows, чтобы помочь искоренить вредоносное ПО.

There’s now a tool to test for NSA spyware