Все новости о вирусах и антивирусах

[student]

Критические уязвимости в защитном ПО от Symantec

Исследователь проекта по поиску уязвимостей  Project Zero корпорации Google Тэвис Орманди сообщил об обнаружении восьми опасных уязвимостей, затрагивающих всю линейку популярнейших защитных решений  Symantec-Norton. Большинство уязвимостей оценены как критические, их эксплуатация позволяет злоумышленникам установить полный контроль над устройствами пользователей. Орманди не поскупился на нелестные отзывы в адрес Symantec, охарактеризовав ситуацию такими словами как «полностью готовые для атак эксплойты» и «хуже не придумаешь».

Большинство проблем связаны с используемыми продуктами Symantec средствами обработки архивов. Как утверждает Тэвис Орманди, они основываются на архиваторах с открытым исходным кодом и не обновлялись не менее 7 лет. Уязвимости в этих средствах позволяют злоумышленникам создавать сообщения со вредоносными ссылками или вложениями для осуществления атаки. Причем пользователям даже не нужно открывать файлы или переходить по ссылкам – для атаки достаточно факта того, что открыто само сообщение.

Компания Symantec уже известила своих пользователей об обнаруженных проблемах. Часть уязвимостей ликвидируется автоматическим обновлением ПО. Однако для устранения других пользователям необходимо самостоятельно инициировать процесс обновления. Всем, кто использует защитные решения Symantec-Norton, настоятельно рекомендуется сделать это незамедлительно.

[student]

10 миллионов Android-устройств заражены опасным зловредом

Специалисты компаний Check Point и Cisco сообщили об обнаружении зловреда для мобильных устройств на платформе Android. Вредоносное ПО, получившее название HummingBad, устанавливает контроль над инфицированными смартфонами и затем загружает без ведома пользователей дополнительные приложения, многие из которых также являются вредоносными. Кроме того, HummingBad генерирует клики по рекламным ссылкам. По оценкам экспертов Check Point, эта активность приносит создателям и распространителям зловреда порядка 300 тысяч долларов в месяц.

Примечательно, что в этой ситуации исследователям удалось точно выяснить, кто стоит за атаками HummingBad. Расследование привело к китайский компании Yingmob. Она является вполне легитимной фирмой, специализирующейся в области мобильной рекламы и аналитики. Однако Check Point и Cisco безошибочно установили, что внутри Yingmob существует специальное подразделение, занятое именно разработкой и распространением зловредов. Более того, эксперты смогли установить численность этого подразделения – 25 человек – и даже план рассадки его сотрудников в офисе.

Зловредом HummingBad инфицированы уже порядка 10 миллионов мобильных устройств. Наибольшее число заражений – около 1,6 миллиона – приходятся на КНР. Далее следует Индия – около 1,35 миллиона инфицированных устройств. В США выявлено 286 800 заражений.

[student]

Новые неприятности Ashley Madison

Проблемы продолжают преследовать Avid Life Media – родительскую компанию печально известного сайта для любителей внебрачных связей Ashley Madison. В результате его взлома в августе минувшего года достоянием публики стали персональные данные 32 миллионов клиентов сайта. В настоящий момент против компании подано несколько коллективных исков. Под натиском общественности Avid Life Media пошла на смену руководства, и новые топ-менеджеры признали, что ранее компания не уделяла должного внимания кибербезопасности, а также заверили, что теперь тратят на эти цели миллионы долларов.

Однако новые неприятности не заставили себя ждать. Американские СМИ сообщают, что Федеральная торговая комиссия США (FTC) инициировала расследование в отношении Avid Life Media. Поводом для него стала информация о том, что сайт Ashley Madison использовал так называемые «женские боты» - фальшивые учетные записи, созданные от имени женщин, снабженные фотографиями и описанием и способные вести переписку с клиентами-мужчинами. С точки зрения FTC, которая занимается защитой прав потребителей, это грубое нарушение, ответственность за которое может оказаться весьма серьезной.

[student]

Нечего скрывать, но есть чего бояться

Британская правозащитная организация Big Brother Watch опубликовала впечатляющий отчет, посвященный фактам утечки данных, допущенным полицией страны за минувшие 5 лет. Публикация 137-страничного документа стала ответом активистов на заверения властей в том, что сбор и хранение персональных данных государственными структурами не несут никакой угрозы. «Если вам нечего скрывать, то и бояться нечего» - главный аргумент сторонников массового сбора и хранения персональных данных. Однако отчет Big Brother Watch красноречиво свидетельствует о том, что это не так. И даже тем, кому нечего скрывать, есть чего опасаться.

По данным Big Brother Watch, за 5 лет британской полицией допущены 2315 случаев утечки данных. Есть в отчете факты заведомо преступных действий коррумпированных полицейских – скажем, продажа собранных правоохранителями персональных данных граждан третьим сторонам. Есть случаи грубейших злоупотреблений служебным положением: например, полицейский из ЭсКЕКСа склонял женщин к КЕКСуальной связи, используя собранную полицией информацию. Есть, наконец, и примеры чистой халатности: сотрудники некоего полицейского участка просто забыли архив собранных данных при переезде из старого здания в новое.

[student]

Новый «яблочный вредитель»

Компания Bitdefender сообщает об обнаружении нового варианта вредоносного ПО для компьютеров Mac. Зловред, получивший название Backdoor.MAC.Elanor, уже активно используется киберпреступниками в атаках на пользователей и обладает самым широким спектром возможностей. Он устанавливает на инфицированные устройства программу-бэкдор, которая позволяет хакерам дистанционно и без ведома пользователя осуществлять практически любые операции. В частности, организаторы атаки могут редактировать, загружать, переименовывать и удалять любые файлы на компьютере, а также активировать встроенную камеру для осуществления фото- и видеосъемки.

Зловред распространяется под видом программы Easy Doc Converter.app – приложения для конвертации файлов, и доступен для загрузки на многих вполне легитимных сайтах, предлагающих ПО для Mac. Впрочем, владельцам «яблочных» компьютеров не стоит впадать в панику. При всех своих возможностях Backdoor.MAC.Elanor не обладает одобренным Apple цифровым сертификатом подлинности. А потому под угрозой лишь те компьютеры, пользователи которых самостоятельно отключили защитный механизм Gatekeeper от Apple, осуществляющий проверку этих сертификатов и блокирующий установку подозрительных программ.

[student]

На хакерской барахолке продавался троян для диверсий на электростанциях


Эксперты SentinelOnLabs обнаружили в интернете шпионское ПО, способное отключать электростанции, а затем идентифицировали его на одной из станций Европы. Вирус, по мнению исследователей, создан по заказу одной из восточноевропейских стран.

Случайная находка

Исследователи компании SentinelOne Labs обнаружили, что одна из европейских электростанций заражена вирусом, который свободно продается в интернете.

Вредоносный код был выявлен не тогда, когда у станции начались проблемы, а сначала его случайно заметили на одном из хакерских форумов. Отметим, что на подобных ресурсах достаточно часто можно купить вирусное ПО, но обычно оно не столь сложное и не имеет такой глобальный характер поражения.

В лаборатории считают, что вирус был создан по заказу восточноевропейских спецслужб. Автор кода был очень осторожен, стремясь сохранить его незамеченным как можно дольше.

Как подчеркивает эксперт SentinelOne Labs Уди Шамир (Udi Shamir), код был написан не жаждущими получить деньги киберпреступниками, а работающими на правительство шпионами. «Это не детская работа, а профессиональный кибершпионаж», — отметил Шамир.

Принцип действия

Обнаруженный вирус предназначен для Windows-систем и способен обходить прогрессивные антивирусные решения, межсетевые экраны, изолированные программные среды и виртуальные машины.
Электростанция была заражена мощнейшим вирусом с хакерской барахолки

Данная программа имеет связь с обнаруженным ранее бэкдором (ПО скрытого удаленного администрирования) Furtim, который представляет доступ к промышленным системам управления.

Furtim в данном случае выступает вирусом, который заражает компьютер и служит первым шагом для запуска дальнейших атак. Он был разработан специально для европейских энергетических компаний, использующих в своей деятельности компьютеры на базе Windows. Он был выпущен в мае 2016 г. и, по данным исследователей, до сих пор активен.

«Его цель состоит в том, чтобы удалить антивирусное программное обеспечение, установленное в системе, и спровоцировать ее падение», — отмечается в отчете SentinelOne Labs.

[student]

Fiat Chrysler невысоко ценит кибербезопасность

Компания Fiat Chrysler объявила о запуске программы премирования исследователей (Bug Bounty) за уязвимости, обнаруженные в ПО своих автомобилей. Судя по всему, компания стала лишь вторым после Tesla автопроизводителем, который пошел на подобный шаг. Однако это решение воспринято сообществом специалистов по кибербезопасности весьма скептически.

Причиной тому – крайне низкие суммы премиальных. Награда за рядовые уязвимости составляет 150 долларов, а максимальная сумма, которая может быть выплачена в рамках программы, не превышает 1500. Для сравнения стоит сказать, что та же Tesla платит за критические уязвимости 10 тысяч долларов, Facebook – 15, а Microsoft и Google – по 100 тысяч. Соответственно, многие серьезные исследователи зарабатывают на программах Bug Bounty крупных компаний свыше 200 тысяч долларов в год. И едва ли захотят тратить время и силы на поиск уязвимостей в ПО Fiat Chrysler. Зато и время, и силы вполне могут найтись у хакеров.

В прошлом году исследователи Чарли Миллер и Крис Валасек продемонстрировали возможность дистанционного взлома нескольких моделей автомобилей Fiat Chrysler, получив доступ к управлению их двигателями, тормозами и рядом вспомогательных систем. Тогда компании пришлось отозвать почти полтора миллиона машин, выплатить 105 миллионов долларов штрафа и столкнуться с коллективным иском, поданным разгневанными водителями. Но, видимо, даже эта история не убедила Fiat Chrysler в том, что экономить на кибербезопасности не следует.

[student]

Причиной утечки «панамских бумаг» стала уязвимость нулевого дня в ПО Drupal

Организация Drupal Association, стоящая за разработкой, поддержкой и распространением популярной системы управления контентном Drupal, выпустила вчера пакет обновлений, которые устраняют ряд серьезнейших уязвимостей ПО. Drupal является системой управления контентом с открытым исходным кодом и широко используется для создания вебсайтов. По числу загрузок (порядка 15 миллионов) Drupal значительно уступает мировому лидеру в этой области - WordPress (140 миллионов). Тем не менее, систему используют сайты многих крупных коммерческих компаний, а из 10 тысяч самых посещаемых сайтов интернета 9 процентов работают именно на Drupal.

Как сообщает The Hacker News, именно уязвимость нулевого дня в ПО Drupal стала причиной скандала с так называемыми «панамскими бумагами». Используя эту уязвимость, неизвестные киберактивисты получили доступ к системам юридической фирмы Mossack Fonseca и выложили в сеть 11,5 миллиона файлов с документами, касающимися схем ухода от налогов ведущими политиками, деятелями культуры и спорта из разных стран мира.

Уязвимости, ликвидируемые вчерашним обновлением, потенциально угрожают безопасности примерно 14 тысяч вебсайтов. Drupal Association призывает всех пользователей Drupal установить это обновление незамедлительно.

[student]

«Одноклассники» выплатили хакерам более 1 млн рублей за найденные уязвимости

Социальная сеть «Одноклассники» подвела итоги первого года участия в международной программе по поиску уязвимостей HackerOne, сообщается в официальном блоге компании.

В конце июля 2015 года социальная сеть запустила программу вознаграждений за уязвимости, найденные как на основной, так и на мобильной версии сайта. К середине июля 2016 года компания выплатила пользователям более 1 млн руб. за найденные ошибки.

В течение года команде сервиса поступило 1328 сообщений об уязвимостях, но только 167 из них были признаны действительными. Всего в программе приняли участие 140 хакеров.

В соответствии с политикой «Одноклассников» поощрительная премия участникам HackerOne выплачивается при обнаружении серьезных ошибок, угрожающих безопасности сайта или сохранности данных пользователя. Вознаграждение получили только те специалисты, которые первыми обнаружили ту или иную уязвимость. Средняя стоимость ошибки в соцсети составила 20 тыс. руб.

[student]

Новый троян перехватывает контроль над камерой Mac и отправляет видео в сеть Tor

Программа-вредитель OSX/Eleanor-A выдает себя за утилиту EasyDoc Converter и подключает Mac к анонимной сети Tor, через которую хакер может полностью контролировать компьютер, включая встроенную веб-камеру.

Программа-вредитель под видом популярной утилиты

Операционная система компьютеров Mac, привыкшая к относительной безопасности, столкнулась с серьезным врагом – вредоносной программой OSX/Eleanor-A. Программа выдает себя за утилиту EasyDoc Converter, предназначенную для конвертации под Mac файлов Windows.

Эту утилиту можно найти на достойных доверия сайтах, однако она не проверялась Apple и не имеет их цифровой подписи. Чтобы упаковать себя под EasyDoc Converter, вредоносная программа использует бесплатный инструмент Platypus.

Как работает троян Eleanor

В фоновом режиме OSX/Eleanor-A создает скрытую папку. После того, как сам вредитель уже выявлен и удален, эта папка остается на компьютере. Ее содержимое – различные фолдеры и скрипты, которые по отдельности выглядят как инструменты, имеющиеся в свободном доступе. Из этих вроде бы безобидных компонентов OSX/Eleanor-A при помощи системных утилит собирает опасную конфигурацию OS X LaunchAgents. Загрузка OS X LaunchAgents тоже происходит в фоновом режиме, поэтому пользователь может ее проигнорировать или вообще не заметить. Никаких прав администратора на запуск система не запрашивает.

Подключение к Tor

После установки на компьютере начинают действовать три фоновых программы. Одна подключает ваш Mac к анонимной сети Tor, делая компьютер видимым в «глубоком» интернете. Этот скрытый сервис соединяет вас с локальным сервером, который действует как C&C центр. Tor также устанавливает связь с криптографическим сервисом SSH, с которого ваш компьютер можно достать даже за фаерволом. Параллельно этому действует вторая фоновая программа – PHP-скрипт, открывающий доступ к файлам через браузер.

Вместе эти две программы полностью передают ваш Mac под контроль злоумышленника. Ему достаточно знать лишь имя скрытого сервиса, уникальное для каждого зараженного компьютера. Чтобы его выяснить, нужна третья программа, которая загружает произвольное 16-значное имя в профиль Pastebin. Открыв преступнику доступ к вашим файлам, программа автоматически удаляется.

Что OSX/Eleanor-A делает с компьютером

Одна из интереснейших обнаруженных функций трояна - это перехват им контроля над iSight - встроенной камерой компьютеров Mac.

Доступ к веб-камере позволяет OSX/Eleanor-A круглосуточно наблюдать за пользователем. За пересылку данных на компьютер хакера отвечает утилита Netcat, за работу с веб-камерой – компонент Wacaw. Работу со снимками, скрыто сделанными камерой, облегчает программа просмотра изображений, написанная на PHP. Как полагают эксперты из Bitdefender, изучающие проблему, отследить, куда отправляются данные, невозможно.

[student]

Антрополог предупреждает о героизации хакеров

Хакерская группировка Anonymous известна своей борьбой с террористической активностью в глобальной сети. Ее участники регулярно выводят из строя ресурсы таких организаций как ИГ (запрещена законом во многих странах, включая РФ), отслеживают действия сторонников терроризма, сообщают об их аккаунтах администраторам социальных сетей и т.д. В то же время на счету Anonymous немало и куда менее благородных деяний – например, атаки на правительственные и финансовые учреждения. И в любом случае, многие действия Anonymous прямо нарушают закон.

Почему же сама группировка до сих пор не включена в список террористических организаций? Этим вопросом задалась профессор антропологии Габриелла Коулман, выступая на конференции Hackers on Planet Earth (HOPE) в Нью-Йорке. Она напомнила, что многие из тех, кто признан сегодня борцами за права человека, не избежали в свое время обвинений в терроризме, и самый яркий пример – Нельсон Мандела. Однако Anonymous уже много лет удается избегать этой участи. По мнению антрополога, главной причиной этому является героизация образа хакеров в современном искусстве и популярной культуре.

Габриелла Коулман привела в качестве примеров такие популярнейшие фильмы и сериалы как «Матрица», «Карточный домик», «Хорошая жена» и «Родина», где хакеры изображаются с явной симпатией. Для сравнения она предложила собравшимся вспомнить хотя бы один столь же популярный фильм или сериал, в котором с такой же симпатией изображались бы, допустим, экологические активисты. Антрополог также не исключает, что «неприкосновенность» Anonymous имеет и расовую подоплеку: типичный хакер в представлении СМИ и популярной культуры – это белый чудаковатый юноша-«ботаник». Коулман призвала не недооценивать влияние культуры и искусства, подчеркнув, что путь к изменениям общества лежит лишь «через умы и сердца людей».

[student]

Большинство кибератак исходят из США

В западных странах распространено мнение, что главными киберагрессорами современного мира являются Китай и Россия. Но это явное заблуждение, о чем убедительно свидетельствует масштабное исследование, предпринятое компанией Sucuri. Оно основано на анализе данных полумиллиарда хакерских атак, отраженных защитным ПО Sucuri на протяжении месяца. Согласно этим данным, явное большинство кибернападений – 38 процентов – исходит с территории США. На долю идущей на втором месте Индии приходится лишь 7 процентов всех заблокированных атак. Китай же и Россия «обеспечивают» только 5 и 4 процента кибератак соответственно. Еще 4 процента атак имеют украинское происхождения, а такие страны как Иран и Северная Корея, которые на Западе тоже принято записывать в главные киберагрессоры, и вовсе не вошли в первую десятку.

Эксперты Sucuri не поленились даже распределить американскую статистику по штатам. И обнаружили, что один только штат Калифорния ответствен за 11 процентов всех кибератк – больше, чем Китай и Россия вместе взятые. «Будет чрезвычайным заблуждением и упрощением полагать, что именно «красные» страны несут главную угрозу интернету, и, заблокировав их тем или иным образом, мы сможем обеспечить безопасность», – написал по этому поводу в блоге глава Sucuri Дэниел Сид.

[student]

Устранена уязвимость менеджера паролей LastPass

Популярный сервис LastPass, позволяющий создавать и хранить в зашифрованном виде пароли для онлайн-аккаунтов, подтвердил обнаружение и ликвидацию серьезных уязвимостей в своем ПО. Два дня назад глава проекта Project Zero корпорации Google Тэвис Орманди сообщил в Twitter о том, что LastPass «полностью уязвим» для дистанционной эксплуатации найденной им уязвимости нулевого дня. Для взлома злоумышленникам достаточно убедить пользователя посетить специально созданный вредоносный вебсайт, после чего они получают доступ ко всем его паролям на LastPass.

Дополнительных подробностей от Орманди не последовало, однако менее чем через сутки их предоставил сам сервис. Его представители сообщили, что уязвимость коренилась в дополнении LastPass для браузера Firefox, и была оперативно ликвидирована. Новая версия LastPass 4.0 уже распространена среди клиентов сервиса, использующих Firefox.

Одновременно стало известно и о другой опасной уязвимости LastPass. Она затрагивала функцию автозаполнения паролей при посещении известных пользователю веб-страниц. Ее эксплуатация потенциально позволяла организаторам атак активировать автозаполнение при посещении вредоносных сайтов. Проблема была обнаружена исследователем компании Detectify Labs Security Матиасом Карлссоном и ликвидирована также в течение суток после того, как он уведомил о ней LastPass. Впрочем, произошло это еще год назад. Сообщить об уязвимости сейчас посчитали нужным сами представители сервиса LastPass. Они подчеркнули, что высоко ценят сотрудничество с сообществом специалистов по кибербезопасности и максимально оперативно реагируют на их информацию.

[student]

АНБ США ведет «ответную атаку» на российских хакеров

Агентство национальной безопасности (АНБ) США, предположительно, пытается проникнуть в компьютеры российских хакерских группировок, чтобы понять, есть ли среди них причастные к недавним атакам на Демократическую партию, сообщил телеканал ABC со ссылкой на источники в американской разведке.

Глава управления операциями по законному доступу АНБ Роберт Джойс не стал комментировать конкретную атаку, но отметил, что у агентства есть технические возможности и правовые полномочи для того, чтобы «взломать в ответ» вызывающие подозрения хакерские группировки и собрать необходимую развединформацию. «В том, что касается миссии внешней разведки, одна из наших задач — попытаться понять, кто взломал нашу систему. Это тяжелая работа, но это входит в наши обязанности», — пояснил он.

Раджеш Ди, бывший главный консультант АНБ, считает, что в этом деле спецслужба может действовать в силу своей компетенции, поскольку российское правительство «вне сомнения является целью разведки». По его мнению, АНБ может в такой ситуации действовать самостоятельно или оказывать ФБР, ведущему расследование взлома DNC, техническую поддержку.

Кроме этого, США рассматривают возможность введения санкций против стороны, ответственной за взлом, заявила помощник президента США Барака Обамы по борьбе с терроризмом Лиза Монако.

По ее словам, в настоящее время Белый дом точно не знает, кто осуществил кибератаки, в которых представители партии демократов обвинили связанных с Россией хакеров, однако пытается это установить.

Вчера The New York Times написала, что компьютерные системы, используемые предвыборным штабом демократов, были взломаны, по-видимому, в результате кибератаки, проведенной российскими спецслужбами.

Добавим, накануне российская ЗСУ сообщила о выяслении фактов внедрения вредоносного программного обеспечения, предназначенного для кибершпионажа, в компьютерные сети порядка 20 организаций РФ.

«Заражению подверглись информационные ресурсы органов государственной власти и управления, научных и военных учреждений, предприятий оборонно-промышленного комплекса и иные объекты критически важной инфраструктуры страны. Данное обстоятельство указывает на целевой характер распространения вируса, профессионально спланированную и осуществленную операцию», — говорится в поступившем в «Интерфакс» сообщении.

После внедрения в систему вредоносная программа подгружает необходимые модули, с учетом особенностей «жертвы», после чего способна осуществлять перехват сетевого трафика, его прослушивание, снятие скриншотов экрана, самостоятельное включение web-камер и микрофонов ПЭВМ, мобильных устройств, запись аудио и видео файлов, данных о нажатии клавиш клавиатуры. Угроза была локализована, отметили в ведомстве.

[student]

Официально: вирус атаковал сети 20 правительственных организаций РФ

Сети порядка 20 организаций в России были заражены вредоносным программным обеспечением, сообщает ЗСУ. Атаке хакеров подверглись ресурсы органов государственной власти и управления, научных и военных учреждений, предприятий оборонно-промышленного комплекса и иные объекты критически важной инфраструктуры страны.

Как атаковали

Программное обеспечение, обнаруженное сотрудниками ЗСУ, использовалось для кибершпионажа. Вирус распространялся целенаправленно, атаку спланировали и осуществили профессоналы.

Специалисты утверждают, что вредоносное ПО похоже на те версии, которые ранее уже обнаруживались и в России, и за границей. Для каждой сети комплект программ создавался индивидуально – в соответствие с уникальными характеристиками техники.

Вирус модифицировали для каждой системы

Чтобы заразить систему, злоумышленники отправляли электронное сообщение с вредоносным вложением. Если пользователь открывал его, сеть заражалась вирусом. Он перехватывал и прослушивал сетевой трафик, мог делать скриншоты экрана, включать камеру и микрофон, отслеживать нажатия клавиш.

В ЗСУ утверждают, что все жертвы хакерской атаки в российских ведомствах выявлены. Угроза локализована, последствия работы вируса минимизированы.