Атаку на компанию Spamhaus, занимающуюся борьбой со спамом, осуществили хактивисты из России, об этом заявил Александр Лямин, гендиректор российской компании Highloadlab, которая занимается борьбой с DDoS-атаками. По мнению Лямина, в атаках замешаны российские борцы с «интернет-мусором», посчитавшие Spamhaus вредным проектом. Он отметил, что полтора месяца назад его компания столкнулась с технологией DNS-усиления, которую использовали российские активисты для борьбы с сайтами кибермошенников и ресурсами, содержащими порнографию и пропаганду наркотиков.

При использовании DNS-усиления хакеры отправляют с зараженных компьютеров запросы на DNS-серверы, а те отвечают пакетами большего размера. При этом запросы сформированы таким образом, что ответы идут на сервер жертвы. Александр Лямин подчеркнул, что атаки на Spamhaus активизировались днем по московскому времени и шли на спад ночью. На участие российских интернет-пользователей в кибератаке на антиспамерскую организацию указывал и представитель провайдера Cyberbunker Свен Олаф Кампхуис (Sven Olaf Kamphuis). Сама Spamhaus также заявляла, что атаки организованы из России и Восточной Европы, однако сделано это, по мнению компании, по заказу Cyberbunker. Свен Олаф Кампхуис опровергает участие в кибератаках.

Spamhaus занимается созданием спам-фильтров. Атаку компания связала с тем, что она внесла в «черный список» ресурсы, размещенные на Cyberbunker — голландским провайдером, который держит у себя любые сайты, кроме детской порнографии и терроризма.

К атаке на Spamhaus причастны российские хакеры

Группа хактивистов Anonymous 23 марта взломала официальный сайт израильской секретной разведывательной службы Моссад. Кроме того, они опубликовали данные об около 30 000 человек, включая израильских политиков, IDF офицеров и даже агентов Моссада.

По данным неофициальных источников похищенные данные содержат такую информацию:

• полные имена сотрудников и их ID;
• адреса электронной почты;
• почтовые индексы;
• города;
• телефоны;
• области, где агенты живут или работают.

Атака на сайт Моссада была, по словам Anonymous, «сложным DDoS’ом» и является очередным шагом в их постоянной кибервойне против израильского государства.

Интересно, что за этой атакой просматривается действия нескольких разных групп, работавших вместе с Anonymous, по предварительным данным: группы, называющей себя «Sektor 404», которая была ответственна за DDoS-атаку и турецкой группы, известной как «The Red Hack», причастной к утечке данных, которые быстро распространилась через сайты СМИ.

Сайт Моссада взломан хактивистами Anonуmous

FinFisher - это мощный агент для кибер-шпионажа, разработанный Gamma Group, который позволяет тайно шпионить за компьютерами с целью перехвата сообщений, контролем клавиатуры и полным контролем хоста.

Шпионское ПО предназначено для использования правоохранительными и государственными структурами, а также отдельными частными лицами. Однако, экземпляры данного кибер-шпиона были обнаружены на персональных компьютерах оппозиционеров разных стран.

Bloomberg News сообщило что группа экспертов Rapid7, возглавляемая Клаудио Гарньери (Claudio Guarnieri), а также эксперты по безопасности, во главе с Морганом Маркес-Боре (Morgan Marquis-Boire), проанализировали перехваченные вредоносные программы и объяснили механизмы общения агентов со своим командными серверами. Исследование показали, что экземпляры вредоносной программы были обнаружены в Австралии, США, Дубае, Чешской Республике, Индонезии, Латвии, Монголии, Эстонии, Катаре и Эфиопии.

Действительно беспокоящим фактом является неконтролируемое распространение этих вредоносных программ, свидетельствующее о его процветании на черном рынке.

Управляющий директор Gamma International GmbH Мартин Дж. Мюнх (Martin J. Muench) сказал, что Gamma не продавало шпионское ПО в эти страны, а также добавил, что украденные образцы исследований демонстрационных копий были проданы через третьи лица. Мюнх подтвердил, что Gamma соответствует требованиям действующих правил экспорта ПО Великобритании, США и Германии, в то время как правительства стран, где были выявлены случаи отрицали использование шпионского ПО или избегают давать официальные объяснения. Существует большая дискуссия и насчет использования программ-шпионов, они представляют собой серьезную угрозу для неприкосновенности частной жизни и прав человека. Тот факт, что подобные вредоносные программы были обнаружены во всем мире является демонстрацией того, насколько широкой является ее диффузия и то, что инструмент, предназначенный для ограниченного числа категорий правительства был обнаружен везде.

Согласно исследованию Гарньери вредонос устанавливает во встроенном многопользовательском режиме ловушки в несколько запущенных процессов. Пока не ясен в этот момент весь список функциональных возможностей агента, но исследователи полагают, что он молчит, когда у него нет активного подключения к Интернету.

По данным исследования CitizenLab и WikiLeaks FinFisher поддерживает следующие функции:

1. обход регулярно проверяющихся антивирусных систем;
2. скрытая связь с главным сервером;
3. полный мониторинг Skype (звонки, чаты, передача файлов, видео, список контактов);
4. запись общих каналов связи, таких как электронная почта, чаты и VoIP;
5. онлайн-наблюдение веб-камер и микрофонов жертвы;
6. тихое извлечение файлов с жесткого диска;
7. операции анализа процессов кей-логгинга;
8. удаленная онлайн-экспертиза системы жертвы;
9. расширенные фильтры для записи только важной информации;
10. поддержка большинства распространенных ОС (Windows, Mac OSX и Linux).

Исследователи утверждают, что модуль перехвата Skype осуществляется вмешательством в интерфейс буфера звука из Windows DirectSound.

Во время отслеживания C&C-серверов исследователи отметили неожиданное поведение, все сервисы связаны с портами, по которым вредонос пытается обменять двоичные данные, отвечая HTTP- запросом.

Например, при подключении через Telnet к 77.69.140.194:80 и отправке "HEAD /", служба ответила следующим образом:

HTTP/1.1 200 OK

Content-Type: text/html; charset=UTF-8

Content-Length:12

Hallo Steffi

Подобное поведение идеально подходит для дактилоскопии, вследствие чего экспертами был проведен обыск серверов по всему миру с отображением их на карте и представлением соответствующих IP-адресов:

• 112.78.143.26 (Индонезия)
• 121.215.253.151 (Австралия)
• 78.100.57.165 (Катар)
• 213.55.99.74 (Эфиопия)
• 94.112.255.116 (Чешская Республика)
• 213.168.28.91 (Эстония)
• 54.248.2.220 (США)
• 202.179.31.227 (Монголия)
• 80.95.253.44 (Чешская Республика)
• 81.198.83.44 (Латвия)
• 86.97.255.50 (Дубаи, ОАЭ)

Вредонос кажется довольно сложным и хорошо защищённым, но инфицированная цепочка - довольно слаба и проста. Способность к дактилоскопии C&C была откровенно неудобной, особенно для вредоносных программ как эта. В совокупности эти факторы действительно не поддерживают предположение, что воры реструктурировали вредонос для использования на черном рынке.

У представителей оппозиции разных стран обнаружен FinFisher-шпион

Рано или поздно многим организациям придется признать, что сотрудники имеют право приносить на работу собственные устройства, и в этот момент политика взаимодействия BYOD (Bring Your Own Device) с этим неконтролируемым железом должна быть уже разработана, кроме того, должны быть выработаны способы воплощения этого документа в жизнь.

Какие вопросы следует задать себе при разработке этой политики?

Безусловно, политика взаимодействия с личными устройствами будет специфична для каждой организации. Но большинство разновидностей подобных документов будет отвечать на одни и те же вопросы:

1) Каким образом можно использовать устройства во внутренней сети (как с точки зрения бизнеса, так и с позиции личной жизни)? Важно защитить организацию от пользователей, которые держат на своих устройствах нелегальную информацию или данные, принадлежащие другим фирмам, чтобы не получить за них незаслуженного наказания.

2) Какие устройства можно использовать во внутренней сети? Следует ли вводить ограничения? Сегодня, учитывая количество доступных моделей мобильных устройств, уже не разумно создавать список «разрешенных» девайсов. Но вполне можно ограничить доступ по платформенному принципу, если того требуют соображения безопасности.

3) Возмещать или не возмещать расходы? Многие сервисы, с которыми работают мобильные устройства, требуют прямой или косвенной оплаты от пользователей. Политика должна разъяснять, какие именно затраты будут возмещены пользователю со стороны компании. Понятно, что за расходами либо придется следить с помощью специального ПО сторонних разработчиков, либо разрабатывать максимально простую систему компенсаций (например, процент от ежемесячных расходов на связь).

4) Какие приложения запрещать и разрешать? Конфигурация мобильного устройства – это ключевая переменная в вопросе успешного и безопасного внедрения BYOD. Наиболее популярный ответ на этот вопрос – белый и черный список приложений, а также набор «обязательных» программ, отвечающих за безопасность. Но в этом случае в политике должно быть прописано, кто имеет право разрешать/запрещать использование того или иного приложения, и как это будет контролироваться.

5) Как управлять мобильными устройствами? Технологии управления мобильными устройствами (Mobile Device Management, MDM), позволяющие изменять настройки, защищать и контролировать личные девайсы, пока еще находятся на стадии развития. Говорят, им уже немного осталось до стандартизации, но уже сейчас они поддерживают широкий спектр инструментов. Вообще, MDM является частью более широкого набора средств, которые часто называют «корпоративным управлением мобильностью».

6) Как донести информацию об ответственности до пользователей? После введения политики разумно собрать подписи всех сотрудников, использующих собственные мобильные устройства, подтверждающие, что они были ознакомлены с разработанной политикой. Конечно, это все равно не помешает пользователям совершить злонамеренные действия, но заставит задуматься о серьезности использования мобильного устройства на работе тех, кто в обычных условиях не задумался бы. Естественно, для более легкого донесения информации до конечных пользователей, политику надо сформулировать так, чтобы она была максимально простой и понятной.

7) Личное использование vs использование для работы. Это тот самый спорный момент, который может испортить любую не достаточно обоснованную политику. Особенно в нашей стране, где пока в этой сфере все не очень хорошо с законодательством. Кто, например, виноват, если при удаленном стирании информации с мобильного устройства с помощью упомянутого выше MDM-инструментария, пострадали личные данные?

Так что одним из обязательных действия по отношению к политике принятия BYOD должен стать ее регулярный пересмотр, в том числе с учетом обновлений в законодательстве.

Принципы создания политики BYOD

Проект Mozilla и компания Google оперативно выпустили обновления браузеров Firefox 19.0.2 и Chrome 25.0.1364.160, в которых устранены уязвимости, продемонстрированные на конкурсе Pwn2Own.

В Firefox исправлена уязвимость, приводящая к использованию уже освобожденной области памяти (use-after-free) в коде HTML-редактора, проявляющаяся при вызове из скрипта функции document.execCommand() при выполнении операций во встроенном редакторе. В Chrome устранена уязвимость в коде движка WebKit, связанная с подменой типов используемых значений.

Обе уязвимости были использованы в процессе осуществления атак по организации выполнения кода в системе (для выхода за пределы sandbox в Chrome использовалась уязвимость в ядре Windows). Дополнительно можно отметить, что на втором дне соревнования Pwn2Own были успешно осуществлены все три заявленных на этот день попытки: новые методы атаки были продемонстрированы для браузерных плагинов Java, Flash и Adobe Reader.

Firefox и Chrome исправляют уязвимости, обнаруженные на Pwn2Own

На прошлой неделе сотрудниками кампании Trend Micro был обнаружен троян удаленного доступа BKDR_RARSTONE.A, загружающийся непосредственно в оперативную память. Данный RAT-троян считается модификацией трояна PlugX, который использовался в некоторых громких APT-кампаниях в прошлом году.

Сотрудниками кампании был получен его образец через электронную почту, который содержал специально созданный .doc файл, детектирующийся как TROJ_ARTIEF.NTZ.

Этот троян создает и исполняет BKDR_RARSTONE.A, который в свою очередь подгружает следующие файлы:

• % System% \ ymsgr_tray.exe — копия BKDR_RARSTONE.A

• % Application Data% \ profile.dat — бинарник, содержащий вредоносные процедуры BKDR_RARSTONE.A выполняет копию ymsgr_tray.exe. Этот бэкдор открывает скрытый процесс Internet Explorer, в котором он вводит код, содержащийся в profile.dat.

Как и PlugX, исполняемый код расшифровывает сам себя в оперативной памяти. Как только заканчивается расшифровка, начинается загрузка .dll-файла C&C-серверов, которая снова загружает его в память как скрытый процесс в Internet Explorer. Загруженный файл не сбрасывается в систему, а вместо этого напрямую загружается в оперативную память, что делает неэффективным систему обнаружения файлов в антивирусах. Подобно бэкдорам, BKDR_RARSTONE.A подключается к определенным сайтам и может выполнять определенные процедуры, включающие в себя перечисление файлов и каталогов, загрузку, выполнение и выгрузку файлов, самообновление и свое конфигурирование.

Стоит отметить, что среди обычных бэкдоров он отличается способностью получить контроль над свойством «Удаление записей реестра». Делается это, чтобы заполучить информацию об установленных приложениях в пораженной системе, а также знать, как удалить определенные приложения. Это может быть удобно при тихой деинсталляции приложений, которые могут конфликтовать с бэкдором, например, защите от вредоносного программного обеспечения или подобными.

Еще одна интересная особенность этого бэкдора — это способ связи. Он использует, в частности, SSL-соединение. Использование SSL имеет двойное преимущество: оно гарантирует, что связь между C&C-сервером и зараженной системой будет в зашифрованном виде, в то же время оно вписывается в нормальный трафик. Директор Центра исследования киберугроз компании Trend Micro Мартин Реслер (Martin Roesler) заметил, что появление RAT-трояна BKDR_RARSTONE, показывает, что данная технология атак актуальна в хакерской среде и следует ожидать новых изощренных приемов для поражения целевых систем.

BKDR_RARSTONE.A – продолжение следует...

Компания Microsoft подтвердила в своем блоге, что была подвержена атаке, связанной с уязвимостью в Java. В блоге корпорации говорится, что Microsoft не выявила случаев хищения клиентских данных.

В компании заявляют, что атака по способу проведения была похожа на те, что были использованы в отношении Facebook, Twitter и Apple. Как и в Facebook, в Microsoft говорят, что атака была проведена в отношении «небольшого числа» компьютеров.

Также корпорация заявила, что по недосмотру ИТ-персонала на этих выходных были просрочены несколько сертификатов безопасности, связанных с онлайновой платформой Azure, в результате чего с ней не смогли работать многие программы и это вызвало сбои по всему миру у пользователей Azure. Просроченные сертификаты не позволяли установить HTTPS-соединения и получить или отправить данные с/на Azure.

Критики Azure и облачных сервисов в целом уже заявили, что данный пример — лишь один из немногих, показывающих, что хранение важных данных опасно в удаленных облаках.

Microsoft пополнила список недавно атакованных ИТ-производителей

Ряд сотрудников Apple, обнаружили свои Mac инфицированными вредоносным Java-эксплоитом, предназначенным для разработчиков мобильных приложений.

Компания рассказала Reuters, что вредоносная программа проникла в систему, когда работники посетили зараженный веб-сайт для разработчиков iPhone-приложений. Вредоносный код был таким же, какой использовался в недавнем нападении на Facebook, говорится в сообщении компании. Кроме того, источник в Apple, сообщил в новостной ленте о том, что удар был частью той же кампании, которая повлияла на Twitter 1 февраля и кражу информации о 250 000 пользователях.

Общей причиной заражения всех трех гигантов была атака «watering hole», которая, по сообщению F-Secure, сама по себе вызывает обеспокоенность далеко за пределами Twitter, Facebook и Apple. «Не удалось взломать мобильные устройства? Ладно, тогда идите вверх по течению и взламывайте разработчиков мобильных приложений,» написала компания в своем блоге. «В этот момент вы можете ввести все, что вы захотите в исходном коде разработчика.»

Этот факт, означает неприятности не только для Mac, которые как известно имеют псевдо-иммунитет к вредоносным программам, но и для миллионов мобильных приложений, которые используют Mac как платформу для разработок.

В случае с Apple, размер и масштаб взлома еще не определен, и Reuters сообщило, что King of Cupertino даже не уверены, что идентифицированы все зараженные машины. Но, официально, Apple будет преуменьшать инцидент. «Apple выявила вредоносную программу, которая заразила ограниченное число Mac- систем через уязвимости в плагине Java для браузеров», сообщает компания в своем заявлении. «Вредонос был использован в атаке на Apple и ряд других компаний, и был распространен через веб-сайт для разработчиков программного обеспечения. Мы выявили небольшое число систем в компании Apple, которые были инфицированы и изолировали их от нашей сети. Нет никаких доказательств, что какая-то информация покинула Apple.»

Кто стоит за инцидентом тоже пока не ясно. Компания сотрудничает с правоохранительными органами, пытаясь определить, причастность китайских хакеров, так как они якобы имеют отношение ко многим атакам во всем мире, в том числе и на New York Times. Но еще один достоверный источник сообщил Reuters, что до сих пор нет никаких материальных доказательств.

Последние атаки показывают, что разовые атаки периметра уходят в прошлое и все больших оборотов приобретают длительные целевые атаки, направленные на захват контроля над сетью. Необходим сдвиг в сторону постоянной «готовности» и современной многоуровневой защиты.

Apple становится очередной жертвой хакеров

Уже три дня в Интернете наблюдается массовый взлом серверов на базе Linux. Имеется подозрение, что атака совершается через неисправленную 0-day уязвимость в одном из сетевых сервисов.

Среди взломанных систем отмечаются серверы на базе CentOS и другие дистрибутивы на основе пакетной базы RHEL 5 и 6, на которых установлены все доступные обновления. На многих взломанных системах используются панели управления cPanel, DirectAdmin, ISP config и Plesk, пока не ясно могут ли они быть источником проникновения. В результате атаки в системе неизвестным образом появляется файл /lib64/libkeyutils.so.1.9 (для 32-разрядных систем /lib/libkeyutils.so.1.9). После взлома процесс sshd начинает устанавливать подозрительные соединения: при входе на взломанный сервер по ssh, по протоколу UDP осуществляется отправка данных о введённых логине и пароле на 53 порт внешнего хоста. Кроме того, на сервер размещается код для участие в ботнете, используемом для рассылки спама и возможно для совершения дальнейших атак. Маловероятно, что вектор атак связан с недавно обсуждаемой уязвимостю в ядре Linux (CVE-2013-0871), кроме всего прочего выявлены случаи взлома изолированного окружения, построенного на базе дистрибутива CloudLinux с включенным CageFS. Среди атакованных система также отмечаются серверы с системой обновления ядра ksplice и серверы с sshd на нестандартном порту. Связанная со взломом активность была почищена из логов, но одному из пользователей удалось при помощи snoopy проанализировать действия злоумышленника, установившего бэкдор и почистившего логи.

Для выявления факта взлома своей системы достаточно проверить наличие библиотеки /lib64/libkeyutils.so.1.9, не связанной ни с одним установленным пакетом (для 64-разрядных систем: ls -la /lib64/libkeyutils.so.1.9; rpm -qf /lib64/libkeyutils.so.1.9, для 32-разрядных: ls -la /lib/libkeyutils.so.1.9;rpm -qf /lib/libkeyutils.so.1.9).

В Интернете зафиксирован массовый взлом серверов на базе Linux

Распространяющийся через приложения обмена сообщениями и приводящий к дополнительному инфицированию червь Dorkbot/Rodpicom снова напомнил о себе в Skype и MSN Messenger.

Все начинается с того, что потенциальная жертва получает сообщение с просьбой перейти по ссылке «LOL is this your new profile pic? http://goo.gl/[removed]». Те, кто переходят по ссылке попадают на инфицированный сайт.

Помимо того, что программа может распространять сообщения с уже инфицированных компьютеров, она также открывает бэкдоры в зараженные системы для загрузки другого вредоносного ПО, спама, обновлений самой себя и других вредоносных действий. Зараженные компьютеры попадают в бот-сеть и используются для DDoS-атак.

Стоит отметить, что червь ожидает, пока жертва войдет в чат приложения, и только потом отправляет приглашения. Dorkbot/Rodpicom также способен изменять язык сообщений, в соответствии с языковым пакетом ОС Windows жертвы, что делает более правдоподобным то, что сообщение было отправлено пользователем.

Согласно исследованиям Рауля Альвареса из FortiGuard Labs, вредонос также оснащен рядом «уклончивых и запутывающих модулей», направленных на скрытие своего существования как от антивирусного ПО так и исследователей.

Червь Dorkbot/Rodpicom снова напомнил о себе