Антивирусная защита *

Компания Trend Micro выпустила исследование, в котором рассмотрела уязвимости системы дистанционного радиоуправления промышленного оборудования и то, насколько просто злоумышленники могут их использовать для атак на промышленные объекты

Недавно мы (специалисты Trend Micro) опубликовали результаты очередного исследования, которое на этот раз касается систем дистанционного радиоуправления, используемых для работы с промышленным оборудованием. В ходе исследования мы протестировали оборудование от семи крупных вендоров, чтобы найти уязвимости в системах его защиты, и способы, которыми преступники могут воспользоваться, желая перехватить управление этим оборудованием. И нашли, что характерно, и уязвимости, и способы. Потенциально их можно использовать для саботажа производства, воровства и даже шантажа.

Кибегруппа Sednit действует минимум с 2004 и регулярно фигурирует в новостях. Считается, что Sednit (более известные как Fancy Bear) стоят за взломом Национального комитета Демократической партии США перед выборами 2016 года, Всемирного антидопингового агентства (WADA), телевизионной сети TV5Monde и другими атаками. В арсенале группы набор вредоносных инструментов, некоторые из которых мы задокументировали в прошлом отчете.

Недавно мы выпустили отчет о LoJax – UEFI-рутките, который также имеет отношение к Sednit и использовался в атаках на Балканах, в Центральной и Восточной Европе.

В августе 2018 года операторы Sednit развернули два новых компонента Zebrocy, и с этого момента мы наблюдаем всплеск использования этого инструмента. Zebrocy – набор из загрузчиков, дропперов и бэкдоров. Загрузчики и дропперы предназначены для разведки, в то время как бэкдоры обеспечивают персистентность и шпионские возможности. У этих новых компонентов необычный способ эксфильтрации собранных данных через связанные с почтовыми службами протоколы SMTP и POP3.

Мы, в лице Фонда Сколково, МИФИ и партнеров, уже 4 раз проводим конкурс проектов в области информационной безопасности. Учитывая рекомендации и пожелания прошлых лет, мы постарались сделать конкурс максимально полезным для всех участников.

В этом году мы существенно обновили конкурс, расширив списки номинаций и партнеров, среди которых: Сбербанк России, Почта России, Ростелеком, Инфосистемы Джет, Лаборатория Касперского, Фонд перспективных исследований, ИнфоТеКС, Норникель, InfoWatch.

В числе партнеров конкурса есть компании, которые ищут проекты на стадии идей и технологий с целью инвестиций, покупки, а также хантинга высококвалифицированных специалистов.

Для проектов с работающим бизнесом расширились возможности по пилотированию и продаже решений на площадках наших партнеров.

Кроме того, в этом году партнеры и заказчики будут отбирать интересные для них проекты не только среди списка финалистов, но и по всему перечню поступивших заявок.

Специалисты ESET выполнили анализ новой кампании watering hole, которая нацелена на несколько сайтов в Юго-Восточной Азии. Предположительно атакующие действуют с начала сентября 2018 года. Кампания отличается масштабом – нам удалось обнаружить 21 скомпрометированный ресурс, в том числе – сайты Министерства обороны Камбоджи, Министерства иностранных дел и международного сотрудничества Камбоджи, а также нескольких вьетнамских газет и блогов.


По итогам анализа мы установили, что кампанию выполняет группа OceanLotus, также известная как АРТ32 и АРТ-С-00. Группа действует как минимум с 2012 года и специализируется на кибершпионаже, проявляя особый интерес к правительственным учреждениям и диссидентам.

Давно не было статей про стеганографию. Вот вам пример того, как хакеры маскируют свои атаки под безобидный трафик, используя соц-сети.

Сегодня мы расскажем вам о новом подходе к рассылке ВПО группировкой Buhtrap.

Модуль загрузчика

19 декабря нам стало известно о вредоносной рассылке, содержащей исполняемый файл (md5: faf833a1456e1bb85117d95c23892368). Файл принимал различные названия: «Сверка за декабрь.exe», «Док-ты среда.exe», «Документы 19.12.exe», «Закрывающие документы среда.exe».

Из интересного — файл написан на .Net, что не характерно для этой преступной группировки. Для декомпиляции .Net можно взять любое ПО: Reflector, dotPeek, dnSpy, ILSpy. В статье мы расскажем об особенностях реализации данного файла и о том, как мы его анализировали.

Можно ли полностью защититься от кибератак? Наверное, можно, если окружить себя всеми существующими средствами защиты и нанять огромную команду экспертов управлять процессами. Однако понятно, что в реальности это невозможно: бюджет на информационную безопасность не бесконечный, и инциденты все же будут происходить. А раз они будут происходить, значит, к ним нужно готовиться!

В этой статье мы поделимся типовыми сценариями расследования инцидентов, связанных с вредоносным ПО, расскажем, что искать в логах, и дадим технические рекомендации в отношении того, как настроить средства защиты информации, чтобы повысить шансы на успех расследования.

Источник: ASSOCIATED PRESS

В обычной ситуации malware любого рода после обнаружения одной из антивирусных компаний начинает детектироваться антивирусным ПО других компаний уже через день-два (если не несколько часов). Недавно обнаружилось, что вирус под Mac, который был найден четыре месяца назад, до сих пор не определяется антивирусным ПО — никаким, кроме Kaspersky и ZoneAlarm.

По мнению специалистов по информационной безопасности, Windshift (такое название получило malware) является проектом киберпреступной группы со Среднего Востока. О вирусе неоднократно говорили и писали, например, здесь и вот здесь.

© Яндекс.Картинки

Перечень изменений.

Все специалисты по информационной безопасности рано или поздно сталкиваются с вопросами законодательного регулирования своей деятельности. Первой проблемой при этом обычно является поиск документов, где прописаны те или иные требования. Данный справочник призван помочь в этой беде и содержит подборку ссылок на основные законодательные и нормативно-правовые акты, регламентирующие применение информационных технологий и обеспечение информационной безопасности в Российской Федерации.

Серверы, захваченные хакерами для майнинга крипто-валюты, могут генерировать многотысячные счета за оплату облачного хостинга и потребленную электроэнергию.

В феврале 2018 года известный производитель электромобилей Тесла подвергся крипто-взлому (cryptojacking). Неправильная настройка среды Amazon Web Services позволила хакерам проникнуть внутрь нее. Однако вместо установки обычных программ-вымогателей, вирусов или банальной кражи данных хакеры установили специализированное ПО, которое в фоновом режиме занялось майнингом крипто-валюты.

Такой тип атаки достаточно трудно обнаружить. В этом случае нет утечки или потери данных, все аккаунты остаются доступны их владельцам, и никто из них не подозревает о том, что кто-то посторонний заходил в систему. При этом ПО для майнинга работает в фоновом режиме, зарабатывая деньги для преступников, которые не вкладывают в этот процесс ни одной копейки.

Нет, я не собираюсь рассказывать, как написать своего шифровальщика-вымогателя, майнера или эксплуатировать супер-новую уязвимость, как вы могли подумать. И тем более я не горю желанием поднимать холивар «Linux безопаснее Windows?(да)». Моей целью было написание простого вируса для linux, некого, так сказать, «Just for Fun», единственной функцией которого является распространение своей копии. О том, что у меня получилось, я расскажу в этой статье. В конце я приведу ссылку на GitHub с исходниками.

Расширения для браузеров — основной канал утечки конфиденциальной информации

Из крупнейшей в мире социальной сети произошла очередная утечка данных. На этот раз утекла не только базовая информация о пользователях, но и самое «секретное» на Facebook — личные сообщения как минимум 81 000 пользователей, преимущественно из России и Украины. Архив выставлен на продажу, а доказательства опубликовала Русская служба BBC.

По мнению специалистов, приватная информация получена с помощью вредоносных расширений браузера. Но злоумышленники утверждают, что у них есть личные сообщения 120 млн человек, в том числе 2,7 млн россиян. Это небольшая доля от 2 млрд активных пользователей Facebook.

Кибернетическое командование США (U.S. Cyber Command) объявило о необычной инициативе. Оно обещает регулярно заливать в базу VirusTotal образцы «рассекреченных зловредов».

Несложно догадаться, что речь идёт о кибероружии, которые используют иностранные спецслужбы в текущих операциях (подразделения по киберразведке действуют во всех странах с развитыми разведывательными службами, в том числе в России). Другими словами, американская разведка собирается выставить инструменты противника на всеобщее обозрение. После появления в общедоступных базах VirusTotal эти инструменты попадут во все антивирусные базы и по сути станут неэффективными.

«Это похоже на пример новой стратегии США, направленной на активное преследование иностранных государственных акторов. Публикуя вредоносное ПО, США вынуждают их постоянно находить и использовать новые уязвимости», — комментирует ситуацию известный специалист по безопасности и криптограф Брюс Шнайер.

Специалисты ESET выполнили анализ сложного вредоносного ПО, не изученного ранее, предназначенного для целевых атак на предприятия критической инфраструктуры в Центральной и Восточной Европе. Программа, названная GreyEnergy, имеет концептуальное сходство с BlackEnergy – вредоносным ПО, которое использовалось в атаках на украинские энергетические компании в декабре 2015 года. Помимо этого, имеются ссылки, указывающие на то, что операторы GreyEnergy работали вместе с группой TeleBots, стоящей за рядом деструктивных атак.


В отчете представлена информация о деятельности группы GreyEnergy в течение последних лет. Отметим, что мы не приписываем атаки и разработку вредоносного ПО какому-либо государству. Согласно нашей терминологии, «АРТ-группа» — это набор технических индикаторов.

Исследование нового бэкдора кибергруппы TeleBots, стоящей за эпидемией шифратора NotPetya, выявило значительное сходство кода с основным бэкдором Industroyer, что подтверждает взаимосвязь, о которой ранее только распространялись слухи.


В числе крупнейших киберинцидентов последних лет – атаки на украинские энергетические предприятия и эпидемия шифратора NotPetya. В посте мы рассмотрим взаимосвязь между этими событиями.

Кибергруппа Sednit, также известная как АРТ28, Strontium и Fancy Bear, работает как минимум с 2004 года. Считается, что группа стоит за рядом резонансных кибератак. Некоторые ИБ-компании и Министерство юстиции США назвали Sednit ответственной за взлом Национального комитета Демократической партии перед выборами в США в 2016 году. Группе приписывают взлом глобальной телевизионной сети TV5Monde, утечку электронных писем Всемирного антидопингового агентства (WADA) и другие инциденты. У Sednit множество целей и широкий спектр инструментов, некоторые из которых мы уже задокументировали ранее, но в этой работе мы впервые детально опишем применение UEFI руткита.

Что такое ГосСОПКА?

В январе 2013 г. президент Владимир Путин подписал указ о создании в России системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) на информационные ресурсы, расположенные в нашей стране, в диппредставительствах и консульских учреждениях за рубежом.

Недавно мы зафиксировали всплеск активности банковского трояна DanaBot, обнаруженного ранее в этом году. Вредоносное ПО первоначально использовалось в атаках, нацеленных на Австралию, затем операторы переключились на Польшу и расширили географию – сейчас мы наблюдаем кампании в Италии, Германии, Австрии, а в сентябре 2018 года и на Украине.

DanaBot – банковский троян с модульной архитектурой, впервые описанный Proofpoint в мае 2018 года после обнаружения в спам-кампаниях в Австралии. Троян написан на Delphi, имеет мультикомпонентную и мультиэтапную архитектуру, большинство функций реализовано как плагины. На момент первого обнаружения вредоносная программа находилась на этапе активной разработки.