Новость
В Сети бушует эпидемия золотодобытчиков: неизвестные злоумышленники через Linux и Windows-серверы обзаводятся мулами (точнее, криптомайнерами Mule) для выкачки Monero. Кампания продумана до мелочей, агрессивна, как зерг раш, и наречена была Zealot в честь одного из загружаемых вредоносных файлов (других говорящих терминов тоже хватает и в коде, и в названиях файлов: как вам Observer или Overlord?). Об организаторах известно немного: во-первых, они явно фанаты StarCraft, во-вторых, столь же явно профи в своем деле.

Новость на русском, подробности на английском
Профессиональное выгорание, постигшее хактивиста по прозвищу The Doctor (он же The Janit0r), заставило его забросить свой ботнет BrickBot и отправиться в бессрочный отпуск. Причина проста: затевая в 2016 году крестовый поход против дыр в IoT, апологет философии «клин клином вышибают» надеялся заставить производителей и пользователей «умных» устройств серьезнее воспринимать уязвимости интернета вещей. Но как он ни старался, ничего не вышло.

Новость на русском, подробнее на английском

Добыча криптовалюты на чужих компьютерах — труд трендовый, но медленный и неблагодарный. На какие только ухищрения не приходится идти несчастным золотостарателям! На прошлой неделе мы рассказали о том, как Coihnive встроили в плагин для общения с онлайн-консультантом. Но приключения удачного майнерского скрипта продолжаются: на сей раз изощренные умы нашли способ оставлять его работающим и после закрытия окна с сайтом-источником. Его просто открывают в отдельном окошке, которое прячется за панелью задач Windows.

Новость на русском, подробнее на английском

Если человек упорно жмет на ту же кнопку, несмотря на то, что ничего не происходит, то он либо идиот, либо тестировщик по призванию. На этой неделе, например, таким образом удалось обнаружить почти забавную уязвимость в новеньких MacOS HIgh Sierra 10.13.1 и 10.13.2 Beta: оказалось, что если при выборе пользователя в строке для логина напечатать root, а потом поместить курсор в поле для пароля, ничего туда не вводя, и несколько раз кликнуть «Снять защиту», система пустит вас внутрь с root-правами. Разумеется, на такую уязвимость Apple прореагировала мгновенно.

На недавно прошедшей конференции ZeroNights, мы предлагали присутствующим решить несколько CrackMe-задач, но удалось это лишь единицам. Мы решили, что незачем хорошим головоломкам пропадать и предлагаем решить их в рамках зимнего конкурса CrackMe, который, таким образом, получается гораздо масштабнее прошлогоднего. 15 участников, первыми решивших максимальное количество CrackMe, и попавших в топ рейтинга, ждут призы (от экскурсии по ЛК до action-камеры).

Новость на русском, подробности на английском

Когда мы не смотрим, игрушки оживают и начинают делать гадости — студия Pixar бы такой мультик не сняла, а вот реальность оказалась менее разборчивой. Британская организация по защите потребителей Which? проверила несколько интерактивных игрушек распространенных марок и обнаружила почти у всех одну и ту же проблему. Подкованный злоумышленник может без труда взломать использовать их чтобы подслушивать, что творится в семье, разговаривать с ребенком от имени его разноцветного друга или даже попытаться пролезть в домашнюю сеть.

Уязвимость в API угрожает сливом конфиденциальных данных Twilio и Amazon S3

Новость на русском, Отчет appthority

Сложно объяснить, почему разработчики Twilio решили сделать так, чтобы в код приложений, использующих их Rest API и SDK, было необходимо жестко «зашить» учетные данные для доступа к БД. Но сделали они именно так. И это несмотря на то, что собственные политики безопасности Twilio такие фортели запрещают.

API для доступа к сервисам Twilio позволяют обмениваться сообщениями и голосовыми звонками — функции, востребованные в корпоративных приложениях. Тот, кто сумеет выдрать из этого кода ключи от учетной записи Twilio, получит доступ ко всем метаданным и голосовым записям, которые хранятся на корпоративном аккаунте. А это миллионы и миллионы минут разговоров и бесчисленные текстовые сообщения о важных контрактах, заказах оборудования и любовных интрижках гендиров. Как говорится, упс.

В мире фанатов технологии блокчейн все очень просто и безопасно. Еще бы, ведь блокчейн так надежен сам по себе, что для обеспечения любых финансовых операций не требует ни регулятора в лице государства, ни банков, ни других надстроек. Мы не будем спорить с тем, что технология лишена многих недостатков и уязвимостей старого мира. Но это вовсе не означает отсутствия у нее собственных слабых мест, которые раньше и вообразить-то было невозможно. В общем, такое дело: из-за уязвимости, обнаруженной в популярном Ethereum-кошельке Parity, замороженными оказались средства в криптовалюте, которые, по разным оценкам, эквивалентны 150-300 миллионам долларов США.

15 ноября мы приглашаем всех неравнодушных к C++ на встречу с коллегами по цеху в рамках нашего проекта CoLaboratory. Резиденты C++ User Group сосредоточатся исключительно на практической стороне использования любимого инструмента программирования.

Поговорим на разные темы. Например, как clang и библиотека «libtooling» помогают «Лаборатории Касперского» автоматически генерировать код? Когда же наконец в C++ появятся «рефлекшены» и в каком виде попадут в стандарт? Какие подводные камни могут встретиться на пути проектирования «пула потоков» для высоконагруженной системы и соответственно как с ними бороться?

Кто не знает Carbanak? Несколько лет назад эти ловкие ребята умело увели, по некоторым данным, до миллиарда долларов из доброй сотни банков России, Украины, США и даже Японии. Наши эксперты выявили группу злоумышленников под кодовым именем Silence, которая старательно копировала лучшие техники Carbanak в попытках добраться банковских счетов.

Технология атаки действительно до боли похожа: через фишинговое письмо сотруднику банка злоумышленникам удается проникнуть в его внутреннюю сеть, обосноваться там и тихонько изучать инфраструктуру, рассылая тем временем “договора” партнерам — то есть такие же вредоносные письма, но уже от имени реальных сотрудников и даже с их подписью. Понятно, что при таком раскладе на заражённое вложение кликнут с большой долей вероятности, чем на письмо от очередного нигерийского благотворителя. Старая-добрая социальная инженерия все еще на коне.

На конференции GeekPWN в Шанхае мы провели финал соревнования по промышленной кибербезопасности Kaspersky Industrial CTF 2017. В отборочном туре участие приняли почти 700 команд. Преимущественно это были студенты из разных стран, изучающие информационные технологии вообще и кибербезопасность в частности. В финал вышли три команды: CyKor (Южная Корея), TokyoWesterns (Япония), Flappy Pig (Китай).

Наши эксперты соорудили для соревнований модель реально существующего нефтеперерабатывающего завода (какого именно — непринципиально). В модели используются те же PLC-контроллеры, что управляют давлением в резервуарах и контролируют объемы прокачиваемых насосами жидкостей на реальном заводе. Схема их подключения также взята из реальности. Плюс мы построили модель понижающей подстанции 110/10 кВ на стандартных контроллерах производства ABB и Siemens.

Автор статьи — Алексей Маланов, эксперт отдела развития антивирусных технологий «Лаборатории Касперского»

По большому счету, криптовалюты — это такие же электронные деньги, как какие-нибудь WebMoney или Яндекс.Деньги. А значит, и общие проблемы, характерные для электронных платежных систем, им тоже свойственны.



Однако те специфические принципы, по которым работают криптовалюты, порой делают возникновение этих проблем более вероятным, а последствия — более неприятными. Кроме того, эти же особые принципы определяют некоторое количество рисков, которые уникальны именно для криптовалют.

Покайтесь, ибо грядет! Улицы наводнили безумные проповедники с апокалиптическими плакатами, по ночам из-за горизонта поднимается необычно огромная Луна кровавого цвета, а ученые, в свое время не получившие нобелевку из-за слишком радикальных идей, безуспешно пытаются достучаться до властей со своими шокирующими открытиями. Назревает нечто ужасное. Оно уже близко. Ну или нет.

Возможно, в этот раз нам повезло, и мы вовремя получили предупреждение о готовящемся восстании «интернета вещей». NewSky Security нашли в даркнете форумную ветку, в которой «черные шляпы» расслабленно обсуждали концепцию и реализацию атаки через CVE-2017-8225, позволяющую сливать учетные данные из китайских камер от множества разных вендоров. Двое самых активных участников обсуждения в итоге родили два скрипта.

24 октября на нас посыпались уведомления о массовых атаках с помощью троянца-вымогателя Bad Rabbit. Основная цель — российские организации и потребители, но есть сообщения и о пострадавших из Украины.

Вот как выглядит требование выкупа у незадачливых жертв:

Платформы Confluence и Jira используются в каждой второй IT-компании. Причем не всегда исключительно как системы отслеживания ошибок и среда совместной работы (как их позиционируют создатели). У нас, например, Confluence выступает в роли платформы для корпоративного обучения, а Jira, помимо всего прочего, для оптимизации работы мультиязычных сайтов поддержки. Коллеги, которые работают с этими системами, решили провести у нас в офисе встречу московского сообщества Atlassian User Group, на которую мы и приглашаем всех желающих 26 октября.

Встреча посвящена разработкам Atlassian и их практическому применению. Наши коллеги объяснят, почему мы выбрали именно Confluence и Jira, a также поделятся tips&tricks, хитростями адаптирования этого софта под наши нужды, опытом борьбы с проблемами в процессе настройки и извлечением несомненной пользы на выходе.

Новость этой недели и претендент на звание атаки года — KRACK (Key Reinstallation Attack). Это PoC, сконструированный бельгийским исследователем Метью Ванхуфом, чтобы наглядно продемонстрировать насколько уязвим протокол аутентификации WPA2.

Атака основана на особенностях стандарта 802.11i. Благодаря манипуляциям с пакетами хендшейка, злоумышленник потенциально способен расшифровывать передающиеся данные и внедрять в них свои собственные. Конечно, SSL-шифрование способно защитить трафик, но ведь порой есть вариант откатить протокол на более уязвимый (вспомним старого доброго пуделя), а кроме того, в интернете немало сайтов, допускающих работу по HTTP.

Автор статьи — Алексей Маланов, эксперт отдела развития антивирусных технологий «Лаборатории Касперского»

Про Биткойн слышали многие, что и не удивительно — эта криптовалюта была первой и до сих пор остается самой популярной и самой крупной. Успех Биткойна вдохновил на подвиги кучу людей, поэтому за последние пару лет разных криптовалют — так называемых альткойнов — насоздавали ужас сколько, больше 1000.

Так вот, Биткойн — на данный момент однозначно номер один. А знаете, какая криптовалюта на втором месте? Ethereum. Когда мы говорим про места, мы имеем в виду капитализацию, то есть суммарную стоимость всех монет валюты.


Капитализация и цены TOP-5 криптовалют. Источник

Как видите, Ethereum с большим отрывом опережает другие «альткойны», а в июне 2017 чуть было даже не обогнал Биткойн, «великий и ужасный». Давайте разберемся, что же в Ethereum такого особенного и почему подавляющее большинство проводимых в этом году ICO используют именно его.

Мы в «Лаборатории Касперского» плотно работаем с разработчиками стороннего ПО. Как только находим очередную уязвимость, сразу информируем производителя, чтобы закрыть дыру по горячим следам. И вот 10 октября 2017 года наша система противодействия эксплойтам обнаружила новый зеродей для Adobe Flash, который использовался для атаки на наших клиентов.

Эксплойт доставлялся жертве через документ Microsoft Office, а его конечной целью была установка последней версии троянца FinSpy. Мы сообщили о баге в Adobe, которая присвоила ему индекс CVE-2017-11292 и буквально вчера выкатила патч.



Пока что мы наблюдали лишь одно использование эксплойта против наших клиентов, из чего можно заключить, что он применяется в штучных целевых атаках.

Проанализировав участвующего в этой атаке зловреда, мы обнаружили его четкую связь с группой, которую мы называем BlackOasis. Мы уверены, что эта команда стоит за атаками с использованием другого зеродея (CVE-2017-8759), обнаруженного FireEye в сентябре 2017 года. Троянец FinSpy, задействованный в новой атаке через CVE-2017-11292, обращается к тому же управляющему серверу, что и троянец, загружаемый через CVE-2017-8759.

Жить без облачных технологий мы уже не умеем, а жить с ними еще не умеем. То и дело случаются самые нелепые факапы из-за того, что люди не очень понимают, что их облачный ресурс и аналогичный локальный – две большие разницы, и обращаться с ними нужно соответственно. Вот, например, как сейчас, когда исследователи обнаружили в Amazon S3 большую поляну с вкусными данными, любезно накрытую компанией Accenture.

Компания, мягко говоря, не из последних. Занимается консалтингом, помогает клиентам стратегически планировать, оптимизировать, модернизировать и внедрять. Работает с крупнейшими корпорациями мира, на чем зарабатывает что-то около $5 млрд в год, чуть-чуть поменьше «Газпрома». И вот у этого консалтингового гиганта в Amazon S3 обнаружилось четыре корзины, открытые наружу даже без пароля. Знаешь URL – заходи, выгружай, что хочешь.

Корзины были полны данных клиентов Accenture. Обнаружившие их ребята из UpGuard сделали все правильно – сообщили владельцу данных, дождались, пока все это уберут из доступа, после чего уже с чистой совестью опубликовали отчет о находке. Сами фигуранты поспешили заявить, что ничего страшного не случилось: у них-де многоуровневая секьюрити-модель, и эти данные не помогли бы хакерам преодолеть ни один из уровней. Ну, вы знаете, секьюрити-модели они как лук – у них много слоев.

«Три, три миллиарда учетных записей Yahoo! — все, что нажито непосильным трудом, все погибло», — сообщила (ну, не дословно, конечно) компания Verizon, которая после покупки ИТ-гиганта произвела ревизию в его сильно запущенном хозяйстве. Впрочем, дело о взломе Yahoo тянется еще с прошлого года и стартовало с каких-то 200 миллионов пользовательских учеток, выставленных на продажу в дарквебе в августе 2016-го. Месяцем позже Боб Лорд, CISO компании, слегка скорректировал эту цифру, уведомив общественность о краже уже 500 миллионов аккаунтов. А к декабрю, как следует собравшись, решительно заявил, что на самом деле речь идёт о миллиарде. Наконец, за аудит берется Verizon и сообщает, что «все уже украдено до нас» — все 3 миллиарда аккаунтов, чуть ли не полмира пострадало, да что же это делается, граждане?!

Как теперь выясняется, паслись в закромах Yahoo минимум дважды: первый раз в августе 2013-го, второй — годом позже. Однако только в 2016 году Yahoo уведомила о самих фактах взлома. Кто причастен к этой утечке — одна группа или несколько — также пока не сообщается, но, как водится, неких «госхакеров» уже обвинили. Согласно отчету Yahoo, атакеры смогли взять под контроль процесс, генерящий аутентификационные кукисы, и в результате использовали его для доступа в систему без аутентификации.

Yahoo утверждает, что в украденных данных нет незашифрованных паролей и платежных данных. Хакерам достались лишь имена, адреса электронной почты, телефонные номера, даты рождения, хеши паролей и ответы на секретные вопросы. Лишь. Сущие пустяки.