В своем блоге Microsoft рассказала о трех наиболее используемых видах фишинговых атак, которые применяли злоумышленники в 2019 году. Эти атаки были обнаружены с помощью комплексного решения для защиты пользователей Office 365 Advanced Threat Protection (ATP), которое обрабатывает данные из системы безопасности Microsoft Intelligent Security Graph и анализирует миллиарды электронных писем ежедневно в автоматической режиме, блокируя компоненты с вредоносными URL-адресами и вложениями. Таким образом происходит борьба с большим количеством фишинговых атак в режиме реального времени.

Оказалось, что в 2019 году фишинговые атаки достигли нового уровня креативности и сложности. Примечательно, что методы, используемые в таких атаках, оказались связаны со злоупотреблением различных легитимных алгоритмов в облачных сервисах, таких как Microsoft, Google и Amazon.

Таблица с протестированными процессорами AMD, галочкой отмечены экземпляры, в реализации системы предсказания канала кэша первого уровня которых были успешно выполнены атаки по сторонним каналам.

Согласно информации издания Tom's Hardware, исследователи из Грацского технического университета смогли реализовать два новых метода атак по сторонним каналам, манипулирующих утечками данных в процессе работы механизма предсказания каналов кэша первого уровня некоторых процессоров AMD.

Компания Hostgator в своём блоге сообщила о массированной атаке на сайты под управлением WordPress. Десятки тысяч зараженных компьютеров по словарю пытаются подобрать пароль к административной панели этого популярнейшего движка.

Другой хостинг-провайдер — CloudFlare считает, что одной из целей атакующих является создание более мощного ботнета из серверов, ресурсы которых впоследствии могут быть использованы для совершения DDoS-атак:

Что интересно в этой атаке — это то, что атакующий использует относительно слабый ботнет из домашних ПК чтобы создать гораздо бОльший и более мощный ботнет для подготовки последующих атак. Эти мощные машины могут причинить гораздо больше вреда с помощью DDoS-атак, т.к. сервера имеют широкие сетевые каналы и способны генерить значительные объемы трафика. Эта тактика похожа на ту, что была использована при создании ботнета itsoknoproblembro/Brobot осенью 2012 года. Это была одна из самых серьезных атак на финансовые институты США.

Доброго времени суток, уважаемые! Так случилось, что вопросом программирования более-менее адекватного ИИ для игры «морской бой» я озадачился где-то в конце 2004 года. Быть может я, не имея должных руководств под рукой, изобретал тогда велосипед, но и в последствии, мне попадались потрясающие своей честностью алгоритмы: стрелять наобум, время от времени подглядывая у игрока расположение кораблей, для выравнивания баланса. В последствии я несколько раз улучшал алгоритм. По последним статьям на Хабре можно судить, что тема актуальна, к тому же — мне есть что добавить к написанному другими пользователями.
Итак, цель моей заметки: реализация оптимальной одной из стратегий атаки на корабли соперника, причём не только первое попадание, но и последующее «сопровождение ко дну». Отмечу, что корабли в моей реализации — почти (об этом ниже) произвольной формы.

SQL инъекции, подделка межсайтовых запросов, поврежденный XML… Страшные, страшные вещи, от которых мы все бы хотели защититься, да вот только знать бы почему это все происходит. Эта статья объясняет фундаментальное понятие, стоящее за всем этим: строки и обработка строк внутри строк.

Ориентировочно со 2 августа наблюдается массовая атака на сайты построенные на движках Wordpress (по некоторым данным также атакуются сайты на Joomla, DLE). Злоумышленники с помощью большого ботнета пытаются подобрать пароли к админкам с помощью брутфорса. Некоторые серверы не выдерживают нагрузки. Хостеры принимают различные меры по фильтрации ботов. Обширное обсуждение идет на форуме Searchengines.

Wordpress предлагает свои варианты решения: codex.wordpress.org/Brute_Force_Attacks

В логах на сервере это выглядит как-то так:
93.73.186.55 funshow.ru POST /wp-login.php HTTP/1.0
178.223.136.215 funshow.ru POST /wp-login.php HTTP/1.0
178.68.139.101 funshow.ru POST /wp-login.php HTTP/1.0
99.162.150.102 funshow.ru POST /wp-login.php HTTP/1.0


Как вариант следует убедиться, что админский пароль к сайту устойчив для подбора.

Не секрет, что попытки подбора пароля методом перебора (брутфорс) — постоянное явление. Подбирают пароли к серверам и виртуальным машинам, к админкам сайтов и FTP-аккаунтам, к почтовым ящикам и социальным сетям.

Обычно брутфорс идет в фоновом режиме и практически не заметен для владельцев ресурсов, т.к. не создает значительную нагрузку и не мешает работе сайта, по крайней мере до тех пор, пока злодеи не проникнут на сервер :)

1 августа началась, пожалуй, самая мощная в рунете брутфорс-атака на сайты, созданные с помощью самых распространенных бесплатных CMS: Wordpress, Joomla! и др.



И вот как это было:

Спамер из России признался, что принимал участие в атаке на сайты антиспамерской фирмы Blue Security и на сайты других интернет-компаний. Агрессивная тактика Blue Security очень раздражает спамеров.

В своем анонимном письме, отправленном в редакцию Wired, злоумышленник представился как спамер из России и признался, что скандальная атака на сайты Blue Security была затеяна с целью собрать почтовые адреса всех клиентов этой антиспамерской фирмы. Их насчитывается около полумиллиона. По словам россиянина, это почти удалось. Они собрали от 70% до 90% адресов и отправили сообщения по всему этому списку.

«Компания Blue Security просто мешает нашему бизнесу, — сказал российский спамер. — Они ежедневно досаждают нашим администраторам».

Еще до того, как было получено это письмо, исполнительный директор израильской компании Blue Security сказал, что русские спамеры, организованные в группу под названием PharmaMaster, провели ряд атак на серверы Blue Security, в результате чего сайт прервал свою работу, а пользователи компании получили угрожающие сообщения по электронной почте.

По словам представителей Blue Security, именно эта группа спамеров ответственна также за ряд DoS-атак на серверы пяти хостинг-провайдеров, а также на серверы компании SixApart, где располагается один из крупнейших в мире блоггерских сервисов Livejournal.

Израильские спамеры в отместку за осуждение КПРФ действий Израиля в Ливане в течение последних двух суток массированно атакуют портал российских коммунистов.

«Можно сказать, что израильские сетевые хулиганы открыли »народную войну« против информационного ресурса российской компартии, — сообщил во вторник »Интерфаксу« главный редактор портала »КПРФ.Ру« Анатолий Баранов. — Причина оживления »сетевых патриотов Израиля« понятна — это позиция, которую КПРФ заняла по отношению к агрессии еврейского государства в Ливане».

Студенческий сайт Бауманского университета Бауманка.Ру был взломан, сообщает интернет-газета «Студенческая правда». Взлом, по-видимому, осуществили турецкие хакеры, поскольку в подписи к нецензурному сообщению, размещенному на первой странице сайта «Бауманки», был указан сайт «TurkWorM.CoM».

По словам пресс-секретаря МГТУ им. Баумана Андрея Волохова, «сегодня целый день не работает интернет в ВУЗе, возникли какие-то проблемы». Эти проблемы, по мнению Волохова, напрямую связаны со взломом студенческого ресурса.

Госдепартамент США в настоящее время проводит восстановительные работы после массированной атаки хакеров, которые сумели проникнуть в компьютерную систему американского внешнеполитического ведомства и пытались получить доступ к конфиденциальной информации, сообщает «Итар-Тасс» со ссылкой на агентство Associated Press.

Атака началась в середине июня и главными объектами стали офисы госдепартамента, занимающиеся Китаем и КНДР. В результате был значительно ограничен доступ многих сотрудников госдепартамента к интернету. В настоящее время такой доступ практически полностью восстановлен, однако расследование продолжается и пока неясно, приведет ли оно к каким-либо результатам.

Помимо наземной, воздушной и морской войны, которую Израиль развернул против ливанского шиитского движения «Хезболлах», интенсивные военные действия идут и в виртуальном пространстве. С момента начала вооруженного противостояния тысячи израильских хакеров буквально набросились на интернет-сайты движения, сообщает РИА «Новости» со ссылкой на газету «Аш-Шарк аль-Аусат».

«Электронные войны между Израилем и «Хезболлах» идут уже давно с переменным успехом. Каждая сторона к настоящему моменту накопила много побед и поражений в виртуальных сражениях. Однако их сочетание с войной в реальной жизни меняет оценку этого интернет-противостояния», — заявил в интервью газете сотрудник системного департамента «Хезболлах».

Более миллиона компьютеров оказались заражены вредоносным ПО через баннер, который крутился на MySpace и других сайтах.

«Хакерский баннер» эксплуатировал известную уязвимость в Windows Metafile (WMF), чтобы установить на компьютер жертвы программы семейства PurityScan/ClickSpring — это программы класса adware, которые отслеживают поведение пользователя и генерируют рекламные всплывающие окна, сообщает WashingtonPost со ссылкой на специалистов по безопасности из компании iDefense. Они первыми заметили некорректное поведение баннера. Это обнаружилось случайно, когда один из сотрудников бродил по страницам портала MySpace.com с помощью браузера под Linux. В какой-то момент у него на компьютере выскочило системное сообщение с вопросом, хочет ли он открыть файл под названием exp.wmf.

Эксперт сразу понял, в чем дело. Еще в январе 2006 г. Microsoft выпустила патч, закрывающий серьезную дыру в Windows, связанную с обработкой WMF-изображений. С тех пор уже семь месяцев хакеры активно используют эксплоиты данной уязвимости. Но такое массовое заражение наблюдается впервые.

Пользователи с браузером Internet Explorer под Windows при посещении страницы со злополучным баннером не получали никакого системного сообщения. Их компьютер подвергался атаке без предупреждения: сначала скачивался троянский конь, который, в свою очередь, устанавливал на компьютере шпионские программы семейства PurityScan/ClickSpring.

Информация об успешном взломе отправлялась на русскоязычный сайт в Турции, где подсчитывалось количество жертв. По данным этого сайта, зараженными оказались 1,07 млн компьютеров.

Хакеры из-за рубежа пытались похитить приоритетную научную разработку из компьютерной сети одного химического НИИ Сибирского отделения РАН. Однако сотрудники служб безопасности сумели предотвратить атаку. Информация преступниками получалась в интересах иностранных научно-исследовательских организаций, передает «Интерфакс».

Возможный ущерб от похищения мог составить $100 млн. Вдобавок, часть научных материалов института, находящихся в атакованной локальной сети, не была запатентована. Утечка информации была прервана при попытке хакеров скопировать эти материалы.

Сообщается, что интерес к разработкам института ранее проявляли в Китае, Корее, США. Службы безопасности отмечают, что на научные организации Новосибирска ежегодно совершается порядка 5-6 хакерских атак.

Китайские хакеры совершили ряд атак на сеть Департамента коммерции США, в результате чего пришлось заменить рабочие станции, а также запретить сотрудникам выходить в интернет с их собственных компьютеров, сообщает Reuters.

Целью злоумышленников были компьютеры в Бюро промышленности и безопасности (Bureau of Industry and Security — BIS), где хранится информация об американском экспорте, включая программное обеспечение и технологии. Правда, завладеть данными хакерам не удалось — их интересовал доступ к учетным записям пользователей внутренней сети.

По словам представителей BIS, существует множество признаков того, что нападавшие находились в Китае.

Сайт Газеты.Ru подвергся хакерской атаке сегодня примерно в 14.00 по московскому времени. Как сообщил РИА «Новости» Михаил Михайлин, главный редактор издания, нападению подверглись технические мощности российского и западного провайдеров, обеспечивающих работу Газеты.Ru.

Отразить атаку удалось, и в настоящее время сайт открывается исправно. В отключенном состоянии он находился около трех часов.

В прошлом году зафиксировано около 15 тысяч преступлений в сфере информационных технологий. В первом полугодии 2006 года их число составило 8 400. «А ведь еще в конце 1990-х годов мы говорили о 10-12 преступлениях в год, носивших хулиганский характер», — сказал в интервью ИТАР-ТАСС Константин Мачабели, первый замначальника Бюро специальных технических мероприятий. БСТМ – самое засекреченное подразделение МВД России, вчера оно отметило 14 лет со дня своего основания.

По словам Мачабели, две трети совершаемых сегодня преступлений нацелены на похищение информации и неправомерный доступ к ней. Изменились объекты посягательств, размеры причиненного ущерба и, следовательно, последствия киберпреступлений. «Представьте себе, к чему может привести, к примеру, хакерская атака на объекты так называемой критической инфраструктуры», — иллюстрирует ситуацию руководитель БСТМ.

Часто случаются разного рода компьютерные мошенничества. Среди них наиболее «популярны» ложные предложения товаров и услуг через интернет, а также аферы со счетами в платежных системах и электронными картами. 43% своих жертв мошенники находят среди участников онлайн-аукционов – те относительно легко «клюют» на предложение купить что-либо по очень низкой цене, но с предоплатой. Другим не повезло в поиске супружеского счастья: до 10% жертв – это одинокие мужчины из развитых стран, попавшиеся на уловку с так называемыми «черными невестами». Среди прочих растущих в интернете зол Мачабели назвал фиктивные сделки через онлайн-магазины, принимающие оплату по WebMoney Transfer, а также электронное вымогательство.

Сами мошенники (большая их часть) – это как бывшие осужденные, так и те, кто еще отбывает срок. Последние действуют через находящихся на свободе друзей. У тех и других есть общее свойство – особое умение войти в доверие. Однако особые умения есть и у госслужб: «Мы разработали алгоритм, по которому устанавливаем злоумышленников. По мере роста раскрываемости эти преступления станут менее рентабельными и через некоторое время сойдут на нет. Как это в свое время было с подпольными узлами телефонной связи».

Говоря в контексте более масштабной проблемы кибертерроризма, Мачабели отметил, что у бюро есть технические возможности для перекрытия преступных сайтов, но реализовать их мешает отсутствие регламентирующего процедуру закона. Он пояснил, что под кибертерроризмом служба понимает использование интернета для размещения направленной на разжигание нетерпимости и розни информации, а также — рекрутирования новых сторонников. Особо был отмечен факт, согласно которому 85% террористических сайтов поддерживаются из-за рубежа.

Пока закона нет, но, возможно, он появится – МВД уже внесло в комитет по безопасности Госдумы ряд законодательных инициатив, согласно некоторым из которых, предлагается исключить анонимность в договорах с провайдерами. «Кроме того, в соответствии с законом «О связи в РФ» при заключении договора обязательным пунктом должно быть незамедлительное одностороннее его расторжение провайдером на основании мотивированного письменного решения правоохранительных органов», — добавил руководитель БСТМ.

С полудня субботы на моем сервере, где хостится около 25 сайтов на Wordpress, начались дикие тормоза. Так как мне удалось пережить предыдущие атаки (атака 1 — ровно год назад, атака 2 — в марте) не замеченными, то я не сразу понял, в чем дело.

Когда разобрался, то выяснилось, что идет перебор паролей + множество запросов к XMLRPC.

В результате удалось это все отсечь, хотя и не сразу. По катом три простых приема, как этого избежать.

Когда объявляется крупный онлайн тендер, иногда случается так, что одна заявка приходит довольно быстро, а затем площадка с тендером ложится под крепкой DDoS атакой. Атака странным образом заканчивается в момент окончания тендера. Поскольку одна заявка поступила, именно она и выигрывает. С такой проблемой (как и с обычными DDoS атаками от недоброжелателей и шантажистов) сталкиваются многие наши корпоративные клиенты.

Теперь мы обеспечиваем защиту как сервис. Делается это на двух уровнях: установкой железа Radware DefensePro у клиента и при необходимости переключением трафика на наш центр очистки.



Максимальная мощность атаки — 80 Гб/с (на уровень приложений, более мощные тоже фильтруются, но уже без гарантий по отсутствию потерь легитимного трафика), планируем по мере необходимости расширять до 160. Время от начала до отражения атаки на стороне клиента — 18 секунд максимум, на стороне центра очистки данных — до 40 секунд с учётом времени переключения трафика. При переключении потерь трафика не происходит.