Дайджест инцидентов в области информационной безопасности, 18.11 — 20.12
Декабрь оказался довольно насыщенным в отношении инцидентов с информационной безопасностью. В негативном смысле, к сожалению. Даже если в плане количества самих инцидентов всё осталось в пределах средних значений, то по поводу их «качества» этого сказать, увы, нельзя. Потенциально затронутыми оказались интересы миллионов людей. Значительная часть инцидентов оказалась также связана с сетью Tor и виртуальной валютой Bitcoin, к которым злоумышленники в последнее время испытывают живейший интерес. Но обо всём по порядку.
Stuxnet повышенной зубастости
Ральф ЛангнерУ печально знаменитого вируса-кибероружия Stuxnet обнаружилась более ранняя, гораздо более опасная, скрытная и агрессивная версия, объявил Ральф Лангнер, специалист по безопасности систем промышленного управления и один из первых исследователей знаменитого вируса. В конце ноября Лангнер опубликовал исследование вредоносной программы «Stuxnet 0.5», созданной ещё в 2005 году, но выявленной только в конце февраля этого года исследователями Symantec. Stuxnet 0.5, как и «финальная версия», был предназначен для выведения из строя роторов центрифуг по обогащению урана, но делал это иначе, и в случае его применения разрушения были бы колоссальными. Почему в итоге была использована менее «зубастая» версия Stuxnet, объяснить сложно. Лангнер предполагает, что это было сделано по политическим соображениям.
Полная версия доклада Лангнера доступна здесь.
Tor, биткойны и зловреды
В конце ноября появились сведения о новом эксплойт-ките под названием Atrax, дешёвом (около 250 долларов) и многофункциональном. Среди его возможностей значатся извлечение информации из браузера, майнинг биткойнов и осуществление DDoS-атак. К нему уже даже написаны несколько «коммерческих» дополнений, включая плагин-вор, экспериментальное дополнение для майнинга биткойнов, форм-граббер, — все стоят денег и, как и сам Atrax, продаются только за биткойны. В числе характерных особенностей Atrax — коммуникации через Tor, кроме того, Atrax не использует «подозрительные функции Windows API».
Подробности доступны здесь.
Zero-Day не к обеду
Исследователи обнаружили таргетированные атаки, направленные на ранее неизвестную уязвимость в… Windows XP. Уязвимость также присутствует в Windows Server 2003, но пока удалось обнаружить эксплойт нулевого дня только для Windows XP. Эксплойт позволяет повышать привилегии пользователя. Сделать это удалённо просто так невозможно, однако если контроль над системой уже так или иначе захвачен, этот баг можно использовать для запуска вредоносного ПО и других атак.
Выявленный эксплойт распространяется в виде вредоносного PDF-файла, который необходимо открыть, чтобы зловред сработал.
Зомбирование дронов
Вскоре после того, как Amazon объявил, что собирается использовать беспилотники для доставки товаров, появились сообщения о том, что контроль над этими устройствами вполне можно захватывать удалённо. Некий исследователь Сэми Камкар уже создал устройство, позволяющее это делать, — SkyJack. SkyJack представляет собой автономный БПЛА, запрограммированный на то, чтобы находить другие беспилотники, сближаться с ними на расстояние, достаточное для установления WiFi-соединения, и перехватывать управление ими. На данный момент, впрочем, возможен захват только беспилотников одной марки — Parrot AR Drone 2.0.
Что касается программной оболочки, то SkyJack использует программу aircrack-ng, которая прерывает WiFi-соединение дрона-мишени с его владельцем, и JavaScript-библиотеку node-ar-drone, благодаря которой устанавливается новое соединение, на сей раз c беспилотником-пиратом.
Подробности доступны здесь.
Тревога: биткойны воруют
В первой половине декабря стало известно ещё об одном зловреде, так или иначе связанном с биткойнами. Программа Bitcoin Alarm маскируется под утилиту для оповещения владельцев биткойнов об изменении курса BTC. На деле же это хитро замаскированный троянец, созданный для кражи аутентификационных данных и (предположительно) используемый для кражи биткойнов тоже.
Давным-давно, в далёкой галактике…
Сеть Tor, увы, довольно часто используется злоумышленниками – анонимность к этому весьма располагает. Исследователи из глобального центра исследований и анализа угроз «Лаборатории Касперского» объявили о выявлении вредоносной кампании, получившей название Chewbacca.
Зловред определяет запущенные процессы на скомпрометированных машинах, считывает память процессов, устанавливает кейлоггер и отсылает информацию с зараженных компьютеров.
Подробности доступны здесь…
Бессмысленный и беспощадный ZeuS
Злополучный банковский троянец ZeuS начал атаковать 64-битные системы. Исследователи из «Лаборатории Касперского» обнаружили новую версию этого зловреда, которая ведет себя почти так же, как ее 32-битные соплеменники. Она тоже использует веб-инжекты для кражи банковских реквизитов и вывода денег со счетов, ворует цифровые сертификаты, умеет перехватывать нажатия клавиш. Основное отличие заключается в том, что эта версия ZeuS работает через анонимную сеть Tor.
Зачем злоумышленникам вообще понадобилась 64-битная версия, загадка, так как лишь менее 0,01% пользователей применяют 64-битный Internet Explorer (а главным назначением этого троянца является перехват и подмена информации в браузерах). По-видимому, какой-то «маркетинговый ход».
Масштаб угрозы: 800 тысяч человек
В начале ноября кто-то вломился в офис компании Horizon Blue Cross Blue Shield, занимающейся услугами медицинского страхования. Добычей воров стали два ноутбука, но на них хранились данные 800 тысяч человек.
Ноутбуки были закреплены с помощью кабель-замков, но воров это не остановило.
Главная проблема заключается в том, что сами ноутбуки были защищены паролями, однако данные на них хранились без шифрования, что может означать крупные проблемы для вышеупомянутых 800 тысяч клиентов компании.
Target значит «мишень»
Гигантская розничная сеть Target признала в минувший четверг, что «потеряла» кредитные и дебетовые данные 40 млн. своих клиентов. В период с 27 ноября по 15 декабря неизвестные злоумышленники активно собирали все эти данные, по-видимому, перехватывая их прямо с заражённых платёжных терминалов торговой сети либо где-то на этапе между терминалами Target и процессинговыми сервисами.
Сейчас, как утверждают представители компании, проблема полностью устранена. Банки, чьих клиентов могла затронуть утечка данных, мониторят ситуацию.
Официальной технической информации об инциденте не так много, однако сам по себе факт свидетельствует об острой необходимости защищать пользовательские транзакции всеми возможными способами, и что лишних мер предосторожности не бывает. Очевидно, что такая крупная сеть как Target серьёзно относится к защите своего IT-периметра, но уязвимость, тем не менее, нашлась. Менее крупные розничные сети и отдельные магазины, выделяющие меньше ресурсов на защиту, могут оказаться куда более уязвимыми, следовательно, уязвимы и их посетители.