Обзор инцидентов безопасности за период с 25 по 31 мая 2020 года

Прошедшая неделя ознаменовалась большим количеством сообщений о взломах и утечках.

На прошлой неделе появилось много сообщений об утечках данных и взломах, в том числе осуществленных APT-группами. Об этих и других инцидентах безопасности, имевших место с 25 по 31 мая 2020 года, читайте в нашем обзоре.

Как стало известно в начале недели, персональные данные более 200 тыс. пользователей криптовалютных бирж, платформ и финансовых приложений были выставлены на продажу в Сети. Базы данных содержали имена, физические и электронные адреса, а также номера телефонов владельцев криптовалютных кошельков Ledger и Trezor, пользователей аппаратного кошелька KeepKey, платформ BnktotheFuture, LoanBase и других криптовалютных площадок (включая Korbit, Augur и Coinigy).

На продажу в Сети также было выставлено более трех десятков баз данных SQL, похищенных у online-магазинов в разных странах. В общей сложности продавец предлагает более 1,5 млн записей, но количество похищенных данных может быть намного больше. Злоумышленник взламывает незащищенные серверы, копирует базы данных и оставляет сообщение с требованием выкупа за похищенную информацию. У жертв есть 10 дней для уплаты выкупа, иначе преступник грозит опубликовать БД или использовать по своему усмотрению.

Операторы вымогательского ПО Maze опубликовали данные кредитных карт, похищенные у государственного банка Коста-Рики (Banco de Costa Rica, BCR). 30 апреля операторы вымогателя Maze сообщили о похищении данных кредитных карт более 11 млн клиентов BCR, 140 тыс. из которых принадлежали гражданам США. Тем не менее, финорганизация отрицала факт компрометации своих систем. В качестве доказательства взлома операторы Maze выложили похищенную информацию в открытый доступ.

Неизвестные взломали хакерские форумы Nulled.ch, Sinfulsite.com и suxx.to и опубликовали их базы данных в открытом доступе. В БД содержалась подробная информация пользователей SUXX.TO и Nulled, а также личные сообщения пользователей сайта Sinful.

В четверг, 28 мая, японская телекоммуникационная компания NTT Communications сообщила об утечке данных в результате несанкционированного доступа к ее сети, затрагивающей 621 компанию. Похищенные документы могут содержать сведения о коммуникационном оборудовании, расположении военно-морских сил в порте Йокосука, а также о линиях связи в десяти локациях Сил самообороны Японии.

Неизвестные злоумышленники взломали ряд серверов компании Cisco Systems, использующих платформу Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE). Преступники проэксплуатировали критические уязвимости во фреймворке с открытым исходным кодом SaltStack Salt. Благодаря этому им удалось скомпрометировать шесть серверов серверной инфраструктуры: us-1.virl.info, us-2.virl.info, us-3.virl.info, us-4.virl.info, vsm. -us-1.virl.info и vsm-us-2.virl.info.

Команда безопасности GitHub предупредила о новом вредоносном ПО под названием Octopus Scanner, которое распространяется по сайту через вредоносные Java-проекты.

Вредонос был обнаружен в проектах, управляемых с помощью инструмента Apache NetBeans IDE, предназначенного для написания и компиляции Java-приложений.

На прошлой неделе о себе снова дали знать финансируемые государствами APT-группы. В частности, группировка Sandworm проводит вредоносную кампанию против почтовых серверов, на которых установлен агент пересылки сообщений Exim. Киберпреступники эксплуатируют известную уязвимость CVE-2019-10149 , позволяющую удаленно выполнять код.

Правительство Германии в очередной раз предупредило операторов критической инфраструктуры о киберпреступной группировке Berserk Bear. С помощью как общедоступного, так и специально написанного вредоносного ПО злоумышленники укрепляются в сетях предприятий электро- и водоснабжения с целью похищения информации или доступа к производственным системам.

ИБ-специалисты также обнаружили новую, более совершенную версию ComRAT – одного из самых старых бэкдоров в арсенале APT-группы Turla. Зафиксировано как минимум три жертвы бэкдора – два министерства иностранных дел в Восточной Европе и парламент одной из стран Кавказского региона.

Источник: https://www.securitylab.ru/news/508770.php

Только треть пользователей меняет свои пароли после взлома

Большая часть вины лежит на взломанных сервисах, которые редко уведомляют пользователей о компрометации.

Только треть пользователей меняет свои пароли после уведомления о взломе. Результаты исследования ученых из лаборатории CyLab университета Карнеги Мелон были представлены в мае на семинаре IEEE 2020 по технологиям и защите потребителей и основывались не на опросах пользователей, а на фактическом трафике браузера.

Специалисты проанализировали web-трафик, собранный с помощью университетского проекта Security Behavior Observatory (SBO), где пользователи регистрируются и делятся своей полной историей браузера с целью помочь академическим исследованиям.

Набор данных исследовательской группы включал информацию, собранную с домашних компьютеров 249 участников в период с января 2017 года по декабрь 2018 года. По результатам анализа, из 249 пользователей только 63 имели учетные записи на взломанных доменах, которые уведомили о взломе. Из 63 пользователей только 21 (33%) посетил взломанные сайты с целью изменить свои пароли, а из этих 21 только 15 пользователей сменили пароли в течение трех месяцев после уведомления о компрометации.

В общей сложности было изменено 23 пароля. Два участника исследования сменили свои пароли дважды — один раз после каждого сообщения о взломе. Два участника сменили свой пароль на взломанном домене в течение одного месяца после объявления о нарушении, пять — в течение двух месяцев, и восемь — в течение трех месяцев.

Поскольку данные SBO также включали информацию о паролях, команда CyLab также смогла проанализировать сложность новых паролей пользователей. По словам экспертов, среди пользователей, изменивших пароли (21), только треть (9) сменила их на более надежные. Другие участники создавали пароли более слабые или аналогичные по силе путем повторного использования последовательностей символов из их предыдущих паролей или с использованием похожих паролей от других учетных записей.

Источник: https://www.securitylab.ru/news/508777.php

Произошел сбой в работе Telegram по всему миру

Большинство испытывают проблемы со входом, остальные отмечают невозможность отправить сообщение.

В работе Telegram вечером 6 июня произошел массовый сбой. Об этом свидетельствуют данные сервиса DownDetector 6 июня. Судя по ним, сбой случился около 11 часов вечера по Москве. Большинство испытывают проблемы со входом, остальные отмечают невозможность отправить сообщение.

На момент написания новости о проблемах в работе жаловались более 11 тыс. пользователей мессенджера. Подавляющее большинство из них — 93% — сообщают о невозможности подключения. У остальных не отправляются сообщения.

Больше всего сообщений о сбоях пришло из европейской части России — Москвы и Санкт-Петербурга, а также Белоруссии, Украины, Германии, Италии, Эстонии, Латвии, Франции и Испании.

Источник: https://www.securitylab.ru/news/508951.php

Июньский «вторник исправлений» стал крупнейшим за всю историю Microsoft

В нынешнем месяце Microsoft исправила за один раз рекордное количество уязвимостей.

Во вторник, 9 июня, компания Microsoft выпустила плановые ежемесячные обновления безопасности. Патчи исправляют 129 уязвимостей – максимальное количество проблем с безопасностью, когда-либо закрытых Microsoft в рамках одного «вторника исправлений». Однако, несмотря на количество уязвимостей, ни одна из них не является уязвимостью нулевого дня.

Ниже представлены самые опасные проблемы с безопасностью, исправленные Microsoft 9 июня:

CVE-2020-1181 – удаленное выполнение кода в Microsoft SharePoint;

CVE-2020-1225, CVE-2020-1226 – удаленное выполнение кода в Microsoft Excel;

CVE-2020-1223 – удаленное выполнение кода в Word для Android;

CVE-2020-1248 – удаленное выполнение кода в Windows Graphics Device Interface (GDI);

CVE-2020-1281 – удаленное выполнение кода в Windows OLE;

CVE-2020-1299 – удаленное выполнение кода в процессе обработки файлов .LNK;

CVE-2020-1300 – удаленное выполнение кода в компоненте диспетчера очереди печати;

CVE-2020-1301 – удаленное выполнение кода в протоколе Windows SMB (Server Message Block);

CVE-2020-1213, CVE-2020-1214, CVE-2020-1215, CVE-2020-1216, CVE-2020-1230, CVE-2020-1260 – удаленное выполнение кода в скриптинговом движке Windows VBScript.

Системным администраторам, управляющим большим количеством компьютеров на предприятиях, настоятельно рекомендуется протестировать обновления на наличие багов и установить их как можно скорее. В последнее время разработчики вредоносного ПО внимательно следят за выпускаемыми Microsoft ежемесячными обновлениями. Они выбирают самые полезные уязвимости, с помощью утилиты diff находят, что именно было исправлено, и создают эксплоиты для дальнейших атак.

Источник: https://www.securitylab.ru/news/509104.php

Новый метод атак позволяет воспроизвести разговор с помощью лампочки

С помощью световых изменений в лампочке ученые восстановили звуковые волны на расстоянии 25 метров.

Специалисты из Университета имени Бен-Гуриона и Института Вейцмана подробно описали новый метод восстановления разговоров и аудиозаписей путем анализа вибраций в лампочке. Метод, который они назвали Lamphone, основан на принципе вибрации объектов, когда звуковая волна ударяет их поверхность.

По словам ученых, вибрации в лампочке создают небольшие вспышки в излучении света. Используя мощные датчики, можно регистрировать изменения освещенности и реконструировать звуковые волны, падающие на поверхность лампочки.

Для осуществления атаки злоумышленнику нужна прямая видимость лампочки в ​​комнате или общественном месте. Лампы с декоративными плафонами или другими конструкциями защищены от подобной атаки, как и разговоры, которые происходят в помещениях без окон.

Как только лампочка оказывается в зоне видимости, злоумышленник может использовать такие инструменты, как телескоп и электрооптический датчик для фиксирования изменений освещенности в лампочке с больших расстояний. В ходе эксперимента ученым удалось успешно восстановить как человеческую речь, так и музыку в комнате на расстоянии 25 метров. Как отметили эксперты, этот диапазон можно усилить с помощью соответствующего оборудования (телескопа большего размера, 24/32-битного аналого-цифрового преобразователя и пр).

Одним из недостатков метода является то, что разговоры должны быть достаточно громкими, чтобы генерировать вибрации, или динамики должны находиться достаточно близко к лампочке. Также атака может быть осуществлена лишь против некоторых типов лампочек, и результаты могут отличаться в зависимости от производителя, модели и технических характеристик устройства.

Источник: https://www.securitylab.ru/news/509206.php

Создан защищенный квантовый канал связи длинной 1120 км

В настоящее время скорость передачи данных составляет всего один байт информации в полторы минуты.

Команда исследователей из Китая, Сингапура и Великобритании смогла с помощью спутника «Мо-Цзы» объединить города Наньшань и Дэлинха самой длинной квантовой линией связи, защищенной от взлома.

«Нам удалось осуществить квантовый обмен ключами между двумя наземными станциями на расстоянии 1120 км. Мы повысили эффективность передачи запутанных фотонов примерно в четыре раза и достигли скорости в 0,12 бит в секунду», – пояснили эксперты.

Некоторые проблемы современных систем квантовой связи связаны с тем, что свет при движении через оптоволокно постепенно ослабевает, и в связи с этим расстояние между узлами квантовых сетей в настоящее время составляет всего несколько сотен километров.

Данную проблему исследователи пытаются решить двумя способами: с помощью так называемых повторителей квантовых сигналов, которые могут считывать поступающие в них квантовые сигналы, усиливать их и отправлять адресату, не нарушая целостности данных, или путем повышения дальности передачи квантовой информации через спутники связи.

Орбитальный зонд «Мо-Цзы» был запущен еще в сентябре 2016 года и был использован для первых «межконтинентальных» сессий передачи квантовой информации, но количества передаваемых фотонов не хватало для полноценного шифрования. Спутник остается в «поле зрения» наземных станций слишком короткий период времени, а за это время необходимо успеть передать полный ключ для шифрования данных, отправляемых по наземным линиям. Этого можно добиться двумя путями – повысить эффективность уже существующей системы обнаружения запутанных фотонов, или же сделать их источник более мощным.

Ученые выбрали первый способ и повысили чувствительность наземных телескопов, играющих роль приемников космических квантовых сигналов, а также разработали новые оптические и механические компоненты для более точной наводки на «Мо-Цзы». С помощью телескопов физики создали постоянный канал связи, передающий полноценный ключ для шифрования данных в рамках короткой сессии связи со спутником, которая длится не более 285 секунд.

В настоящее время скорость передачи данных составляет всего один байт информации в полторы минуты. Как отметили специалисты отправка квантовых ключей может быть ускорена в сотни раз, если повысить мощность передатчика на борту спутника.

Источник: https://www.securitylab.ru/news/509247.php

Telegram разблокировали на территории России

Надзорный орган объяснил это тем, что руководство Telegram выразило готовность противодействовать терроризму и экстремизму

Роскомнадзор отменил блокировку мессенджера Telegram, которая действовала в России с апреля 2018 года. у. Такая договоренность достигнута с Генпрокуратурой, сообщается на сайте ведомства.

Павел Дуров не раз говорил, что не собирается делать исключение для российского законодательства и отходить от главного принципа политики конфиденциальности Telegram — «ни байта личных данных третьим лицам». Даже после включения мессенджера в реестр ОРИ Дуров категорически отказался выполнять «закон Яровой», назвав его антиконституционным и технически нереализуемым.

В мае 2020 года депутаты Госдумы Федот Тумусов и Дмитрий Ионин предложили законодательно разрешить разблокировать мессенджер. По их мнению, следует запретить операторам связи блокировать доступ к интернет-сервисам, через которые госорганы распространяют официальную информацию в период действия режима повышенной готовности или ЧС. В Минсвязи их инициативу на тот момент не поддержали.

Дуров напомнил, что мессенджер заблокировали "под эгидой борьбы с терроризмом".

"Хотя мы и тогда не питали симпатии к террористам, с тех пор мы проделали большой путь по преодолению этих угроз. За это время были усовершенствованы методы обнаружения и удаления экстремистской пропаганды, и теперь командой Telegram пресекаются десятки тысяч попыток распространить публичные призывы к насилию и террору ежемесячно", - написал он.

По его словам, созданные механизмы, позволяющие предотвращать теракты, не нарушают тайну переписки пользователей и опыт работы компании в десятках стран показал, что "борьба с терроризмом и право на тайну личной переписки не исключают друг друга".

Напомним, что по Российскому законодательству, Телеграмм обязан ФСБ предоставлять ключи шифрования к переписки всех пользователей.

Источник: https://www.securitylab.ru/news/509311.php

Британские ученые опровергли романтизм жизни хакера

Быть «крутым хакером», киберпреступником, взламывающим сети и компьютеры пользователей, на деле не так уж весело, считают эксперты Кембриджского университета. В своих выводах специалисты опираются на результаты исследования различных видов деятельности. Команда центра Кембриджского университета, изучающего киберпреступления, проанализировала работающий по модели «cybercrime-as-a-service» рынок. В частности, аналитики уделили внимание ботнетам и организаторам DDoS-атак, размещающим свои предложения на чёрных онлайн-рынках.

Исследователи пришли к выводу, что та романтика, которая приписывается деятельности «хакера», зачастую является просто вымыслом. Люди просто не учитывают, что чаще всего условный киберпреступник выполняет приблизительно то же самое, что и среднестатистический системный администратор в офисе. «Как правило, люди смотрят на киберпреступников как на рок-звёзд, а на их деятельность — как на что-то по-настоящему захватывающее», — заявил один из специалистов Ричард Клейтон в интервью Брайану Кребсу. «То есть основной посыл, который хотят навязать людям: быть хакером прибыльно и интересно. Однако в подавляющем большинстве случаев это вовсе не так».

Также исследователи отметили, что современный киберпреступный мир тоже приспосабливается к реалиям. Теперь для «хакеров» больше важна не харизма, а чёткая и слаженная работа — как в офисе.

Источник: https://www.anti-malware.ru/news/2020-06-05-111332/32872

Купил видеокурс: "Построение сетей CISCO с нуля. Часть I".

Изучение сетевого оборудования Cisco, протоколов и механизмов посредством построения крупной корпоративной сети.

Чему вы научитесь

видеокурс на глубоком уровне ознакомит Вас с сетевым оборудованием Cisco, методологией построения, управления, администрирования и защиты локальных вычислительных сетей крупных компаний.

cможете сдать экзамены CCNA и CCNP;

изучите принципы построения компьютерных сетей;

досконально изучите сетевые технологии, протоколы и модель OSI на примере отдельных проектов;

научитесь работать с оборудованием Cisco и операционной системой Cisco IOS;

построите иерархическую компьютерную сеть корпоративного уровня и обеспечите её отказоустойчивость;

оптимизируете сеть для повышения её быстродействия;

подключите к построенной сети сервера и компьютеры пользователей, что позволит симулировать работу реальной организации;

подключите удаленные филиалы с использованием VPN технологий Site-to-Site и удаленных пользователей по VPN.

Пентесты: особенности, рекомендации и кейсы

Тестирование на проникновение – это возможность проверить реальную защищенность информационных систем. Поэтому оно прочно вошло в практику специалистов информационной безопасности и стало частью требований ряда отраслевых стандартов.

В каких случаях стоит проводить тестирование на проникновение? Как определить объем работ, чтобы не потратить бюджет впустую? Какие ставить задачи, чтобы получить нужный результат? Об этом расскажет эксперт Solar JSOC компании «Ростелеком» — крупнейшего в России центра мониторинга и реагирования на инциденты кибербезопасности.

Спикер:

Егор Валов, пресейл-аналитик Solar JSOC

Программа вебинара:

Пентесты от Solar JSOC: отличия и преимущества

Зачем, когда и кому проводить внешний пентест

Внутренний пентест: причем тут социалка и кто такие инсайдеры

Кейсы и рекомендации

В ходе вебинара мы рассмотрим на реальных примерах, как удавалось преодолеть внешний периметр заказчика, какими способами может быть получен доступ к целевым ресурсам и многое другое.

Участие бесплатное. Регистрируйтесь по ссылке https://events.webinar.ru/RostelekomSolar/5436823

Источник: https://www.securitylab.ru/news/509379.php

В 2012 году Ассанж «заказал» у LulzSec подрядчика спецслужб США

Власти США выдвинули против основателя WikiLeaks новые обвинения в сговоре с участниками Anonymous и LulzSec.

В среду, 24 июня, власти США опубликовали новый обвинительный акт против Джулиана Ассанжа. Как сообщает пресс-служба Министерства юстиции США, документ не содержит никаких новых пунктов обвинения, но расширяет список лиц, с которыми обвиняемый вступил в сговор. Так, согласно новому обвинительному акту, основатель WikiLeaks обвиняется в сговоре с участниками Anonymous и LulzSec.

Как сообщается в документе, в 2012 году Ассанж передал лидеру LulzSec, который на тот момент был информатором ФБР, список организаций (в список также вошла частная компания-подрядчик спецслужб США), чьи сети нужно было взломать в интересах WikiLeaks. В частности, он попросил лидера LulzSec добыть для него содержимое электронной почты, PDF-документы и базы данных. В одном из сообщений Ассанж отмечал, что полезнее всего для WikiLeaks будут похищенные материалы ЦРУ, АНБ и New York Times.

«Портал WikiLeaks получил и опубликовал электронные письма, похищенные в результате взлома хакером из Anonymous и LulzSec сетей американской компании, оказывающей консалтинговые услуги разведсообществ США. По словам хакера, Ассанж косвенно попросил его снова спамить эту компанию»,- сообщает пресс-служба Министерства юстиции США.

Новый обвинительный акт также содержит обвинения по 18-ти пунктам, представленным в предыдущем документе, который был утвержден в мае 2019 года. В частности, Ассанж обвиняется в нарушении закона «О шпионаже» (Espionage Act) за участие в предположительной публикации секретных документов Министерства обороны США, полученных от солдата Армии США Челси Мэннинг в 2010 году.

В настоящее время основатель WikiLeaks находится в Великобритании. Ассанж был взят под стражу в связи с запросом американских властей на его экстрадицию в США.

Источник: https://www.securitylab.ru/news/509462.php