BobMarley

Пользователи
  • Публикаций

    186
  • Зарегистрирован

  • Посещение

Информация о BobMarley

  • Звание
    Гуру
  1. В учениях Exercise Cyber Coalition 2019 примут участие 27 государств. НАТО готовится к масштабным киберучениям, в ходе которых будет протестирована способность стран-участниц альянса защитить себя от кибератак противника. В мероприятии Exercise Cyber Coalition 2019 примут участие 27 государств. Учения пройдут осенью нынешнего года с использованием выделенной сети наподобие песочницы. Около 700-900 специалистов в области кибербезопасности испытают себя в сложнейших сценариях, разработанных Агентством НАТО по связи и информации. В ходе учений они будут практиковать свои умения в обнаружении низкоуровневых, но надоедливых атак, таких как взломы, шпионаж, дефейс, выведение из строя сетей и маскировка средств связи внутри сетей. В то же время специалисты протестируют свои навыки по отражению более серьезных атак на критическую инфраструктуру, в частности на водоочистные станции и железнодорожную инфраструктуру. Подготовка к учениям проходит на фоне недавнего заявления главы НАТО Йенса Столтенберга о возможности в случае серьезной кибератаки прибегнуть к Статье 5 Североатлантического договора. Данная статья предусматривает создание системы коллективной защиты, когда нападение на одну или несколько стран-участниц альянса будет расцениваться как нападение на всех. «Мы определили киберпространство как область, в которой НАТО будет действовать и защищать себя так же эффективно, как и в воздухе, на суше и на море. Это означает, что мы будем сдерживать и защищать от любой агрессии по отношению к союзникам, будь то в физическом или виртуальном мире», - заявил Столтенберг. Подробнее: https://www.securitylab.ru/news/500793.php
  2. Разработчики Mozilla сообщили о проведении эксперимента с DNS-over-HTTPS (DoH) — новым сетевым протоколом, шифрующим запросы и ответы системы доменных имен (DNS). В рамках эксперимента исследователи соберут информацию о том, сколько пользователей браузера Firefox из США используют систему родительского контроля и корпоративные конфигурации DNS. В этом исследовании будут сгенерированы DNS-запросы из браузеров участников для обнаружения родительского контроля на уровне DNS. Тестовые домены, которыми управляют известные провайдеры, попытаются определить, включен ли родительский контроль в Cети. Например, OpenDNS управляет сайтом exampleadultsite.com, который не является порталом для взрослых, но присутствует в списках блокировки некоторых провайдеров. Данные провайдеры часто блокируют доступ к подобным web-сайтам, возвращая неверный IP-адрес для поиска DNS. В рамках этого теста разработчики разрешили доступ к exampleadultsite.com. Согласно OpenDNS, доменное имя должно разрешаться только по адресу 146.112.255.155, и если возвращается другой адрес, то это говорит о включенном родительском контроле на уровне DNS. Браузер не будет подключаться или загружать какой-либо контент с web-сайта. Также разработчики протестируют IP-адреса, возвращаемые для Google и YouTube, для проверки их подмены на restrict.youtube.com, forcesafesearch.google.com и restrictmoderate.youtube.com. Для выявления использования внутренних корпоративных резолверов определяемые при открытии сайтов хосты будут проверены на предмет использования нетипичных доменов первого уровня (TLD) и возвращения для них интранет-адресов. Мотивом проведения эксперимента стали опасения, что включение по умолчанию DNS-over-HTTPS может нарушить работу функционирующих через DNS систем родительского контроля, а также создать проблемы для пользователей корпоративных сетей, которые используют DNS-серверы, отдающие сведения о внутренних доменах, не видимых во внешней сети. Новый протокол DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика, защиты от блокировок на уровне DNS или для организации работы в случае невозможности прямого обращения к DNS-серверам. В обычной ситуации DNS-запросы напрямую отправляются на определенные в конфигурации системы DNS-серверы, а в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Для включения DoH в about:config пользователю необходимо изменить значение переменной network.trr.mode, поддерживающейся начиная со сборки Firefox 60. Значение 0 отключает DoH, 1 — использует DNS или DoH, в зависимости скорости, 2 — использует DoH по умолчанию, а DNS как альтернатива, 3 — используется только DoH, 4 — параллельное задействование DoH и DNS. По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить " https://dns.google.com/experimental " или " https://9.9.9.9/dns-query" . Отказаться от участия в эксперименте можно через страницу "about:studies" (исследование представлено в списке как "Detection Logic for DNS-over-HTTPS"). https://www.securitylab.ru/news/500264.php
  3. Впервые опубликованы спецификации смартфона Librem 5 компании Purism, одного из самых защищенных средств связи в мире. Речь о защите персональных данных, а также возможности полностью исключить слежку за его владельцем путем принудительного выключения целого ряда компонентов. Purism Librem 5, пишет портал SlashGear, работает на базе программной платформы PureOS, которая в свою очередь построена на Debian – дистрибутиве Linux. В качестве оболочки используется модифицированная и адаптированная под сенсорные дисплеи среда GNOME Shell. На левом боковом торце корпуса Purism Librem 5 расположены три кнопки-прерывателя, отвечающие за выключение аппаратных компонентов. Первая кнопка выключает Wi-Fi и Bluetooth, вторая полностью закрывает доступ к сотовым сетям, а третья деактивирует микрофон и обе камеры – фронтальную и основную. В случае если пользователь активировал все три переключателя, в смартфоне заблокируются все датчики (гироскоп, акселерометр, сенсоры освещенности и приближения и др.). Помимо этого, перестанут работать компас и модули навигации. Также в Purism Librem 5 предусмотрен еще более радикальный метод гарантированной защиты от слежки, который заключается в возможности в любой момент извлечь аккумулятор. Сроки релиза и стоимость Разработчики Librem 5 планируют запустить его продажи в течение III квартала 2019 г., который завершится 30 сентября 2019 г. Более точные сроки на момент публикации материала указаны не были, к тому же девелоперы так и не продемонстрировали рабочий прототип смартфона – пока что он существует лишь в виде 3D-рендеров. Purism ведет прием предварительных заказов Librem 5, и до 31 июля 2019 г. включительно его можно прибрести за $650 (41,2 тыс. руб. по курсу ЦБ на 30 июля 2019 г.). В последующие дни стоимость гаджета составит $700 (44,3 тыс. руб.). Напомним, что впервые Purism Librem 5 был показан в августе 2017 г., и на тот момент разработчики планировали выпустить его не позднее I квартала 2019 г. и продавать его по $600 (38 тыс. руб.). Со временем сроки релиза сдвинулись, а цена выросла. Программное обеспечение Предустановленное ПО PureOS – второе (после аппаратных выключателей модулей связи) основное достоинство смартфона. При поддержке современных технологий, того же языка HTML5 для комфортного веб-серфинга, в нем есть различные функции защиты от утечки персональных данных пользователя. К примеру, все веб-приложения запускаются в PureOS внутри так называемой «песочницы», что исключает вероятность получения ими доступа к пользовательской информации. Схожую технологию Microsoft реализовала в настольной ОС Windows 10. Кроме того, весь цифровой трафик смартфона будет шифроваться, включая текстовые сообщения и письма электронной почты. В смартфоне по умолчанию заложена возможность скрытия собственного номера при исходящих звонках, настройка VPN, продвинутая защита встроенного браузера, функция хоста для подключения периферии вроде клавиатуры и мыши, и ряд других защищенных функций. Подобных мер защиты нет ни Google Android, ни в Apple iOS, уверяют разработчики. В то же время, PureOS располагает поддержкой широкого спектра современных сервисов, включая Instagram, YouTube и Twitter. Соответствующие приложения наряду с другими встроены в систему, и по мере развития ОС их количество будет расти. Аппаратные спецификации Электронная составляющая – не самая сильная сторона данного смартфона. Разработчики сделали основной упор именно на функции безопасности и защиты информации, в результате чего Purism Librem 5 по своим аппаратным возможностям может сравниться лишь со смартфонами 2016-2017 гг. За два года, прошедшие с момента анонса смартфона, его спецификации претерпели определенные изменения. В распоряжении моноблока имеются 8-мегапииксельная фронтальная и 13-мегапиксельная основная камеры, дисплей IPS с диагональю 5,7 дюйма и разрешением 1440х720 пикселей (HD+, соотношение сторон 18:9) и процессор i.MX8M с четырьмя ядрами ARM Cortex-A53 (1,5 ГГц), вспомогательным чипом Cortex-M4 и интегрированной графикой Vivante, поддерживающей технологии OpenGL/ES 3.1, OpenCL 1.2 и Vulkan. Вместе с перечисленным у Purism Librem 5 есть 3 ГБ оперативной и 32 ГБ встроенной памяти, поддержка карт microSD емкостью до 2 ТБ, модем сотовой связи Gemalto PLS8 3G/4G (опционально Broadmobi BM818), навигационный модуль STMicroelectronics Teseo LIV3F (поддерживает ГЛОНАСС, GPS, Galileo, BeiDou и QZSS) и два модуля беспроводной связи – Bluetooth 4.0 и двухдиапазонный Wi-Fi 802.11n (2,4 и 5 ГГц). К особенностям Purism Librem 5 можно отнести наличие съемного аккумулятора емкостью 3500 мАч с быстрой зарядкой Power Delivery по USB-C 3.0, ридер смарт-карт (формат miniSIM, 2FF) и дискретный ЦАП Wolfson Media WM8962. Смартфон поддерживает установку одной SIM-карты в формате nanoSIM и располагает отдельным 3,5-миллиметровым разъемом под наушники. Размеры и вес гаджеты разработчики не раскрывают.
  4. "Ленинский (г. Минска) районный отдел Следственного комитета расследует уголовное дело в отношении Модиной Елены Витальевны, которой 24 мая 2019 года Следственное управление УСК по городу Минску предъявлено обвинение по ч.4 ст.209 УК (мошенничество, совершенное в особо крупном размере). Избрана мера пресечения в виде заключения под стражу", - проинформировал Дмитрий Герасименя. "Установлено, что она с 2017 по 2019 год, находясь на территории Беларуси, путем обмана белорусских и иностранных граждан под различными предлогами завладела денежными средствами на сумму более $2 тыс., Br18 тыс., более 38 тыс. евро. В настоящий момент потерпевшими по уголовному делу признаны 10 граждан", - сказал Дмитрий Герасименя. Двое из потерпевших - иностранцы. Начальник управления по раскрытию преступлений в сфере высоких технологий ГУВД Мингорисполкома Андрей Ковалев отметил, что женщина использовала в интернете различные ники, в том числе мужские. Сотрудники управления "К" столичной милиции в начале этого года получили оперативную информацию, что гражданин, предположительно Великобритании, Дэнис Патон занимается мошенничеством в интернете. Оказалось, что под ником Denis Paten Елена Модина находила в интернете мужчину или женщину, вступала в общение, заводила дружбу. "Дэнис" узнавал особенности личности нового друга. "Прежде всего это связано с трудоустройством, особенностями сексуальной ориентации, онкозаболеваниями либо разведением животных, в частности собак", - рассказал Андрей Ковалев. Людям с онкозаболеваниями "Дэнис" рассказывал, что тоже перенес рак. Говорил, что знает эту проблему изнутри, и обещал помочь. "Если это касалось нетрадиционной сексуальной ориентации, то она представлялась лицом с такой же ориентацией. Она играла на различных тонкостях и особенностях человека, легко вступала в доверие", - подчеркнул Андрей Ковалев. Выяснить, кто скрывается под ником, было достаточно проблематично. "Во время комплекса оперативно-технических мероприятий мы установили, что это гражданка РФ Елена Модина. Было нелегко ее идентифицировать - в связи с тем, что она легко меняла внешность, подделывала мужской голос. У людей, которые с ней общались, не возникало никаких сомнений", - рассказал начальник управления "К". Она также легко подделывала акценты - могла говорить с украинским, польским и английским. Для общения с жертвами россиянка использовала различные соцсети и мессенджеры, иногда встречалась лично. Для выманивания денег использовала различные предлоги и способы. Говорила, что занимается разведением и продажей дорогих пород собак. Пользуясь такой легендой, женщина завладевала чужими деньгами и собаками. В одном из случаев мужчина даже взял кредит на Br4 тыс. В одном из случаев, когда она представлялась человеком с нетрадиционной сексуальной ориентацией и больным онкологией Дэнисом Патоном, во время общения с женщиной под предлогом покупки лекарств завладела Br15 тыс. "Деньги передавались якобы сестре", - рассказал Дмитрий Герасименя. "Под этими же данными она вступила в контакт с лицом нетрадиционной сексуальной ориентации, проживающим за рубежом. Под различными предлогами завладела суммой в 17 тыс. евро, - отметил Дмитрий Герасименя. - А под видом сотрудника посольства Беларуси в Латвии вошла в доверие к латвийскому гражданину и предложила ему работу в офисе крупной компании в Лондоне, занимающейся оказанием юридической помощи экспатам (иностранный работник или сотрудник предприятия, работающий за границей. - Прим. БЕЛТА). Под предлогом оформления документов завладела 19 тыс. евро". И это не все способы, которые использовала россиянка. Деньгами она завладевала с помощью переводов, в том числе международных. Она никогда не просила переводить средства на ее счет, а пользовалась данными и счетами уже обманутых ею потерпевших, которые передавали ей деньги. Женщина имеет высшее образование. Она судима за аналогичные преступления на территории России. Сейчас анализируется извлеченная из компьютерной техники обвиняемой информация, а также переписка в социальных сетях и мессенджерах - для установления иных лиц, пострадавших от ее действий. • Video: https://www.youtube.com/watch?v=AONcfgPB8zo
  5. Эксперты сообщили о появлении нового Java-вредоноса, использующего API XFS (EXtension for Financial Service) для обналичивания денежных средств в банкоматах. Атаки такого вида ещё называют джекпотингом — злоумышленники заставляют устройство «выплевывать» купюры. Специалисты отметили, что это весьма специфичная вредоносная программа, которую киберпреступники использовали в атаках на банковский сектор. Исследователи нашли связь проанализированного образца с недавними кибероперациями злоумышленников. «Этот ATM-вредонос не полагается на стандартные интерфейсы для коммуникации, напротив — используются специфичные техники, которые говорят о хорошем уровне кастомизации», — объясняют эксперты. «Не исключено, что киберпреступники получили инсайдерскую информацию из атакуемых финансовых организаций». Попав в систему банкомата, вредоносная программа осуществляет ряд проверок — например, корректность работы Java Virtual Machine (JVM) — после чего поднимает HTTP-сервер, выступающий в качестве интерфейса между атакующим и целевым ATM. В зловреде жестко закодирован IP-адрес 150.100.248[.]18, который потребуется на более поздних стадиях атаки. Используя простые HTTP-запросы, атакующий может активировать отдельные возможности вредоносной программы. Большинство злонамеренных действий выполняется за счёт JavaScript-кода. Именно он помогает злоумышленникам опустошить содержимое банкомата. В случае успешной атаки вредонос посылает соответствующую информацию на вышеупомянутый адрес 150.100.248[.]18. Что отличает эту программу от ее аналогов, делая при этом ее более опасной, — возможность удаленно выполнять batch-команды. С полным техническим разбором этого вредоноса можно ознакомиться в блоге Yoroi: https://blog.yoroi.company/research/java-amt-malware-the-insider-threat-phantom/
  6. Сотрудники правоохранительных органов Болгарии взяли под стражу подозреваемого в кибератаке на сервер Национального агентства по доходам (Националната агенция за приходите), которая привела к утечке персональных данных более половины жителей страны, сообщает телеканал bTV. Подозреваемым является Кристиан Бойков (Кристиян Бойков), 20-летний компьютерный специалист из города София. Он обвиняется в незаконном копировании данных с серверов НАП. Ранее на серверы НАП была совершена кибератака, в ходе которой преступник похитил 110 баз данных с паролями, именами, адресами и информацией о доходах миллионов болгар. Позже злоумышленник отправил в СМИ 57 папок с персональной информацией жителей, сообщив что это только половина украденных данных. Главная дирекция «Борьба с организованной преступностью» (ГДБОП) и Информационная служба АД совместно проанализировали загруженные данные более чем 5 миллионов граждан Болгарии. Они обнаружили файл с данными, указывающими на конкретного пользователя, конфигурацию компьютера, дату, время и программное обеспечение для чтения файлов. Таким образом была установлена личность злоумышленника. Бойкова задержали на рабочем месте в офисе одной из столичных компаний, занимающейся вопросами кибербезопасности. Молодой человек остается под стражей в течении 72 часов, ему грозит заключение сроком от 5 до 8 лет и штраф в размере 10 000 левов (примерно 360 000 рублей).
  7. Васильев показывал Би-би-си копию обращения управления МВД по городу Тольятти на имя начальника линейного управления МВД в аэропорту Шереметьево, в котором указывается, что в отношении Васильева проводится доследственная проверка. Ее инициировала полиция Тольятти по заявлению одного из трейдеров Wex, который разместил деньги на счету биржи и не смог их вывести, следует из документа. Также отраслевые СМИ сообщали в октябре 2018 года, что трейдеры написали обращение на имя президента Владимира Путина. Его передали для проверки в главное следственное управление московского управления МВД. Кроме того, в отношении Васильева возбуждено уголовное дело в Казахстане, сообщали СМИ в апреле 2019 года. Полиция подозревает, что он в сентябре 2018 года с помощью биржи Wex завладел 20 тыс. долларов, принадлежавшими жителю Алматы. Васильев утверждает, что с даты заключения сделки с "Морячком" он не имеет отношения к Wex. Сейчас он занимается продвижением криптовалюты Prizm. Би-би-си обратилась за комментариями в МВД Казахстана, а также в МВД и Генеральную прокуратуру России, ожидает ответа. В Италии задержан россиянин Дмитрий Васильев, связанный с криптовалютной биржей Wex, ранее называвшейся BTC-e. Последняя прекратила работу и перезапустилась под новым названием после задержания в Греции Александра Винника, которого США подозревают в отмывании денег с помощью биткоинов. Об этом Би-би-си рассказала близкая знакомая Васильева, крупный вкладчик биржи, знакомый с Васильевым, и еще один вкладчик, слышавший о задержании от партнеров Васильева. В связи с чем задержан 32-летний уроженец Минска и гражданин России, пока выяснить не удалось. Би-би-си отправила запрос о судьбе Васильева в посольство России в Италии. "Без комментариев", - сказал пресс-атташе посольства Дмитрий Гурин. Запросы в полицию и министерство юстиции Италии на момент публикации материала остались без ответа. В пресс-службе финансовой полиции (Guardia di Finanza, подчиняется министерству экономики) Би-би-си сообщили, что не раскрывают информацию о задержании подозреваемых. Чем известны Васильев и Винник? Биржа BTC-e - крупнейшая русскоязычная площадка по продаже и покупке криптовалюты - работала с 2011 года. В июле 2017 года она приостановила деятельность после ареста в Греции по запросу США россиянина Александра Винника. Домен btc-e.com был арестован ФБР, пользователи потеряли часть денег. Американские власти считают, что Винник был владельцем BTC-e, и что киберпреступники отмыли через биржу более 4 млрд долларов. Собеседники Би-би-си рассказывали, что он был финансовым директором этой биржи. Сам россиянин утверждает, что был всего лишь техническим специалистом и не являлся ни администратором, ни собственником BTC-e. Реальные имена бенефициаров BTC-e неизвестны. После приостановки биржа перезапустилась под брендом Wex.nz. Руководство площадки обещало рассчитаться по долгам BTC-e. Оператором новой биржи стала компания в Сингапуре, владельцем которой и оказался Дмитрий Васильев. Васильев родился в Минске, закончил Санкт-Петербургский политехнический университет. Раньше он зарабатывал игрой в покер, а в 2012 году уехал в Китай и занялся поставкой товаров в страны СНГ. Впоследствии Васильев увлекся криптовалютами. Он выступал на суде по делу Винника в качестве эксперта. Чем занимается Васильев сейчас? В ноябре 2018 года биржу Wex купил бывший боец самопровозглашенной ДНР Дмитрий Хавченко по прозвищу "Морячок", писала ранее Би-би-си. Журнал РБК утверждал, что за Хавченко мог стоять предприниматель Константин Малофеев, в отношении которого введены западные санкции в связи с конфликтом в Донбассе. Представитель Малофеева отрицал связь бизнесмена с "Морячком" и Wex. Сделка в итоге так и не состоялась. Как предполагается, причиной стал конфликт нового собственника с администратором, который имел доступ к кошелькам. После этого торги на бирже прекратились, вывод средств был остановлен. Владельцы счетов начали готовить заявления в полицию на Дмитрия Васильева. Что с Винником? Винник сейчас находится в греческой тюрьме. Его пытаются экстрадировать США, Россия и Франция. Власти США направили властям Греции запрос на его экстрадицию, и суд удовлетворил его. Но почти одновременно запрос на экстрадицию Винника направила Россия. Этот запрос также удовлетворен. В России после ареста Винника возбудили дело по статье "мошенничество в особо крупном размере". Об этом сообщала Генпрокуратура. В августе 2017 год суд в Москве заочно вынес решение об аресте, которое стало основанием для подачи запроса об экстрадиции. Впоследствии в России в отношении Винника возбудили еще одно уголовное дело, и российская прокуратура направила в Грецию еще один запрос об экстрадиции. Позднее к делу подключилась Франция, где россиянина заподозрили в вымогательстве и отмывании средств в составе преступной группы. Париж подал запрос об экстрадиции Винника, и его также удовлетворили. Власти Греции пока не выдали Винника ни в одну из этих стран. Сам россиянин хочет, чтобы его судили в России. Об этом он заявлял через адвокатов.
  8. Государственная прокуратура Нидерландов сообщила о задержании предполагаемого разработчика программ-компоновщиков вредоносных документов. Согласно заявлению, 20-летний житель Утрехта распространял билдеры Rubella, Cetan и Dryad на теневых форумах. Полиция изъяла у него криптовалюту, предположительно полученную от продажи ПО, в сумме эквивалентную 20 тыс. евро. Названные инструменты позволяют добавлять в документы Word и Excel загрузчик в виде макрокода. Подобные файлы-приманки злоумышленники используют для распространения вредоносных программ с помощью спам-рассылок — после открытия они загружают и запускают вредоносное ПО на компьютере жертвы. «Набор инструментов продавался с красочными баннерами на разных теневых форумах, — цитирует The Register блог-запись экспертов Джона Фоккера (John Fokker) и Томаса Роччи (Thomas Roccia), помогавших голландской полиции. — За $500 в месяц его можно использовать для превращения документов Office в оружие, которое обойдет защитные решения и доставит вредоносную нагрузку или запустит требуемый PowerShell-код». Обнаружить местоположение вирусописателя экспертам помог размещенный им на одном из форумов скриншот билдера, запущенного в локализованной версии Windows. «Будучи голландским исследователем, я сразу обратил внимание на этот снимок экрана из-за используемой на нем версии Microsoft Word, — пояснил один из специалистов. — Голландский — очень редкий язык, на нем говорит лишь небольшой процент населения мира и еще меньшее количество киберпреступников». Эта ошибка теневого бизнесмена навела исследователей на мысль поискать подсказки в метаданных вредоносных файлов. Обнаруженные в них улики вывели их на 20-летнего подозреваемого, живущего в Утрехте. После ареста у него конфисковали криптовалюту — около 20 тыс. в евро-эквиваленте. Помимо этого полицейские при обыске нашли данные десятков кредитных карт, руководства по скиммингу и информацию для доступа к тысячам сайтов. Молодой человек предстанет перед судом, дата заседания еще не назначена. По мнению экспертов, билдер Rubella мог получить широкое распространение среди киберпреступников. Он обладал привлекательной ценой, был прост в использовании и предоставлял средства обхода статических анализаторов. Его применяли для распространения банковских троянов ZeuS Panda и Gootkit. https://www.om.nl/@106323/man-from-utrecht https://www.theregister.co.uk/2019/07/18/dutch_cops_malware_arrest/
  9. Житель Тель-Авива Элияху Гиги (Eliyahu Gigi) обвиняется в краже более $1.7 млн в различных криптовалютах. Предполагается, что Гиги украл BTC, ETH и DASH у пользователей из Нидерландов, Бельгии и Германии. Прокурор Йила Харел (Yeela Harel) подала соответствующие обвинения против Гиги, согласно сообщению Globes. Гиги обвиняется в различных преступлениях, в том числе в краже, мошенничестве и отмывании денег. Согласно отчету, в обвинительном заключении Харел говорится, что Гиги создал сеть мошеннических веб-сайтов для кражи криптовалют с помощью вредоносных программ. Его обвиняют в том, что он использовал несколько методов, чтобы скрыть свои следы, включая применение удаленных серверов и перемещение украденных средств на различные кошельки. Гиги и его брат были арестованы в июне. Они подозревались в причастности к международному фишинговому мошенничеству, но прокуратура предъявила обвинения только Гиги. Полиция начала расследование после получения жалоб на то, что Гиги размещает фишинговые ссылки на форумах. С их помощью он заманивает жертв на специально созданный сайт и крадет учетные данные, чтобы завладеть криптовалютами пользователей. Недавно в Израиле были арестованы двое подозреваемых во взломе биржи Bitfinex, а ранее власти Израиля обвинили гражданина по имени Афек Зард (Afek Zard) в краже Dash на сумму более $9 млн. • Source: https://en.globes.co.il/en/article-israeli-hacker-indicted-for-suspected-theft-nis-6m-in-cryptocurrency-1001293970
  10. Эксперты Symantec зафиксировали интересный случай: русскоязычная хакерская группа Turla (она же Waterbug, Snake, WhiteBear, VENOMOUS BEAR и Kypton), известная ИБ-специалистам уже давно, взломала другую небезызвестную хак-группу, иранскую APT34 (она же Oilrig, HelixKitten и Crambus). Напомню, что первое официальное упоминание Turla датировано 2008 годом и связано с взломом Министерства обороны США. Кроме того, ИБ-специалисты обнаруживали следы Turla в атаках 20-летней давности. Впоследствии с группой связывали многочисленные инциденты информационной безопасности – захват спутниковых каналов связи для маскировки своей деятельности, атаки на органы государственного управления и стратегические отрасли, включая оборонную промышленность. Согласно недавно опубликованному отчету ESET, недавно в арсенале Turla был обнаружен новый мощный инструмент, который хакерам удавалось скрывать на протяжении пяти лет, как минимум с 2014 года. Бэкдор, названный LightNeuron, предназначен для компрометации почтовых серверов Microsoft Exchange и функционирует как агент пересылки сообщений (mail transfer agent, MTA), что совсем нетипично для подобной малвари. Последние 18 месяцев эксперты Symantec наблюдала за тремя кампаниями Turla. Так, с начала 2018 года Turla атаковала 13 организаций в 10 различных странах, включая министерства иностранных дел в странах Латинской Америки, Ближнего Востока и Европы, министерство внутренних дел в Южной Азии, две правительственные организации на Ближнем Востоке и в Юго-Восточной Азии, а также правительственное учреждение неназванной страны в Южной Азии, базирующееся в другой стране. В одном из этих случаев аналитики обнаружили доказательства того, что в ноябре 2017 года Turla (Symantec называет группировку Waterbug) взломала инфраструктуру иранской APT34. В итоге серверы «конкурентов» использовались для распространения малвари среди систем ранее уже зараженных вредоносами Oilrig. Так, первое свидетельство активности Turla было замечено 11 января 2018 года, когда инструмент Turla (планировщик задач msfgi.exe) был загружен на компьютер в сети жертвы. На следующий день, 12 января 2018 года, Turla вновь использовала сеть APT34, загрузив дополнительную малварь на другие компьютеры, ранее скомпрометированные APT34, распространяя инструмент для кражи учетных данных Mimikatz. По информации Symantec, целью группировки стали власти неназванной страны Ближнего Востока. При этом исследователи отмечают, что Oilrig, похоже, никак не отреагировали на взлом своей инфраструктуры, хотя иранская APT оставалась активной в сети правительственного учреждения до конца 2018 года, используя для этого другую управляющую инфраструктуру. При этом присутствие Turla в той же сети тоже сохранялось как минимум до сентября 2018 года. Также в своем отчете эксперты Symantec детально описывают и обновленный инструментарий Turla, включая: • новый кастомный дроппер, обычно использующийся для установки бэкдора Neptun, предназначенного для серверов Microsoft Exchange; • кастомные инструменты, построенные на базе похищенных у АНБ решений — EternalBlue, EternalRomance, DoublePulsar, SMBTouch; • средство для сбора данных с USB, которое проверяет подключенные к зараженной машине USB-накопители и ворует файлы определенных типов, зашифровывая их в архив RAR; • скрипты Visual Basic и PowerShell, использующиеся для разведки после первоначального заражения и первичных краж учетных данных; • публично доступные инструменты, такие как IntelliAdmin для выполнения команд RPC, SScan и NBTScan для сетевой разведки, PsExec для развития атаки, а также Mimikatz (Hacktool.Mimikatz) для кражи учетных данных и Certutil.exe для загрузки и дешифровки удаленных файлов. Источник: https://www.symantec.com/blogs/threat-intelligence/waterbug-espionage-governments
  11. Эксперт по безопасности компании Google Тэвис Орманди (Tavis Ormandy) опубликовал детали уязвимости криптографической библиотеки, входящей в ОС Windows 8 и старше. Баг позволяет злоумышленнику вызывать критические ошибки ПО, которые в отдельных случаях устраняются только перезагрузкой машины. Проблема содержится в компоненте SymCrypt — библиотеке с открытым исходным кодом, используемой для реализации криптоалгоритмов в Windows. Как пояснил исследователь, уязвимый модуль «может уйти в бесконечный цикл при вычислении модульной инверсии на определенных битовых комбинациях с bcryptprimitives!SymCryptFdefModInvGeneric». На практике это означает, что при получении специфического сертификата безопасности SymCrypt не сможет завершить процесс его верификации. Это можно использовать для DoS-атак на Exchange, IIS, IPsec и прочие серверы под управлением Windows. Cам эксперт уточняет, что вероятность подобного сценария весьма мала. Ситуацию обостряет лишь тот факт, что вредоносный сертификат можно беспрепятственно отправить по множеству защищенных каналов. Среди указанных в описании методов эксперт упомянул вероятность включения его в сообщение S/MIME, подпись authenticode или пакет данных schannel. Орманди еще в марте передал информацию об уязвимости разработчикам Microsoft. Те пообещали закрыть ее в течение трех месяцев, однако июньский пакет патчей вышел без соответствующей заплатки. В соответствии с общепринятой в ИБ-сообществе практикой эксперт рассказал о баге. Последний выпуск исправлений Microsoft устранил 88 проблем безопасности, 20 из которых получили максимальную оценку угрозы по шкале CVSS. Уязвимости позволяли злоумышленникам, среди прочего, выходить из песочницы Windows, повышать привилегии и выполнять произвольный код. Источник: https://threatpost.ru/dos-vuln-in-symcrypt-allows-dos-attacks-on-windows-servers/33088/
  12. Исследователь NewSky Security Анкит Анубхав (Ankit Anubhav) обнаружил в Интернете следы атак на оборудование для анализа ДНК. Кампания, которую ведут неизвестные злоумышленники из-под иранского IP-адреса, построена на уязвимости 2016 года. По словам эксперта, первые инциденты датированы 12 июня. Взломщики сканируют Интернет в поисках приложений dnaLIMS, которые представляют собой веб-интерфейс системы для работы с ДНК. Еще три года назад специалисты обнаружили в этой программе уязвимость исполнения стороннего кода (CVE-2017-6526), однако разработчики так и не исправили баг. Более того, они явно не считают кражу медицинских материалов серьезной угрозой: в 2016 году создатели dnaLIMS указывали на невозможность расплатиться расшифрованной ДНК в магазине. При обнаружении незащищенного приложения злоумышленники устанавливают оболочку, которая выполняет роль бэкдора. После этого им открывается практически неограниченный доступ к системе — они могут отправлять веб-серверу команды и выгружать с него данные, включая материалы пациентов. Исследователь указывает, что такая информация может пользоваться спросом на черном рынке, особенно если преступникам удастся деанонимизировать ее. Взломщики также могут использовать скомпрометированные системы для создания DDoS-ботнетов или добычи криптовалют. В пользу этой версии говорит тот факт, что с использованного в атаках IP-адреса ранее уже шли сканирования по другим известным уязвимостям. Так, эти же преступники ранее собирали информацию о непропатченных серверах Apache Struts (CVE-2017-5638) и роутерах ZyXel (CVE-2017-6884). Оба бага находят применение в атаках многих IoT-ботнетов, включая такие масштабные зловреды, как Mirai и Gafgyt. В то же время комментаторы отмечают, что в случае dnaLIMS малое количество уязвимых хостов не позволит взломщикам нанести серьезный вред. По их мнению, кампанию могли организовать неопытные киберпреступники, которые вслепую используют найденные в Интернете эксплойты. Ранее эксперты предупреждали о серьезных проблемах безопасности в умном медицинском оборудовании. Угрозу представляют не только ошибки кода, но и сторонние факторы вроде слишком информативных системных сообщений. Источник: https://threatpost.ru/iranian-hackers-try-to-exploit-dnalims-issue/33107/
  13. Создатели почтового клиента Mozilla Thunderbird выпустили очередную версию продукта, устранив серию опасных ошибок, допущенных при интеграции с программой iCal. Среди закрытых багов — три особо серьезных: они открывали широкий доступ к компьютеру жертвы через переполнение буфера. Как пояснили эксперты некоммерческой организации Center for Internet Security, обнаруженные уязвимости представляют особую опасность для крупных предприятий и государственных организаций. Злоумышленники могли их использовать, чтобы устанавливать сторонние программы, манипулировать данными или создавать на компьютере новые учетные записи с полным набором привилегий. Угроза несколько снижается, если жертва управляет аккаунтом без прав администратора. В каждом случае ошибку можно вызвать с помощью специального электронного письма — проблемы возникают, когда клиент интерпретирует код сообщения. Уязвимости CVE-2019-11703 и CVE-2019-11704 связаны с переполнением буфера кучи (heap buffer overflow), CVE-2019-11705 — с переполнением буфера стека (stack buffer overflow). Последний баг в списке, CVE-2019-11706, вызван ошибкой путаницы типов данных (type confusion); степень его опасности оценена как низкая. Пользователям рекомендуют как можно скорее установить безопасную версию Thinderbird 60.7.1 и ограничить число пользователей с правами администратора. Ранее разработчики Mozilla обновили браузер Firefox, устранив в нем 21 угрозу безопасности. Пользователи также получили возможность автоматически блокировать криптомайнеры и трекеры онлайн-активности. Источник: https://threatpost.ru/mozilla-patches-three-high-severity-vulns-in-thunderbird-email-client/33121/
  14. Ранее сферу интересов группы составляли нефтяные и газовые предприятия. Хакерская группировка Xenotime, связываемая ИБ-экспертами с атаками вредоносного ПО для АСУ ТП Triton (также известно как Trisis и HatMan) в 2017 году, расширила список целей. Если ранее сферу интересов группы составляли нефтяные и газовые компании, то сейчас в список объектов атак попали энергетические предприятия в США и странах Азиатско-Тихоокеанского региона. Xenotime активна по меньшей мере с 2014 года, однако известно о ней стало только в 2017 году после атак на нефте- и газодобывающие компании в Саудовской Аравии. Злоумышленники использовали вредоносное ПО Triton, предназначенное для атак на системы безопасности Schneider Electric Triconex. Нападение было обнаружено после сбоев в работе ряда промышленных систем, которые, как считают эксперты, возникли из-за неосторожности хакеров. Изначально группировка атаковала только предприятия нефтегазового сектора на Ближнем Востоке, однако, по данным ИБ-компании Dragos, сейчас Xenotime заинтересовалась энергетическими компаниями в США и Азиатско-Тихоокеанском регионе. По словам исследователей, все попытки атак не увенчались успехом и злоумышленникам не удалось проникнуть в сети целевых организаций. Подобное поведение может указывать на то, что группировка ведет подготовку к дальнейшим кибератакам, проводя рекогносцировку и пытаясь проникнуть в сеть с помощью атак подстановки учетных данных или используя краденные логины/пароли, считают в Dragos. Хотя Xenotime применила Triton лишь в атаке 2017 года, группировка представляет серьезную угрозу для энергетических компаний, также полагающихся на системы безопасности, которые могут быть скомпрометированы с помощью похожих техник, предупреждают исследователи. Напомним, в октябре минувшего года компания FireEye опубликовала отчет, в котором высказала предположение о том, что к созданию вредоносного ПО Triton могут быть причастны разработчики из РФ.
  15. Подготовкой внедрения российского варианта рейтинга занимается компания, специализирующаяся на обработке данных BigData. Сеть «Будь в теме» сообщила о разработке в РФ социального рейтинга для граждан по аналогии с системой, внедренной в ряде регионов Китая. Подготовкой внедрения российского варианта рейтинга занимается российская компания, специализирующаяся на обработке данных BigData. В рамках эксперимента компания уже приступила к анализу данных, требуемых для создания рейтинговой системы. В качестве источников информации используются как открытые данные (социальные сети, публикации СМИ, объявления о продаже товаров, услуг, отзывы о ФИО и номере телефона, форумы и сайты), так и предоставленные тестовые базы данных о правонарушениях (дорожно-транспортные происшествия, задержания, полицейский учет, нахождение в контактах арестованных, административные нарушения, нахождение в списках должников, и т.д.). В конечном итоге гражданин получает оценку, учитывающую его потенциальную общественную и криминальную опасность. Согласно словам разработчиков, пока данная система не будет использоваться для составления политического рейтинга россиян, но может быть полезна банкам, страховым организациям, учебным заведениям и нанимателям.