Как стать автором
Обновить

Уязвимость Log4shell начали использовать для создания DDoS-ботнетов и криптомайнеров

Информационная безопасность *

Критическую уязвимость Log4Shell в платформе логирования Apache Log4j на базе Java начали применять для развертывания различных полезных нагрузок вредоносного ПО, включая превращение устройств в DDoS-ботов и установку криптомайнеров. Большую часть полезных нагрузок составляют производные ботнета Mirai.

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 1.6K
Комментарии 0

Исходный код составляющих IoT-ботнета Mirai выложен в свободный доступ

Блог компании DefconRU Информационная безопасность *
image

На прошлой неделе было зафиксировано несколько мощных DDoS-атак. Сначала от рук хакеров пострадал журналист Брайан Кребс, на сайт которого обрушили DDoS мощностью порядка 620 Гбит/с. Затем об атаке сообщили представители французского хостинг-провайдера OVH, атака на которых достигала 1 Тб/с.

Атака была осуществлена посредством ботнета, состоящего более чем из 152 000 IoT-устройств, в том числе камер наблюдения и DVR. Данный ботнет насчитывает порядка 150 000 камер и способен генерировать атаки мощностью до 1,5 Тб/с, используя tcp/ack, tcp/ack+psh и tcp/syn.
Читать дальше →
Всего голосов 48: ↑34 и ↓14 +20
Просмотры 25K
Комментарии 10

Опасность и безопасность — гонка виртуальных вооружений

Хостинг Администрирование доменных имен *Сетевые технологии *DNS *

Что с нами не так



Месторасположение найденных заражённых устройств, участвовавших в Mirai. Иллюстрация Imperva Incapsula.

Суть этой реальности в том, что в мире всегда происходят противоборствующие процессы, конкуренция или войны. Вот и сейчас кибертерроризм вышел на новый уровень, связанный с использованием быстроразвивающегося интернета вещей.

Создание угроз и опасности для информации, против безопасности данных и нормального функционирования сети. Последний пример — произошедшая атака на сайт Dyn, которая задела не только саму компанию-провайдера, но и всех её клиентов. Среди них самые популярные во всей сети платформы и сервисы: Amazon, Twitter, GitHub, Heroku, Netflix, Spotify, Airbnb, Reddit, Etsy, SoundCloud, The New York Times, Starbucks, HBO, CNN, Basecamp, PayPal, Etsy. Этот список далеко не полный. В него попало более чем 75 участников: интернет-платформы новостных ресурсов, финансовых организаций, продавцов услуг, социальных сетей, сайты компаний-разработчиков. Примерные потери приравниваются к $110 000 000 — за одни сутки. Причины атаки никто, пока, достоверно назвать не может, а к расследованию уже присоединились представители ФБР (США). Событие вышло за рамки администрирования, на «федеральный» уровень. Все, кто пострадал, будут восстанавливать репутацию. Стало понятно, что никто не надежен настолько, насколько это казалось ещё недавно.
Читать дальше →
Всего голосов 20: ↑18 и ↓2 +16
Просмотры 11K
Комментарии 8

Security Week 43: атака на серверы Dyn, жизнь поддельного техсаппорта, уязвимость в Linux

Блог компании «Лаборатория Касперского» Информационная безопасность *
Главной новостью недели стала атака на DNS-серверы компании Dyn в прошлую пятницу. Мощная DDoS-атака началась утром по времени США, проходила в два этапа и на несколько часов привела к проблемам с доступом или же к полной недоступности множества сайтов-клиентов Dyn (новость). Среди пострадавших — Twitter, Reddit, Github, Soundcloud, Spotify и другие. Фактически все указанные сайты работали, были недоступны обслуживающие их DNS-серверы, но на стороне пользователя невозможность транслировать имя веб-сайта в IP-адрес выглядела так же, как если бы сервис ушел в офлайн целиком. Как обычно, недоступность крупной соцсети привела к глюкам и падению сайтов, которые изначально были вообще не при чем (например, подвисший код элементов Twitter мешал загружаться сайту The Register).

Позже подтвердились предположения об источнике атаки (новость) — это был ботнет IoT-устройств Mirai, ранее отметившийся массивной атакой на блог Брайана Кребса. Код Mirai был выложен в открытый доступ, что привело к заметному росту числа атакованных устройств. Их и так было немало: 380 тысяч по утверждению изначального «владельца» исходников.

Термин «взлом» к подверженным устройствам не совсем применим: в большинстве случаев эксплуатируются банальные уязвимости и зашитые пароли. OEM-производитель Xiongmai, частично ответственный за небезопасные прошивки устройств, даже начал в США отзывную кампанию, которая, впрочем, относится только к нескольким тысячам IP-видеокамер. По остальным выпущены рекомендации и обновления прошивок. Проблема в том, что вряд ли все владельцы устройств будут обновлять устройства.
Читать дальше →
Всего голосов 24: ↑24 и ↓0 +24
Просмотры 12K
Комментарии 1

Как уберечь IP камеру от ботнета Mirai с Flussonic Agent

Блог компании Эрливидео Разработка для интернета вещей *
Недавняя серия рекордных DDoS атак под терабит здорово взбудоражила тех, кто вроде к такому уже привык. Вполне возможно, что ситуация повторится в ближайшее время, причем с существенно большей силой, ведь базовые причины возникновения такого мощного ботнета как Mirai не устранены.

На самом деле несекьюрность IP камер это в целом секрет Полишинеля и причин тому много: это исторически сложившаяся практика работы с ними, сложность доступа к ним, инертность производителей.

Я хочу рассказать о некоторых аспектах этой проблемы и какие могут быть шаги, чтобы снизить остроту этой проблемы.

Текущее положение дел


Итак, сейчас в мире продаются миллионы IP камер. Первая же ссылка из интернета заявляет про 200 миллионов камер безопасности, и эта цифра выглядит вполне разумно.

Не все CCTV камеры — IP, до сих пор продается огромное количество аналоговых камер. Аналоговые камеры понятны, в своём роде удобны, предсказуемы: ведь в них нет никакого глючащего софта, всё аппаратное. Но даже несмотря на последний всплеск AHD и HDCVI, IP камеры в силу лучшего качества картинки и большей гибкости замещают аналог (прекрасный повод аргументированно обсудить столь интересный вопрос в комментариях).
Читать дальше →
Всего голосов 39: ↑36 и ↓3 +33
Просмотры 15K
Комментарии 37

Security Week 44: zero-day в Windows, уязвимость в ботнете Mirai, серьезные дыры в MySQL

Блог компании «Лаборатория Касперского» Информационная безопасность *
У нас очередная неделя патчей с нюансами. Начнем с очередной новости про ботнет Mirai, использовавшийся для минимум двух масштабных DDoS-атак. Благодаря утечке исходников эта казалось бы одноразовая история превращается в масштабный сериал с сиквелами и приквелами. На этой неделе появился еще и спин-офф: исследователи из Invincea Labs откопали в атакующем коде Mirai три уязвимости (подробно в этой новости или в оригинальном исследовании).

Самая серьезная уязвимость приводит к переполнению буфера в коде Mirai. Проблема заключается в некорректной обработке заголовка HTTP Location, который может присутствовать в ответе атакуемого сервера. Код отвечает за удаление префикса http:// из полученной строки. Сделано это очень просто: берем длину строки и вычитаем из нее количество знаков префикса (семь штук). Если подсунуть в ответе очень короткий заголовок Location (из пяти символов), то у нас получится отрицательное число (5-7 = -2), что и приводит к переполнению буфера и сбою.

Важный момент: сбой происходит в процессе, выполняющем атаку. То есть можно таким образом прекратить атаку с зараженного устройства, но не выключить его из ботнета. В общем, получается какая-то очень знакомая, но перевернутая ситуация. Если бы речь шла о легитимной программе, мы бы говорили о «критической уязвимости, которая может быть легко эксплуатирована злоумышленником с помощью специально подготовленного ответа на http-запрос» или как-то так. Срочно патчить! А тут? По идее, наоборот, появляется возможность эффективно гасить атаки. Но возникает вопрос морально-этического плана: а не является ли эта процедура «взломом в ответ на взлом»?
Всего голосов 25: ↑25 и ↓0 +25
Просмотры 10K
Комментарии 2

Монополия на DDoS: Два хакера создали ботнет из 1 млн устройств на базе Mirai

Блог компании Positive Technologies Информационная безопасность *


В прошлом месяце были совершены атаки на крупные сайты вроде Twitter или Spotify, которые временно вывели их из строя. Для этого использовался ботнет Mirai, объединяющий 400-500 тысяч устройств интернета вещей. Теперь журналистам Motherboard стало известно о том, что двое хакеров сумели захватить контроль над ботнетом и создать его новую версию — она объединяет уже миллион устройств. Его мощь успели испытать на себе абоненты немецкого провайдера Deutsche Telekom, сеть которого не работала в прошлые выходные.
Читать дальше →
Всего голосов 25: ↑24 и ↓1 +23
Просмотры 23K
Комментарии 31

Security Week 48: локер с техподдержкой, мутации Mirai, уязвимость в Firefox и Tor Browser

Блог компании «Лаборатория Касперского» Информационная безопасность *
Начнем наш пятничный вечерний дайджест с новости о криптолокере, который настолько плох с технической точки зрения, что это даже интересно. Хотя я не могу достоверно знать, что происходит по ту сторону ландшафта угроз, могу представить, как создатели более приличных троянов-вымогателей комментируют данное творение в стиле мастера Безенчука из «Двенадцати стульев». "Уже у них и матерьял не тот, и отделка похуже, и кисть жидкая, туды ее в качель".

Троян VindowsLocker (да, именно так, через V) подробно описан специалистами компании Malwarebytes и независимым исследователем TheWack0lian (новость, исследование). После шифрования данных троян предлагает позвонить в техподдержку (бесплатный звонок на территории США, все как у приличных людей), и обсудить возможность выкупа в 350 долларов. Командного центра нет, вместо него троян отправляет ключи для разблокировки на pastebin. Сделано все максимально криво: в большинстве случаев ключ нормально не отправляется, соответственно и преступники его не видят. То есть деньги (после переговоров) они собрать могут, а расшифровать данные — нет.

После звонка в «техподдержку» происходит следующее: создается сессия RDP, и скаммеры прямо на компьютере пользователя сначала открывают официальную страницу техподдержки Microsoft, а поверх ее — форму регистрации, где мотивируют жертв передать им номер соц. страхования и кредитной карты с секретным кодом. В этом косноязычном киберпостмодернизме, если постараться, можно разглядеть попытку нацелить криптолокерский бизнес на более широкую аудиторию — ту, что с биткоином и даркнетом справиться не сможет. Но нет, на самом деле это просто просто очень плохой троян.
Читать дальше →
Всего голосов 15: ↑13 и ↓2 +11
Просмотры 14K
Комментарии 8

С чего начинается ботнет: опасный бэкдор найден в IP-камерах Sony

Блог компании Positive Technologies Информационная безопасность *


Ботнеты, построенные из сотен тысяч заражённых устройств “Интернета вещей”, стали одним из главных трендов в кибер-угрозах уходящего года – и видимо, будут столь же популярны в следующем году. Однако предсказывать подобные угрозы (и бороться с ними) можно на несколько лет раньше. Недавно, рассказывая о ботнетах на основе DVR-систем и веб-камер, мы вспоминали, что наши исследователи предупреждали об уязвимостях подобных устройств ещё в 2013 году.

На днях исследователи из SEC Consult обнаружили уязвимость, которая позволяет атаковать 80 моделей IP-камер Sony IPELA Engine, превращая их в ботнеты или используя для шпионажа. Интересная особенность состоит в том, что удалённый доступ, который используется для атаки (Telnet), в этих камерах отключен. Однако бэкдор, оставленный разработчиками, позволяет включить его секретной командой.
Читать дальше →
Всего голосов 16: ↑16 и ↓0 +16
Просмотры 11K
Комментарии 5

Security Week 08: SHA-1 точно всё, уязвимости в роутерах TP-Link, кроссплатформенный ботнет с кодом Mirai

Блог компании «Лаборатория Касперского» Информационная безопасность *
Британские ученые доказали, что алгоритму криптографического хеширования SHA-1 точно настал конец. Как-то так вышло, что этой истории я кажется посвятил наибольшее количество упоминаний в дайджестах, возможно из-за того, что с криптографией не шутят: она либо работает, либо нет. Напомню, о чем идет речь: в конце 2015 года команда исследователей из университетов Голландии, Сингапура и Франции опубликовала доклад, в котором поделилась новыми идеями оптимизации алгоритма поиска коллизий при использовании SHA-1. По той оценке реальную атаку можно было провести примерно за 49 дней, потратив на облачные вычислительные мощности около 75000 долларов.

Коллизия — это когда два разных объекта имеют один хеш. Если алгоритм SHA-1 используется для идентификации объекта, то появляется возможность «подсунуть» иной объект так, что «по документам» он будет идентичен оригиналу. И речь идет даже не о взломе шифрованной переписки, хотя SHA-1 по-прежнему довольно активно используется в криптографии. «Объекты» могут быть документами, сертификатами для идентификации определенного сервера: подмена в данном случае открывает широкий простор для кибератак.

Но этот простор — теоретический: подтвердить уязвимость на практике стоит дорого. На этой неделе команда исследователей из Google и голландского CWI Institute сообщили, что они, таки да, смогли (новость, минисайт проекта).
Читать дальше →
Всего голосов 26: ↑25 и ↓1 +24
Просмотры 17K
Комментарии 25

Арестован предполагаемый организатор атаки ботнета MIRAI на провайдера Deutsche Telekom

Блог компании Positive Technologies Информационная безопасность *
Сотрудники британского агентства по борьбе с преступностью ( National Crime Agency, NCA) арестовали хакера, подозреваемого в организации масштабной атаки ботнета MIRAI на немецкого провайдера Deutsche Telekom в ноябре прошлого года, затронувшей более чем 900 тысяч домашних роутеров. Скомпрометированные устройства использовались для предоставления доступа в интернет, а также услуг онлайн-ТВ и телефонии.

Атака продлилась два дня, во время которых абоненты провайдера не могли подключиться к сети. Вот так выглядело географическое распределение атаки:

image
Читать дальше →
Всего голосов 17: ↑12 и ↓5 +7
Просмотры 6.5K
Комментарии 7

Четыре основные угрозы, которые позволяют превращать IoT гаджеты в армию ботнетов

Блог компании King Servers Хостинг IT-инфраструктура *Сетевые технологии *Беспроводные технологии *


О взломе подключенных к сети умных устройств сейчас не пишет только ленивый. И действительно, проблем с IoT гаджетами, вернее, с их безопасностью, действительно много. Производители, в первую очередь, беспокоятся о функциональности своих устройств. Во вторую — о дизайне. В третью — о практичности. И только в конце списка приоритетов стоит безопасность.

О результатах такого подхода все мы знаем. Это и ботнеты вроде Mirai, и рядовые взломы умных гаджетов и все прочее. А ведь речь не только об разного рода лампочках, но и о дронах, smart-автомобилях и прочих системах, включая промышленные, взлом которых чреват значительными убытками и прочими опасностями.
Читать дальше →
Всего голосов 16: ↑10 и ↓6 +4
Просмотры 3.9K
Комментарии 0

Necurs, один из крупнейших ботнетов мира, получил DDoS-модуль

Блог компании King Servers Системное администрирование *IT-инфраструктура *Облачные вычисления *Сетевые технологии *
Recovery mode


Ботнет Necurs известен как один из крупнейших ботов мира. Его владельцы задействуют мощности своего детища для рассылки огромного количества спам-сообщений. Их объем настолько большой, что работа Necurs заметно влияет на общий размер e-mail трафика во всем мире. Вообще говоря, Necurs — не просто спамбот, это достаточно опасное malware, которое заражает уязвимые системы, подтягивая основной модуль ботнета и соответствующие модули.

Существует и работает Necurs уже несколько лет. За это время он стал объектом исследования многих специалистов по информационной безопасности. Эксперты смогли узнать, какие уязвимости системы использует атакующая часть ботнета и какой протокол используется спам модулем. Но сама платформа не статична, она меняется и совершенствуется.
Читать дальше →
Всего голосов 24: ↑22 и ↓2 +20
Просмотры 11K
Комментарии 5

Обновленный ботнет Mirai вернулся, став еще мощнее

Блог компании King Servers Хостинг IT-инфраструктура *Облачные вычисления *Сетевые технологии *


В общем-то, Mirai особо никуда и не пропадал, ведь в сети есть несколько его вариантов. Однако, специалисты по сетевой безопасности обнаружили интересный вариант Mirai, с обширными возможностями. Его нашли после анализа мощной DDoS-атаки продолжительностью в 54 часа. Судя по всему, сейчас ботнет стал мощнее, чем когда-либо.
Читать дальше →
Всего голосов 20: ↑15 и ↓5 +10
Просмотры 14K
Комментарии 7

Security Week 14: Взлом банка с бразильским размахом, банкоматы кидают деньги в bitch, 54 часа Mirai

Блог компании «Лаборатория Касперского» Информационная безопасность *
Знаете ли вы, друзья, что антивирусные аналитики любят больше всего на свете? Рассказывать друг другу страшные истории. Так вот для нашего ежегодного съезда аналитиков Фабио Ассолини и Дмитрий Бестужев заготовили настоящую крипоту. Можете себе представить старинный уважаемый банк с капитализацией в 25 ярдов нерублей и 500 отделениями, скомпрометированный сверху донизу? Все его 36 доменов и почтовый сервер в придачу были заражены и бодро заливали малварь всем пользователям.
Читать дальше →
Всего голосов 29: ↑25 и ↓4 +21
Просмотры 14K
Комментарии 0

Роутеры, векторы атак и другие приключения Шурика

Блог компании Positive Technologies Информационная безопасность *Разработка для интернета вещей *

Не так давно всего за один месяц свет увидели около 10 уязвимостей, связанных с получением root shell или админских учетных записей на домашних сетевых устройствах. Wi-Fi и 3G-роутеры с админскими учетками вокруг нас. Заплатив 50 $ за платный аккаунт на shodan.io, любой желающий получает доступ к десяткам миллионов IoT-устройств. В их числе роутеры, веб-камеры и прочие гаджеты. С другой стороны, разработчики и поставщики сетевых устройств не придают значения таким понятиям, как «тестирование» и «безопасность». Многие серьезные уязвимости остаются без патчей, а если патчи все-таки выходят, то пользователи не торопятся их применять. Что в результате? Легионы устройств ждут своего часа, чтобы быть взломанными и стать ботами для DDOS-атак.
Читать дальше →
Всего голосов 18: ↑18 и ↓0 +18
Просмотры 16K
Комментарии 7

В аэропорту Великобритании арестовали предполагаемого администратора ботнета Mirai

Информационная безопасность *


В прошлом году червь и ботнет Mirai атаковал сотни тысяч камер, цифровых приставок и других IoT-устройств. Зловред искал в сети открытые порты таких систем, перебирал стандартные данные доступа и заражал гаджеты, владельцы которых не сменяли дефолтные учетки. В результате был сформирован мощнейший ботнет, при помощи которого создатель зловреда организовал несколько сильных DDoS-атак. Их мощность превышала большинство атак, проводимых при помощи других ботнетов.

Первыми жертвами ботнета стали специалист по информационной безопасности и журналист Брайан Кребс, а также французский хостинг-провайдер OVN, плюс компания Dyn. Последняя предоставляет сетевую инфраструктуру и обслуживание DNS для ряда крупных компаний США. В результате атак без доступа к сервисам типа Twitter, Amazon, Tumblr, Reddit, Spotify и Netflix остались сотни тысяч, если не миллионы, человек. И вот сейчас в британском аэропорту арестован человек, которого подозревают в осуществлении некоторых из проведенных ранее DDoS-атак.
Читать дальше →
Всего голосов 14: ↑14 и ↓0 +14
Просмотры 12K
Комментарии 6

Затишье перед IoT-бурей или спустя год после Mirai

Облачные сервисы


С момента массовой атаки на IoT-устройства, осуществленной создателями ботнета Mirai, прошло более года. Стоит отметить, что гаджеты из мира «интернета вещей» были выбраны для атаки не случайно. Очень немногие производители таких систем действительно серьезно относятся к защите устройств от внешнего вмешательства. В большинстве случаев разработчики стараются сделать гаджет функциональным, приятным взгляду, но забывают о безопасности. Массовая атака на IoT-системы была лишь вопросом времени и в прошлом году это время пришло.

Для распространения зловреда Mrai понадобилось никаких уязвимостей нулевого дня и прочих сложных вещей. Как оказалось, разработчики большинства умных устройств устанавливают неизменный пароль для доступа к учетной записи администратора. Всего создатели Mirai предусмотрели подбор 61 различных комбинаций для доступа к учетной записи администратора. Большая часть пораженных червем систем была изготовлена с использованием компонентов компании XiongMai Technologies, так что камеры различных производителей оказались подвержены одним и тем же уязвимостям.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 5.8K
Комментарии 1

Японский седан на топливных ячейках

Транспорт
18 ноября состоялся официальный запуск нового автомобиля от компании Toyota под названием Mirai. Особенностью автомобиля является источник энергии – он работает на водородных топливных ячейках. Mirai (по-японски – будущее) может проехать на одной заправке до 300 миль (480 км), перезаправляется менее, чем за пять минут, а его выхлоп – это водяной пар. Это четырёхдверный переднеприводный седан, по размерам схожий с Camry.


Читать дальше →
Всего голосов 14: ↑14 и ↓0 +14
Просмотры 11K
Комментарии 11

Toyota начала продажи автомобиля с водородным двигателем

Транспорт
image

Сегодня в Японии начались продажи автомобиля Toyota Mirai («будущее» яп.) — первого в мире серийного автомобиля с водородным двигателем. Цена новинки составляет 7 236 000 иен (примерно $61 100), при этом правительство Японии субсидирует покупку на 2.02 млн иен (немногим более $17 000). Согласно планам компании продажи должны были начаться весной 2015 года, однако, поскольку число предварительных заказов превысило ожидание, было принято решение о переносе даты на ранний срок.
Узнать подробности
Всего голосов 44: ↑41 и ↓3 +38
Просмотры 79K
Комментарии 72
1