КОНЬЯКОВ.ру

Аудит, Разработка, ИБ, Поддержка и SEO сайтов

Category: Информационная безопасность(Страница 1 из 3)

WanaCry Decrypt0r

Вирус Wanna Cry (WanaCry Decrypt0r)

В связи с вирусной атакой не переходите по сомнительным ссылкам и не открывайте сомнительные вложения, так же проверяйте письма от доверенных адресатов.

WannaCry — это exploit, с помощью которого происходит заражение и распространение, плюс шифровальщик, который скачивается на компьютер после того, как заражение произошло.

В этом и состоит важное отличие WannaCry от большинства прочих шифровальщиков. Для того, чтобы заразить свой компьютер, обычным, скажем так, шифровальщиком, пользователь должен совершить некую ошибку — кликнуть на подозрительную ссылку, разрешить исполнять макрос в Word, скачать сомнительное вложение из письма. Заразиться WannaCry можно, вообще ничего не делая.

Как работает вирус Wanna cry

WannaCry представляет собой программу под названием WanaCrypt0r 2.0, которая атакует исключительно ПК на OC Windows. Программа использует «дыру» в системе — Microsoft Security Bulletin MS17-010, существование которой было ранее неизвестно. За расшифровку программа требует «выкуп» в размере от 300 до 600 долларов. К слову, в настоящее время на счета хакеров, по данным The Guardian, поступило уже более 42 тысяч долларов.

Создатели WannaCry использовали эксплойт для Windows, известный под названием Eternal Blue. Он эксплуатирует уязвимость, которую Microsoft закрыла в обновлении безопасности MS17-010 от 14 марта этого года. С помощью этого эксплойта злоумышленники могли получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик.

Если у вас установлено обновление и уязвимость закрыта, то удаленно взломать компьютер не получится. Однако исследователи «Лаборатории Касперского» из GReAT отдельно обращают внимание на то, что закрытие уязвимости никак не мешает работать собственно шифровальщику, так что, если вы каким-либо образом запустите его, патч вас не спасет.

Как распространяется вирус Wanna cry

Изначально вирус WannaCry распространяется как правило через электронную почту. После открытия вложения в письме со спамом запускается шифратор и зашифрованные файлы после этого восстановить практически невозможно.

После успешного взлома компьютера WannaCry пытается распространяться по локальной сети на другие компьютеры, как червь. Он сканирует другие компьютеры на предмет наличия той самой уязвимости, которую можно эксплуатировать с помощью Eternal Blue, и если находит, то атакует и шифрует и их тоже.

Получается, что, попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие. Именно поэтому серьезнее всего от WannaCry досталось крупным компаниям — чем больше компьютеров в сети, тем больше ущерб.

К сожалению, на данный момент способов расшифровать файлы, зашифрованные WannaCry, нет. То есть с заражением можно бороться единственным способом — не допускать его.

Как не заразить компьютер вирусом Wanna cry

Чтобы минимизировать риск попадания вируса Wanna cry на компьютеры специалисты «Лаборатории Касперского» советуют установить все возможные обновления на текущую версию Windows. Дело в том, что вредоносная программа поражает только те компьютеры, которые работают на этом ПО.

Кроме того, необходимо обращать внимание на письма, которые приходят на электронную почту. Нельзя открывать вложения с расширениями .exe, .bat, .com, .vbs, js и .scr. Мошенники могут использовать несколько расширений, чтобы замаскировать вредоносный файл как видео, фото или документ (например, avi.exe, doc.scr, file.js и тому подобное).

В случае с WannaCry решением проблемы может стать блокировка 445 порта на Firewall (межсетевой экран), через которое идет заражение.

Для обнаружения потенциально вредоносных файлов нужно включить опцию «Показывать расширения файлов» в настройках Windows.

На скриншоте видим проблему. Неизвестный файл маскируется под MS EXCEL файл с расширением .xlsx

Чтобы понять истинное расширение файла в Windows, необходимо включить отображение расширения файлов. Для этого необходимо в проводнике Windows:
1) нажать ALT
2) выбрать «Сервис»
3) выбрать «Параметры папок»
4) вкладка «Вид»

Видим, что у «Скрывать расширения для зарегистрированных типов файлов» стоит галочка.

Надо снять галочку у «Скрывать расширения для зарегистрированных типов файлов» стоит галочка, нажать «Применить» и «ОК».

После этого, все файлы в Windows будут отображаться с реальным расширением:

Если же злоумышленникам все-таки удалось взломать ваш компьютер, специалисты рекомендуют не платить выкуп. Дело в том, что, вероятнее всего, атака продлится недолго, так как срок хранения Ransomware обычно короткий. Как показала практика, выкуп позволяет восстановить файлы не во всех случаях, и, даже заплатив деньги, можно лишиться ценных и важных данных.

Какие меры необходимо выделить как эффективные, для борьбы с данным вирусом:

  1. Используйте надежный антивирус. Kaspersky Internet Security умеет обнаруживать WannaCry как локально, так и при попытках распространения по сети. Более того, встроенный модуль «Мониторинг активности» (System Watcher) умеет откатывать нежелательные изменения, то есть не позволит зашифровать файлы даже тем версиям зловредов, которые еще не попали в антивирусные базы.
  2. Регулярно делайте резервные копии файлов и храните их на носителях, которые не постоянно подключены к компьютеру. Если есть свежая резервная копия, то заражение шифровальщиком — не трагедия, а всего лишь потеря нескольких часов на переустановку или чистку системы.
  3. Убедитесь, что у вас установлены актуальные обновления Microsoft Windows, которые убирают уязвимость MS17-010. Найти ссылки на обновления вы можете здесь, а также обратите внимание, что в связи с беспрецедентной серьезностью данной уязвимости — 13-го мая были выпущены обновления для неподдерживаемых ОС (windowsXP, 2003 server, 2008 server) их вы можете скачать здесь. Серьезно, установите его вот прямо сейчас — сейчас как раз тот самый случай, когда это действительно важно.
  4. Используя решения по обеспечению сетевой безопасности класса IPS, убедитесь, что у вас установлены обновления, включающие выявление и компенсацию сетевой уязвимости. Обновление IPS от 14 марта 2017 года Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Также возможно (хотя бы на короткое время) настроить проверку внутреннего трафика ключевых сетевых сегментов с помощью IPS, пока вероятность заражения не снизится.
  5. Будьте бдительны! Никогда не переходите по подозрительным ссылкам из email-писем (примеры подозрительных писем смотрите в этой статье) и социальных сетей.
  6. Установите плагин My WOT чтобы визуально видеть надежность того или иного сайта.
  7. … а также следовать основным правилам информационной гигиены

Будьте здоровы :)

PS: Microsoft Security Bulletin MS17-010 — Critical

Security Update for Microsoft Windows SMB Server (4013389)
Published: March 14, 2017
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

UPD: May 16, 2017

Стратегия развития информационного общества до 2030 года

Президент во вторник утвердил «Стратегию развития информационного общества в Российской Федерации на 2017–2030 годы».

Указ Президента Российской Федерации от 09.05.2017 № 203. О Стратегии развития информационного общества в Российской Федерации на 2017 – 2030 годы.

Вновь принятая «Стратегия» и план её реализации (который должен быть разработан правительством) обязательны для выполнения всеми органами государственной власти РФ и органами местного самоуправления. Посмотрим, что именно им придётся исполнять.

Зачем принята стратегия

«Стратегия развития информационного общества» — политический документ, определяющий цели, задачи и меры по реализации внутренней и внешней политики РФ в сфере применения ИКТ».

Президент в своём указе, утверждающем «Стратегию развития информационного общества», говорит, что «Стратегия» нужна как условие формирования в стране «общества знаний». Определение последнего понятия таково: «общество, в котором преобладающее значение для развития гражданина, экономики и государства имеют получение, сохранение, производство и распространение достоверной информации с учётом стратегических национальных приоритетов РФ».

«Стратегия» в нынешней редакции посвящена главным образом технологиям, информационным и телекоммуникационным как важнейшему элементу национальной инфраструктуры. Построение общества знаний и создание в России цифровой экономики в документе неоднократно упоминаются — как цель развития информационного общества.

«Стратегия» в предыдущей редакции действовала с февраля 2008 года, она имела целью «повышение качества жизни граждан, обеспечение конкурентоспособности России, развитие экономической, социально-политической, культурной и духовной сфер жизни общества, совершенствование системы государственного управления на основе использования информационных и телекоммуникационных технологий».

Национальные интересы России в информационном мире

  • развитие человеческого потенциала;
  • обеспечение безопасности граждан и государства;
  • повышение роли России в мировом гуманитарном и культурном пространстве;
  • развитие свободного, устойчивого и безопасного взаимодействия граждан и организаций, органов государственной власти Российской Федерации, органов местного самоуправления;
  • повышение эффективности государственного управления, развитие экономики и социальной сферы;
  • формирование цифровой экономики.

Принципы развития информационного общества в РФ

«Стратегия развития информационного общества» декларирует право гражданина на доступ к информации и «свободу выбора средств получения знаний при работе с информацией».

Привычные гражданам (не цифровые) формы получения товаров и услуг сохраняются.

При «сборе, накоплении и распространении информации о гражданах и организациях» должна соблюдаться «законность и разумная достаточность».

Государство берёт на себя «защиту интересов российских граждан в информационной сфере».

Какими понятиями оперирует «Стратегия»

Документ определяет ряд методологически важных терминов, а именно:

безопасные ПО и сервисы — таковыми считаются ПО и сервисы, «сертифицированные на соответствие требованиям к информационной безопасности, устанавливаемым федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, или федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации»;

«Индустриальный Интернет» — концепция использования Интернета как среды информационного взаимодействия элементов промышленного оборудования друг с другом или внешней средой, без участия человека;

«Интернет вещей» — то же, но применительно к «вещам (физическим предметам)»;

информационное общество — «общество, в котором информация и уровень её применения и доступности кардинальным образом влияют на экономические и социокультурные условия жизни граждан»;

информационное пространство (из определения можно сделать вывод, что это понятие – синоним термина «информационная инфраструктура);

инфраструктура электронного правительства;

критическая информационная инфраструктура РФ (далее — критическая информационная инфраструктура) — совокупность объектов критической информационной инфраструктуры, а также сетей электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры между собой;

Национальная электронная библиотека;

облачные вычисления;

обработка больших объёмов данных – «совокупность подходов, инструментов и методов автоматической обработки структурированной и неструктурированной информации, поступающей из большого количества различных, в том числе разрозненных или слабосвязанных, источников информации, в объёмах, которые невозможно обработать вручную за разумное время»;

общество знаний;

объекты критической информационной инфраструктуры (IT-системы государственных органов, оборонной промышленности, здравоохранения, транспорта, связи, кредитно-финансовой сферы, энергетики, топливной, атомной, ракетно-космической, горнодобывающей, металлургической и химической промышленности);

сети связи нового поколения (системы индустриального Интернета и Интернета вещей);

технологически независимые программное обеспечение и сервис (имеется в виду независимость от иностранного поставщика);

туманные вычисления;

цифровая экономика – «хозяйственная деятельность, в которой ключевым фактором производства являются данные в цифровом виде»;

экосистема цифровой экономики.

Также – вне раздела, посвящённого дефинициям, – документ содержит определение понятия «информационное пространство знаний». Это – информационное пространство, основанное на знаниях.

Положение России в цифровом мире

В 2016 году в стране было 80 миллионов пользователей Интернета, говорится в документе. Это число вырастет на 5 миллионов, когда населённые пункты с населением от 250 до 500 человек (таких населённых пунктов 14 тысяч) подключат к Интернету.

В России на человека в среднем приходится два мобильных номера телефонов. Госуслуги в электронном виде получают более 34 миллионов граждан.

Благодаря Интернету в 2015 году в России реализовано товаров и услуг в объёме, равном 2,3% ВВП страны.

Сравнения России с другими странами по этим показателям в документе нет. Зато сказано, что информационные технологии, активно используемые в России, «основаны на зарубежных разработках», и что их «отечественные аналоги в настоящее время отсутствуют», что «усложняет решение задачи по обеспечению защиты интересов граждан и государства в информационной сфере».

Игорь Щёголев: многосторонняя модель управления Интернетом имеет право на существование, но государства не должны оставаться «миноритарными акционерами»

«Стратегия» констатирует, что «международно-правовые механизмы», обеспечивающие суверенитет государств даже в их национальных сегментах Интернета, отсутствуют.

Отдельно сказано о наполнении информационных ресурсов: «Российское общество заинтересовано в получении информации, соответствующей высокому интеллектуальному и культурному уровню развития граждан России».

«…Приоритетное развитие национальной информационной инфраструктуры в ущерб формированию и распространению знаний… не в полной мере соответствует целям, продекларированным на Всемирной встрече на высшем уровне по вопросам информационного общества, проходившей в Женеве в 2003 году», констатирует «Стратегия».

В чём «Стратегия» видит приоритеты России

  • формирование информационного пространства с учётом потребностей граждан и общества в получении качественных и достоверных сведений;
  • развитие информационной и коммуникационной инфраструктуры Российской Федерации;
  • создание и применение российских информационных и коммуникационных технологий, обеспечение их конкурентоспособности на международном уровне;
  • формирование новой технологической основы для развития экономики и социальной сферы;
  • обеспечение национальных интересов в области цифровой экономики.

О важности информации как таковой

Впервые в официальном документе, подписанном президентом, первостепенное внимание уделено самой информации, не средствам накопления и передачи данных, а наполнению Рунета, причём без абсолютизации роли Интернета как среды распространения знаний.

Цель формирования информационного пространства знаний, записано в «Стратегии», состоит в «обеспечении прав граждан на объективную, достоверную, безопасную информацию и создании условий для удовлетворения их потребностей в постоянном развитии, получении качественных и достоверных сведений, новых компетенций, расширении кругозора». Отдельно говорится, в частности, об информационной безопасности детей, о «продвижении» русского языка в мире и о поддержке «традиционных», т.е. существовавших задолго до Интернета, «форм распространения знаний».

Посредством чего «Стратегия» предполагает создать в стране информационное пространство знаний

  • сохранение культуры и «общероссийской идентичности» народов РФ;
  • формирование «безопасной информационной среды на основе популяризации информационных ресурсов, способствующих распространению традиционных российских духовно-нравственных ценностей»;
  • совершенствование механизмов обмена знаниями;
  • формирование Национальной электронной библиотеки;
  • обеспечение условий для научно-технического творчества;
  • совершенствование дополнительного образования для привлечения детей к занятиям научными изысканиями и творчеством, развития их способности решать нестандартные задачи;
  • развитие и использование образовательных технологий, в том числе дистанционных, электронного обучения;
  • создание условий для популяризации русской культуры и науки за рубежом;
  • разработка и реализация партнёрских программ вузов и «российских высокотехнологичных организаций»;
  • формирование правосознания граждан, их «пользовательской культуры» и ответственного отношения к использованию информационных технологий;
  • создание и развитие систем нормативно-правовой, информационно-консультативной, технологической и технической помощи в обнаружении, предупреждении, предотвращении и отражении угроз информационной безопасности граждан;
  • совершенствование механизмов ограничения доступа к информации, запрещенной законом, и её удаления;
  • совершенствование механизмов законодательного регулирования деятельности СМИ, а также таких средств обеспечения доступа к информации, как интернет-телевидение, новостные агрегаторы, социальные сети, сайты, мессенджеры);
  • меры по эффективному использованию современных информационных платформ для распространения достоверной и качественной информации российского производства;
  • насыщение рынка доступными, качественными и легальными медиапродуктами и сервисами российского производства;
  • поддержка традиционных средств распространения информации (радио-, телевещание, печатные средства массовой информации, библиотеки).

IT-инфраструктура

«Стратегия» прежде всего обращает внимание на безопасность информационной и телекоммуникационной инфраструктуры страны, т.е. «недопущение подмены, искажения, блокирования, удаления, снятия с каналов связи и иных манипуляций с информацией».

Для устойчивого функционирования информационной инфраструктуры предлагается, в частности, обеспечить централизованное управление ею, постепенно перевести на госорганы и ОМСУ на использование инфраструктуры электронного правительства (её также предусматривается использовать для предоставления гражданам иных, негосударственных сервисов).

Слово «импортозамещение» в документе не употребляется, но почти всё, что касается IT-инфраструктуры, связано именно с импортозамещением. Документ ставит задачу поэтапного перехода к отечественным средствам криптозащиты данных, оборудованию, программному обеспечению и элементной базе.

Из текста «Стратегии»

  • …создать российское общесистемное и прикладное программное обеспечение, телекоммуникационное оборудование и пользовательские устройства для широкого использования гражданами, субъектами малого, среднего и крупного предпринимательства, государственными органами и органами местного самоуправления, в том числе на основе обработки больших объемов данных, применения облачных технологий и интернета вещей;
  • создать встроенные средства защиты информации для применения в российских информационных и коммуникационных технологиях.
  • обеспечить использование российских информационных и коммуникационных технологий в органах государственной власти Российской Федерации, компаниях с государственным участием, органах местного самоуправления;
  • создать справедливые условия ведения предпринимательской деятельности для российских разработчиков.
  • проводить на региональном и международном уровнях мероприятия, направленные на продвижение российских товаров и услуг, в интересах российских организаций, развивающих и внедряющих отечественные информационные и коммуникационные технологии;

Предполагается также создание «централизованной системы мониторинга и управления единой сетью электросвязи РФ» и обеспечение возможности устойчивой, безопасной и независимой работы российского сегмента Интернета.

Отечественная IT-индустрия

«Стратегия» предусматривает достижение международной конкурентоспособности российских ИКТ. Цель – формирование новых рынков и лидерство на них.

Основные направления развития российских ИКТ

  • конвергенция сетей связи и создание сетей связи нового поколения;
  • обработка больших объемов данных;
  • искусственный интеллект;
  • доверенные технологии электронной идентификации и аутентификации, в том числе в кредитно-финансовой сфере;
  • облачные и туманные вычисления;
  • Интернет вещей и индустриальный Интернет;
  • робототехника и биотехнологии;
  • радиотехника и электронная компонентная база;
  • информационная безопасность.

Экономика + социальная сфера

«Стратегия», в частности, предусматривает:

  • совершенствование механизмов электронной демократии;
  • использование ИКТ при проведении опросов и переписи населения;
  • создание основанных на информационных и коммуникационных технологиях систем управления и мониторинга во всех сферах общественной жизни.

Информационные технологии будут применяться и развиваться не в ущерб традиционным, до-интернетовским формам взаимодействия граждан друг с другом и государством.

Для бизнеса «Стратегия», в частности, предусматривает:

  • повышение доступности данных официального статистического учета и других достоверных сведений;
  • создание условий для повышения доверия к электронным документам, осуществление в электронной форме идентификации и аутентификации участников правоотношений;
  • упрощение представления бизнесом отчётности в органы власти, в т.ч. за счет специализированных информационных систем;
  • обеспечение дистанционного доступа к банковским услугам, в том числе внедрение единых подходов к проверке сведений, предоставляемых при банковском обслуживании, в электронной форме;
  • развитие трансграничного информационного взаимодействия, в том числе обеспечение трансграничного пространства доверия к электронной подписи.

Показатели достижения целей «Стратегии» и управление её реализацией

Правительство определяет систему показателей для оценки развития ИКТ и информационного общества, а также цифровой экономики, её влияния на темпы роста ВВП. Также оценивается «состояние перехода к использованию организациями наукоемких технологий».

В управлении реализацией «Стратегии» участвуют правительство, администрация президента, аппарат Совбеза, ФОИВы, власти регионов, государственные внебюджетные фонды, институты развития, а также госкомпании.

Текст Указа

Kali Linux 2017.1

Distribution Release: Kali Linux 2017.1

Kali Linux is a Debian-based distribution which features several security and forensics tools. The project has adopted a rolling release approach to new versions. The new release, Kali Linux 2017.1, features drivers for RTL8812AU wireless chipsets, improved GPU support and there are now Azure and AWS images of Kali Linux for cloud instances. “Finally, it’s here! We’re happy to announce the availability of the Kali Linux 2017.1 rolling release, which brings with it a bunch of exciting updates and features. As with all new releases, you have the common denominator of updated packages, an updated kernel that provides more and better hardware support, as well as a slew of updated tools — but this release has a few more surprises up its sleeve. A while back, we received a feature request asking for the inclusion of drivers for RTL8812AU wireless chipsets. These drivers are not part of the standard Linux kernel, and have been modified to allow for injection. Why is this a big deal? This chipset supports 802.11 AC, making this one of the first drivers to bring injection-related wireless attacks to this standard.” A summary of available features in version 2017.1 can be found in the project’s release announcement. Download (SHA256): kali-linux-2017.1-amd64.iso (2,664MB, torrent, pkglist).

Distribution Release: Tails 2.12

Distribution Release: Tails 2.12

The Amnesic Incognito Live System (better known as Tails) is a Debian-based live DVD/USB with the goal of providing complete Internet anonymity for the user. The Tails project has announced the release of Tails 2.12 which features the GNOME Sound Recorder application and version 4.9.13 of the Linux kernel. Tails uses the Tor network to redirect network traffic and this release saw the project remove the alternative I2P anonymity network from the distribution. “We installed again GNOME Sound Recorder to provide a very simple application for recording sound in addition to the more complex Audacity. Sound clips recorded using GNOME Sound Recorder are saved to the Recordings folder. We removed I2P, an alternative anonymity network, because we unfortunately have failed to find a developer to maintain I2P in Tails. Maintaining software like I2P well-integrated in Tails takes time and effort and our team is too busy with other priorities. Upgrade Linux to 4.9.13. This should improve the support for newer hardware (graphics, Wi-Fi, etc.).” Additional information can be found in the project’s release announcement. Download: tails-i386-2.12.iso (1,090MB, signature, pkglist). Also available from OSDisc.

Анонимайзер, веб-прокси

работают все сайты, включая ВКонтакте, Одноклассники и YouTube — HideMy.name (ex hideme.ru)

Уже есть код доступа? Вы в одной минуте от подключения!

Подключение устройства на базе iOS:

Вся мобильная продукция компании Apple: iPhone, iPad и др.
Настройки > Основные > VPN > Добавить конфигурацию VPN > L2TP

Описание: произвольное значение (например, HideME.ru Россия, Москва)
Учетная запись: 012345678901234 (ваш код)
Пароль: 1234 изменить
Сервер: список адресов (см.ниже)
Общий ключ: incloaknetwork

При желании использовать PPTP (L2TP лучше!) просто переключитесь на него.

Список адресов:

198.50.183.71 - Canada, Montreal
91.189.181.22 - Norway, Oslo
141.255.167.101 - Switzerland, Zurich
37.235.53.32 - Spain, Madrid
91.237.52.119 - Poland, Poznan
188.64.169.59 - Russia, Moscow S13
149.154.153.129 - Austria, Vienna
91.219.238.56 - Hungary, Budapest
185.82.217.155 - Bulgaria, Sofia
46.148.21.34 - Ukraine, Kharkov S1
37.139.52.43 - Germany, Munich
94.142.141.99 - Russia, Moscow S9
84.33.39.233 - Italy, Milan S2
91.219.28.11 - Netherlands, Meppel
178.33.93.89 - France, Gravelines
94.242.206.142 - Luxembourg, Steinsel
158.58.168.80 - Italy, Milan S1
176.61.139.106 - Sweden, Falkenberg
85.31.101.151 - Latvia, Riga S1
125.212.220.125 - Vietnam, Ho Chi Minh
46.183.221.153 - Latvia, Riga S2
46.167.245.174 - Czech Republic, Prague
103.28.149.74 - Indonesia, Jawa
185.29.8.155 - Sweden, Stockholm
91.105.237.20 - Russia, Moscow S5
185.65.206.172 - Turkey, Istanbul
139.59.8.131 - India, Bangalore
50.7.124.168 - Germany, Frankfurt
95.154.199.21 - United Kingdom, Berkshire
91.221.66.60 - Finland, Helsinki S1
5.154.190.32 - Moldova, Kishinev
185.22.65.54 - Kazakhstan, Almaty S2
192.71.244.14 - Slovenia, Ljubljana
77.81.108.142 - Romania, Bucharest S2
91.105.239.11 - Russia, Moscow S6
91.105.238.11 - Russia, Moscow S7
188.64.174.63 - Russia, Moscow S10
5.189.145.149 - Germany, Nuremberg
192.240.96.164 - USA, New York S2
192.71.249.83 - Belgium, Oostkamp
95.46.98.51 - Ukraine, Khmelnytsky S2
216.17.101.146 - USA, San Diego
37.235.52.20 - Chile, Vina del Mar
91.105.232.86 - Russia, Moscow S11
178.33.209.199 - France, Strasbourg
185.65.201.27 - Lithuania, Siauliai
212.124.126.38 - USA, Clarks Summit
46.249.47.196 - Netherlands, Dronten
80.79.125.79 - Estonia, Tallinn
185.86.78.32 - Ukraine, Khmelnytsky S1
185.27.194.163 - Russia, Kazan S2
188.116.54.12 - Poland, Gdansk
91.105.236.205 - Russia, Moscow S3
58.64.185.92 - Hong Kong, Kowloon
77.81.107.13 - United Kingdom, Manchester
103.56.218.80 - Japan, Shibuya
41.223.53.102 - Egypt, Cairo
185.14.28.120 - Netherlands, Kampen
46.148.20.20 - Ukraine, Kharkov S2
151.236.24.15 - Iceland, Hafnarfjordur
37.235.55.118 - Isle of Man, Douglas
83.217.10.175 - Russia, Novosibirsk S2
91.189.37.103 - Poland, Warsaw
5.133.179.243 - United Kingdom, Ilford
188.64.173.4 - Russia, Moscow S8
46.249.59.88 - Netherlands, Amsterdam S2
212.199.61.38 - Israel, Tel Aviv
46.101.34.215 - United Kingdom, London
95.85.45.81 - Netherland, Amsterdam S3
128.199.106.5 - Singapore, Western District
188.64.175.201 - Russia, Moscow S4
83.217.8.202 - Russia, Kazan S1
193.9.28.94 - USA, Tampa
195.43.95.186 - Russia, Novosibirsk
184.154.72.100 - USA, Chicago
45.32.29.128 - Japan, Tokyo
185.22.67.15 - Kazakhstan, Almaty
158.222.0.163 - USA, Wilmington
185.125.216.61 - Russia, Moscow S12
77.81.109.171 - Germany, Dusseldorf
77.81.110.225 - Netherlands, Amsterdam S1
195.123.210.61 - Latvia, Jurmala
83.217.8.220 - Russia, Kazan S3
83.217.10.251 - Russia, Novosibirsk S3
91.209.77.163 - Czech Republic, Budejovice
50.7.124.156 - Germany, Frankfurt S2
45.32.55.82 - Japan, Tokyo
93.84.114.188 - Belarus, Minsk
46.148.20.32 - Ukraine, Kharkov S3
45.114.116.215 - Australia, Sydney
62.100.205.190 - United Kingdom, Melbourne

Скам в спам-рассылках и действия администратора сайта для защиты своих веб-сайтов

Друзья и подписчики, в последнее время участились спам-рассылки с подобным содержанием: «У вас имеется новый счет. Ознакомиться с ним вы можете на нашем сайте» со ссылкой якобы на сайт банка (ВТБ, Сбербанк, Альфа-банк, Тинькофф и/или другие Российские банки) или налоговой инспекции, и подобных организаций. Письмо очень похоже на настоящее. Оно якобы от сотрудника вышеназванных организаций, с подписью, реальными телефонами, реальными фамилиями. Всё очень достоверно, но есть одно но. Письмо сформировано в формате html и в ссылку якобы на реальную организацию зашивается ссылка на эксплоит, на очередном взломанном сайте (как правило это сайт на WordPress, Joomla, Drupal, DLE, Bitrix, ShopScript, которые имеют уязвимые плагины или давно не обновлялись). При наведении на ссылку в спаммерском письме, вы увидите всплывающую ссылку ведущую по реальному пункту назначения.

Заголовок: Задолженность (уведомление)
Пришло якобы от: vtb24.ru (Григорьев ВТБ 24 ПАО <grigirev.s@vtb24.ru>)

Пример вредоносного email письма

Из этой всплывающей подсказки вы можете увидеть, что на компьютер будет загружен zip файл как правило с вирусом, трояном, червем, шифратором, локером и подобной нечистью.

Заголовок: Задолженность (уведомление)
Пришло якобы от: vtb24.ru (Григорьев ВТБ 24 ПАО <grigirev.s@vtb24.ru>)

Пример вредоносного email письма

Пример вредоносного email письма

Пожалуйста, никогда не переходите по подобным ссылкам. В лучшем случае ваш компьютер станет очередным солдатом в очередном ботнете. В худшем случае вы рискуете навсегда расстаться с информацией не вашем компьютере.

Товарищи, пожалуйста будьте бдительны.

Если вы администратор сайта, то советую следовать следующим правилам:

  1. Чаще обновляйте вашу систему управления сайтом (CMS), темы, плагины!
  2. Используйте только необходимые (проверенные, трастовые) плагины и регулярно их обновляйте. Рейтинг плагинов как правило присутствует в каталоге плагинов той или иной CMS. Не используйте плагины из сомнительных источников;
  3. Не используйте темы и шаблоны из сомнительных источников. Вы с лёгкостью можете потерять как данные ваших клиентов, так и другие данные ваших сайтов;
  4. Перед использованием шаблонов, плагинов и других загружаемых элементов для сайта, рекомендуется просмотреть исходный код на наличие различных подозрительных элементов (base64 последовательности, exec-вызовы, шелл-сигнатуры, спам-скрипты, js-вирусы, php эксплоиты, обфусцированные строки, и многое другое). Для проверки исходных текстов вы можете использовать например Ai-Bolit. В любом случае, код надо также просматривать вручную;
  5. Делайте регулярные бекапы базы данных сайта и файлов CMS, сохраняйте. Сохраняйте копии как на локальном компьютере, так и на CD/DVD дисках и/или в облаке (Яндекс.Диск, Google.Drive и так далее);
  6. Используйте надежный FTP клиент и надежную антивирусную систему (например Kaspersky Internet Security, или даже Kaspersky Free). Ведь если вы подцепите вирус (троян, червь, нужное подчеркнуть), то в одночасье можете подвергнуть опасности свои сайты. Червь украв данные подключения к FTP ваших сайтов, может добавить в файлы CMS вредные вставки (дропперы, ссылки, баннеры и так далее). Таким образом вы рискуете подпортить репутацию ваших сайтов как у пользователей (покупателей, клиентов и так далее) так и у поисковых систем (пессимизация в поисковой выдаче, оформление как небезопасного сайта, санкции и так далее). Чтобы этого не произошло, установите на FTP клиенте мастер пароль (например в программе CuteFTP) или просто не сохраняйте пароль в памяти клиента (например в FileZilla). В этом случае пароль вводится только при подключении к FTP  серверу, и никак иначе;
  7. Если используете WordPress, желательно установить плагины защиты (например iThemes Security). Также желательно использовать надёжный и сложный пароль администратора. Пароль стоит регулярно менять. Для формы авторизации определенно стоит добавить Google Captcha, для исключения/осложнения перебора пароля (брутфорс).
  8. Защищая сайт следует придерживаться правила. Запрещено всё, что не разрешено. Т.е. запрещайте всё, а затем разрешайте только то, что действительно необходимо.
  9. Помните, что все сайты взламываются через веб-формы (комментарии, форма авторизации, и так далее), через уязвимости CMS, плагинов, тем, через некорректно написанный код, через параметры запросов к функционалу сайта (get, post). Устраните бреши и спите спокойно.
  10. Будьте осмотрительны и в меру подозрительны. Не скачивайте программы и скрипты из сомнительных источников, а если и делаете это, то проверяйте файлы антивирусами и средствами проверки исходных кодов. Не стоит доверять всему что скачиваете или получаете по почте.

Спасибо за внимание.

UPD:

Еще примеры вредоносных email писем:

Заголовок: Счёт на оплату
Пришло якобы от: vtb24.ru (Медведев ВТБ 24 ПАО <medvedev.s@vtb24.ru>)

Пример вредоносного email письма

Пример вредоносного email письма

Заголовок: Перерасчет налогов (уведомление)
Пришло якобы от: nalog.ru (Галкин инспектор Федеральной налоговой службы России <galkin.s@nalog.ru>)

Пример вредоносного email письма

Пример вредоносного email письма

UPDATE: March 29, 2017

v 7.3.3 — Fix CIA Hacking Notepad++ Issue

«Vault 7: CIA Hacking Tools Revealed» has been published by Wikileaks recentely, and Notepad++ is on the list.

The issue of a hijacked DLL concerns scilexer.dll (needed by Notepad++) on a compromised PC, which is replaced by a modified scilexer.dll built by the CIA. When Notepad++ is launched, the modified scilexer.dll is loaded instead of the original one.
It doesn’t mean that CIA is interested in your coding skill or in your sex message content, but rather it prevents raising any red flags while the DLL does data collection in the background.

For remedying this issue, from this release (v7.3.3) forward, notepad++.exe checks the certificate validation in scilexer.dll before loading it. If the certificate is missing or invalid, then it just won’t be loaded, and Notepad++ will fail to launch.

Checking the certificate of DLL makes it harder to hack. Note that once users’ PCs are compromised, the hackers can do anything on the PCs. This solution only prevents from Notepad++ loading a CIA homemade DLL. It doesn’t prevent your original notepad++.exe from being replaced by modified notepad++.exe while the CIA is controlling your PC.

Just like knowing the lock is useless for people who are willing to go into my house, I still shut the door and lock it every morning when I leave home. We are in a f**king corrupted world, unfortunately.

Otherwise there are a lot of enhancements and bug-fixes which improve your Notepad++ experience. For all the detail change log, please check in the Download page.

Notepad++ Download 7.3.3 here

Auto-updater will be triggered in few days if there’s no critical issue found.

If you find any regression or critical bug, please report here:
https://notepad-plus-plus.org/community/topic/13415/v7-3-3-fix-cia-hacking-notepad-issue

Vault 7: CIA Hacking Tools Revealed

Today, Tuesday 7 March 2017, WikiLeaks begins its new series of leaks on the U.S. Central Intelligence Agency. Code-named “Vault 7” by WikiLeaks, it is the largest ever publication of confidential documents on the agency.

Read More

BEGIN PGP PUBLIC KEY BLOCK

Если у вас есть что-то важное и секретное для меня, прошу использовать мой публичный GnuPG ключ…

Read More

Kaspersky Security Bulletin 2016: Прогнозы на 2017 год

Kaspersky Security Bulletin 2016: Прогнозы на 2017 год

Конец «Индикаторов заражения»

Пролетел еще один год, и, судя по событиям, произошедшим в сфере информационной безопасности, он войдет в историю. Это был год драм, интриг и эксплойтов. Сегодня, мысленно возвращаясь к наиболее нашумевшим историям года, мы пытаемся заглянуть в будущее и дать прогноз, каким будет ландшафт угроз в 2017 году. Мы не будем предлагать читателям завуалированную рекламу, а постараемся построить свои прогнозы на основе тех тенденций, которые мы наблюдали в ходе наших исследований, и дать пищу для размышлений как экспертам в области IT-безопасности, так и просто интересующимся ею.

Прошлогодние прогнозы

Прошлогодние прогнозы оправдались практически полностью, некоторые – даже с опережением графика. Напомним наиболее примечательные из них.
АРТ-атаки. Мы ожидали уменьшения акцента на устойчивость к обнаружению, а также более частых попыток «смешаться с толпой» за счет использования стандартного вредоносного ПО в целевых атаках. Мы много раз видели проявление этой тенденции в применении атакующими бесфайлового вредоносного ПО, а также во множестве обнаруженных целевых атак на активистов и компании, проводимых с помощью широко распространенных вредоносных программ, таких как NJRat and Alienspy/Adwind.
Программы-вымогатели. 2016 год смело можно назвать годом вредоносных программ-вымогателей. Из финансовых вредоносных программ, позволяющих киберпреступникам завладеть деньгами жертв, остались практически только такие. В их основе лежит наиболее эффективная схема вымогания денег, и это позволило киберпреступникам привлечь ресурсы от менее прибыльных схем.
Больше банковских краж. Прогнозируя переход финансовых преступлений на самый высокий уровень, мы допускали, что мишенями могут стать такие организации, как фондовые биржи. Наши прогнозы реализовались в виде атак на систему SWIFT: эффективные и грамотно размещенные вредоносные программы позволили киберпреступникам положить в свой карман миллионы.
Интернет-атаки. Зачастую игнорируемая масса плохо защищенных устройств с подключением к интернету совсем недавно вторглась в нашу жизнь в виде отвратительного IoT ботнета, который вызвал перебои в работе крупных интернет-сервисов, а также проблемы у тех, кто полагался на конкретного поставщика DNS-сервисов.
Предание позору. Публикация порочащей информации и вымогательство продолжили свое победное шествие: стратегически спланированные и беспорядочные сливы информации стали причиной огромного количества личных, репутационных и политических проблем. Мы должны признать, что мы были поражены и масштабами некоторых из этих утечек, и тем, кто оказался в числе жертв.

Эти страшные АРТ-атаки

Появление индивидуальных и пассивных имплантов Несмотря на то что приходится прилагать немалые усилия, чтобы убедить компании и крупные предприятия реализовать защитные меры, когда эти меры становятся малоэффективными или вовсе перестают работать, необходимо признавать это. Индикаторы заражения (IoC) – отличный способ делиться данными о характеристиках (таких, как хэши и используемые домены) или об особенностях выполнения уже известных вредоносных программ, что позволяет жертвам обнаружить активное заражение. Тем не менее, киберпреступники, составляющие 1% наиболее серьезных участников кибершпионских игр, умеют защищаться от таких общепринятых мер. Недавно это было наглядно продемонстрировано APT-группировкой ProjectSauron, использующей полностью адаптируемую модульную вредоносную платформу, каждый элемент которой модифицируется в расчете на конкретную жертву, что не позволяет использовать индикаторы заражения для обнаружения вредоносного ПО в системах других жертв. Это не означает, что защититься от атак совершенно невозможно, однако мы убеждены, что пора активнее выступать за более широкое применение качественных правил Yara, которые позволяют полностью проверять всю инфраструктуру предприятия, внимательно изучать и определять признаки заражения в неактивных исполняемых файлах, а также проверять память на присутствие фрагментов известных атак.
ProjectSauron также продемонстрировала еще одну сложную тенденцию, развитие которой мы ожидаем увидеть в будущем, – применение пассивных имплантов. Сетевой бэкдор, размещенный в памяти или установленный в виде драйвера с бэкдор-функционалом на интернет-шлюзе или интернет-сервере, молча ожидает появления волшебных байтов для пробуждения своего вредоносного багажа. До отправки злоумышленниками сигнала на пробуждение пассивные импланты практически не подают признаков активного заражения. В результате они могут быть обнаружены только самыми дотошными специалистами по безопасности или в рамках более широкого сценария реагирования на инциденты. Нужно учитывать, что эти импланты не имеют заранее определенной инфраструктуры командных серверов, что усложняет их идентификацию и обеспечивает более высокую степень анонимности. Таким образом, это инструмент для самых осторожных киберпреступников, которым может потребоваться оперативно получить
доступ в атакуемую сеть.

Короткие заражения

Помимо того, что PowerShell приобрел популярность среди администраторов Windows, для которых он стал «инструментом мечты», его взяли на вооружение и многие разработчики вредоносного ПО, которые ищут пути для скрытного развертывания своих программ, механизмы распространения их по сети, а также возможности получения разведывательных данных без лишних записей в журналах событий, используемых в стандартных конфигурациях.
Можно предположить, что крошечные, размещаемые в оперативной памяти или в реестре вредоносные программы, использующие PowerShell, будут прекрасно себя чувствовать в современных системах Windows. В качестве развития этой тенденции в дальнейшем мы ожидаем увидеть короткие заражения: резидентное вредоносное ПО, предназначенное для проведения общей разведки и сбора учетных данных, для которого продолжительность нахождения в системе – не главное. В средах с высокими требованиями секретности злоумышленников, действующих скрытно, может устраивать возможность присутствия в системе до тех пор, пока при перезагрузке их вредоносная программа не будет удалена из памяти, если это будет означать отсутствие подозрений и риска провала при обнаружении их зловредов сотрудниками организации-жертвы или экспертами по безопасности. Риск подобных коротких заражений означает, что в состав передовых антивирусных решений должны входить системы проактивного обнаружения угроз и сложные эвристические механизмы (см.: Мониторинг активности).

Шпионаж становится мобильным

Мы уже сталкивались с использованием мобильных имплантов во вредоносных платформах, таких как Sofacy, RedOctober и CloudAtlas; они также применялись клиентами HackingTeam и, предположительно, использовались вредоносной программой для iOS под названием Pegasus, созданной компанией NSO.
Однако все это было в рамках кампаний, ориентированных прежде всего на настольные компьютеры. Учитывая падение интереса пользователей к настольным операционным системам и фактическое перемещение цифровой жизни среднестатистического пользователя в его карманы, мы ожидаем рост количества мобильных кампаний, в первую очередь шпионских.
Их реализацию, безусловно, облегчит менее пристальное внимание, а также наличие проблемы применения инструментов цифровой криминалистики к новейшими мобильными операционными системами. Широкое доверие к подписанному коду и проверкам целостности постепенно сходит на нет среди экспертов в мобильной безопасности, но это не заставит целеустремленных и имеющих в своем распоряжении значительные ресурсы злоумышленников отказаться от охоты на интересующие их объекты в этой области.

Будущее финансовых атак

«Мы слышали, вы хотите ограбить банк…»
Сообщения об осуществленных в этом году атаках на межбанковскую систему SWIFT вызвали волнение в финансовой отрасли – в том числе из-за дерзости атакующих, посягнувших на многомиллионные суммы. Эти атаки стали естественным этапом развития для таких игроков, как группировка Carbanak и, вероятно, другие известные группировки. Подобные ограбления – дело рук преступных групп, специализирующихся на APT-кампаниях, со сложившимся стилем работы и известной квалификацией. Вероятно, это не единственные игроки, кому интересна идея ограбить банк на крупную сумму?
Мы ожидаем, что, по мере роста интереса к данной теме со стороны киберпреступников, в многоуровневой структуре киберпреступных предприятий будут появляться посредники в организации SWIFT-краж. Чтобы осуществить подобное ограбление, требуется первоначальный доступ, специализированное ПО, терпение и, наконец, схема отмывания денежных средств. На каждом из этих этапов есть поле деятельности для уже состоявшихся киберпреступников, предлагающих свои услуги за деньги; недостающим звеном является специализированное ПО для проведения атак на SWIFT. Мы ожидаем, что произойдет товаризация таких услуг, а специализированные ресурсы станут предлагаться на продажу на подпольных форумах или в качестве криминальных сервисов.

Устойчивость платежных систем

Мы ожидали, что по мере внедрения и роста популярности платежных систем будет расти интерес к ним со стороны киберпреступников. Однако при реализации этих систем в них, по всей видимости, был заложен очень высокий уровень защищенности – на них по сей день не зафиксировано крупных атак. Для потребителя это к лучшему, однако для владельцев платежных систем все не так радужно, поскольку киберпреступники неизбежно будут пытаться осуществлять прямые атаки на инфраструктуру платежных систем. Вне зависимости от того, приведут ли такие атаки к прямым финансовым потерям или только к перебоям и отключениям сервисов, мы ожидаем, что рост популярности платежных систем приведет к повышению интереса к ним со стороны киберпреступников.

Грязное и лживое вымогательство

Хотя все мы ненавидим программы-вымогатели (и не без оснований), надо понимать, что в большинстве случаев успех вымогателей строится на своеобразных доверительных отношениях между жертвой и атакующей стороной.
Киберпреступная экосистема основывается на посылке, что злоумышленник будет соблюдать молчаливое соглашение с жертвой о том, что, заплатив выкуп, жертва получит назад свои файлы. Киберпреступники, как это ни удивительно, демонстрируют некое подобие профессионализма в исполнении этого негласного обещания; и это стало основой процветания данной экосистемы. Однако программы-вымогатели становятся все более притягательными, привлекая менее квалифицированные слои киберпреступников. В результате в будущем мы будем все чаще сталкиваться с программами-вымогателями, за которыми стоят киберпреступники, не выполняющие вышеописанное молчаливое соглашение – из-за ошибок в коде или в силу того, что функционал восстановления файлов в программе просто не реализован.
Итак, мы ожидаем появления программ-вымогателей, созданных так называемыми «скрипт-кидди» (начинающими хакерами), которые будут блокировать файлы или доступ к системе или будут просто удалять файлы, обманным путем заставляя жертв платить, но при этом не возвращая им доступ к файлам. В этом случае вымогатели мало чем будут отличаться от вредоносных программ, уничтожающих данные, и следует ожидать, что в экосистеме программ-вымогателей возникнет «кризис доверия». Вероятно, это не помешает крупным профессиональным игрокам продолжать делать деньги на программах-вымогателях, но приведет к тому, что силы, пытающиеся противостоять разрастающейся эпидемии вымогательства, перестанут рассматривать идею оплаты выкупа как сколько-нибудь осмысленное решение проблемы.

Большая красная кнопка

Знаменитый Stuxnet, возможно, открыл ящик Пандоры, впервые реализовав возможности проведения атак на промышленные системы. Хотя разрабатывался он весьма тщательно с целью вывести из строя на длительное время совершенно определенные объекты. Даже когда вредоносная программа распространилась по всему миру, сопутствующий ущерб был невелик благодаря реализованным в ней ограничениям на запуск полезной нагрузки, и промышленного Армагеддона не произошло. Однако теперь при появлении любых слухов или сообщений об авариях на промышленных объектах или взрывах, произошедших по неизвестным причинам, будет выдвигаться версия кибердиверсии.
Тем не менее, аварии на промышленных объектах, вызванные подрывной деятельностью в киберпространстве, не являются чем-то невозможным. Поскольку критически важные объекты инфраструктуры и производственные мощности, будучи подключенными к интернету, часто по-прежнему не имеют надежной или хотя бы какой-нибудь защиты, они становятся привлекательными мишенями для хорошо обеспеченных ресурсами злоумышленников, стремящихся причинить как можно больший ущерб.
Если не поддаваться панике, то можно заметить, что подобные атаки требуют определенных навыков и целеустремленности. Атаки с применением кибердиверсий наиболее вероятны там, где растет геополитическая напряженность и есть хорошо подготовленные киберпреступные группировки, стремящиеся к целенаправленному уничтожению или нарушению нормальной работы важнейших сервисов.

Перенаселенный интернет: ответный удар. Кирпич, как его ни назови

Мы уже давно предсказывали, что слабая защита «интернета вещей» (возможно, правильнее было бы назвать его «интернетом угроз») обернется для нас большими проблемами, и вот час настал. Как недавно наглядно продемонстрировал ботнет Mirai, слабая защита устройств, которые без необходимости подключены к интернету, дает злоумышленникам возможность сеять хаос, не неся за это практически никакой ответственности. Хотя для экспертов по информационной безопасности это не сюрприз, следующий шаг может оказаться особенно интересным: мы считаем, что хакеры-вигиланты могут взять дело в свои руки.
Идея установки патчей для известных и вновь обнаруженных уязвимостей близка сердцу исследователей в области информационной безопасности, поскольку это свидетельство того, что их тяжелый (и часто безвозмездный) труд был не напрасен. Поскольку производители устройств интернета вещей продолжают выпускать незащищенные устройства, которые вызывают массу проблем, хакеры-вигиланты, скорее всего, возьмут на себя решение проблемы. А какое решение может быть лучше, чем создать проблемы самим производителям, массово превращая эти уязвимые устройства в «кирпичи»? Поскольку ботнеты, состоящие из устройств «интернета вещей», продолжают вызывать головную боль, устраивая DDoS-атаки и распространяя спам, иммунным ответом экосистемы может стать отключение сразу всех этих устройств к огорчению и потребителей, и производителей. Не исключено, что в ближайшем будущем мы столкнемся с «интернетом кирпичей».

Молчание мерцающих коробочек

В августе 2016 года группировка ShadowBrokers шокировала многих, опубликовав дамп, который содержал огромное количество работающих эксплойтов для межсетевых экранов нескольких крупных производителей. Затем появились сообщения об обнаружении эксплойтов из дампа «в дикой среде», а производители кинулись разбираться с уязвимостями и выпускать патчи. Масштаб бедствия еще предстоит определить. Что получили злоумышленники, имея на руках эти эксплойты? Какие импланты могут находиться в уязвимых устройствах, не проявляя себя до поры до времени?
Если выйти за рамки вопроса о конкретных эксплойтах (не забывая при этом об обнаружении бэкдора в операционной системе ScreenOS компании Juniper в конце 2015 года), существует более крупная проблема с целостностью устройств, которая требует дальнейшего исследования, когда дело касается критически важного для безопасности периметра предприятия оборудования.
Вопрос, «на кого работает ваш сетевой экран?», остается открытым.

А ты кто такой?

Тема киберпреступных операций, проводимых «под чужим флагом», и операций психологической войны представляет для нас особый интерес. Мы ожидаем активного развития угроз такого плана по нескольким направлениям.
Информационные войны Такие киберпреступные группировки, как Lazarus и Sofacy, выступили пионерами создания фальшивых ресурсов для целевого слива информации и вымогательства. На протяжении нескольких месяцев мы наблюдали их деятельность, которая была в определенной степени успешной и привлекла к себе много внимания. Мы ожидаем, что в будущем информационные войны будут все чаще использоваться для манипулирования общественным мнением и создания хаоса вокруг общественных процессов. Киберпреступники мало что теряют, сливая информацию, полученную в результате своих действий, – для этого они создают легенду, используют известную или вновь созданную группу хакеров-активистов и перенаправляют внимание с самой атаки на содержание сливаемой информации.
Главную опасность в таких случаях представляет не сам факт взлома или нарушения конфиденциальности, а то, что журналисты и заинтересованные граждане привыкают принимать слитые данные как факты, заслуживающие доверия и освещения в прессе, и таким образом создают благоприятную среду для злоумышленников, стремящихся манипулировать общественным мнением за счет манипулирования данными или их выборочной публикации.
Уязвимость к информационным войнам сейчас высока, как никогда, и мы надеемся, что по мере вовлечения в эту сферу новых (или старых, но сменивших маски) игроков потенциальные жертвы научатся вести себя осторожнее.

Как противостоять киберпреступникам

Кибератаки играют все более значимую роль в международных отношениях, и соответственно растет важность определения их источника (их атрибуции).
Государственным органам предстоит решить непростую задачу – определить, какой уровень атрибуции будет достаточен для принятия решений о целесообразности дипломатических шагов или выдвижения публичных обвинений. Поскольку точная атрибуция практически невозможна ввиду фрагментированности информации, полученной от различных государственных и частных организаций, «приблизительная атрибуция» может быть принята как приемлемая в данном контексте. С одной стороны, в этом деле требуется крайняя осторожность, но с другой – необходимо, чтобы авторы кибератак почувствовали, что их действия чреваты последствиями для них же самих.
При этом наше главное опасение состоит в том, что ответные меры способны вызвать еще более серьезные проблемы: хитрые киберпреступники могут обходить атрибуцию, ведя экспертов по ложному следу. Также нужно помнить, что по мере того как «ответные меры» будут набирать обороты, для проведения кибератак начнут широко использоваться вредоносные программы с открытым исходным кодом и продаваемые на коммерческой основе – такие как утилиты типа Cobalt Strike и Metasploit, использование которых позволяет киберпреступникам «скрыться в толпе» – возможность, отсутствующая при использовании проприетарных вредоносных программ.

«Чужие флаги»: повышение ставок

В отчете об операциях, проводимых «под чужим флагом», приводились случаи APT-атак «в дикой среде», использующих элементы мимикрии, но собственно операций «под чужим флагом» по сей день не наблюдалось. Под такой операцией мы понимаем действия, выполняемые злоумышленником.
А в полном соответствии со стилем злоумышленника Б и с использованием его ресурсов, с целью вызвать у жертвы ответные действия в отношении ни в чем не повинного злоумышленника Б. Действия такого рода будут иметь смысл только в том случае, если возмездие за кибератаку станет устоявшейся практикой. (При этом нельзя полностью исключать, что такие случаи уже имеют место, но пока неизвестны экспертам.) По мере того как ответные действия жертв кибератак (будь то зондирование, карательные меры или ответная эксплуатация компьютерных сетей) будут становиться более распространенными и импульсивными, можно ожидать появления собственно операций «под чужим флагом».
В этом случае можно прогнозировать, что киберпреступники будут готовы вкладывать еще больше ресурсов в операции «под чужим флагом» и, возможно, организовывать утечку данных об инфраструктуре и даже выкладывать во всеобщий доступ проприетарный набор инструментов, который сейчас ревниво охраняется. Таким образом ушлые киберпреступники могут спутать карты потенциальных жертв и экспертов по информационной безопасности, поскольку «скрипт-кидди», хакеры-активисты и киберпреступники получат доступ к проприетарным инструментам, принадлежащим продвинутой группе киберпреступников, что позволит сохранять анонимность при осуществлении значительной массы атак и отчасти подорвет возможности атрибуции для криминалистов и правоохранительных органов.

Какая еще конфиденциальность? Ничего личного

Устранение последних остатков анонимности в киберпространстве чрезвычайно выгодно как рекламщикам, так и шпионам. Для первых ценным методом оказалось отслеживание активности пользователя с помощью постоянных cookie-файлов. Есть вероятность, что этот метод в будущем будет использоваться ещё шире, совмещаться с виджетами и прочими безобидными элементами на популярных веб-сайтах, что позволит компаниям отслеживать действия конкретных пользователей, в том числе за пределами доменов, принадлежащих этим компаниям, и таким образом получать связную картину поведения этих пользователей в интернете (к этой теме мы вернемся ниже).
В некоторых регионах будут развиваться удивительные по своей сложности методы отслеживания деятельности активистов и действий в соцсетях, которые «несут угрозу стабильности», а заинтересованные лица со средствами будут находить на редкость квалифицированные компании, о которых никто никогда не слышал, владеющие ноу-хау отслеживания деятельности диссидентов и активистов на просторах Сети. Такие лица зачастую проявляют большой интерес к отслеживанию тенденций в социальных сетях на уровне целых географических регионов и к тому, как голоса диссидентов влияют на настроения в целом. Нельзя исключить возникновение группировки киберпреступников, которая осмелится взломать какую-либо социальную сеть – неиссякаемый источник персональных данных пользователей и компромата на самых разных людей.

Шпионские рекламные сети

Среди повсеместно распространенных интернет-технологий рекламные сети больше всего подходят для использования при проведении целевых атак в полном смысле этого понятия. Рекламные сети – это по определению полностью коммерциализированные системы, и при этом их деятельность слабо регламентирована – иллюстрацией тому являются неоднократные случаи применения вредоносной рекламы на крупных веб-сайтах. В силу самой своей природы рекламные сети предоставляют отличные возможности профилирования потенциальных жертв путем отслеживания IP-адресов, сбора данных о браузере и системе пользователя, отслеживания предпочтений пользователя при интернет-навигации, а также путем идентификации пользователя по вводимым логинам. Использование таких данных позволяет атакующей стороне избирательно внедрять вредоносный контент в демонстрируемые пользователю страницы или перенаправлять отдельных пользователей на соответствующие их профилю вредоносные ресурсы, избегая таким образом использования «лишних» вредоносных программ и отказываясь от постоянной доступности в сети вредоносного контента, который так привлекает внимание экспертов по информационной безопасности. Мы ожидаем, что наиболее квалифицированные киберпреступники, специализирующиеся на кибершпионаже, придут к выводу, что создать рекламную сеть (или взять под контроль существующую) – это не слишком большое вложение, учитывая значительную потенциальную прибыль. Таким образом они смогут достичь своих целей, не подвергая риску свои новейшие наборы инструментов.

Выход на сцену хакеров-вигилантов

В 2015 году таинственный Финеас Фишер публикует дамп серверов HackingTeam, а затем он же выпускает пособие для начинающих хакеров по взлому нечистоплотных организаций и сомнительных компаний. Это вода на мельницу латентной веры в то, что асимметричная сила хакеров-вигилантов является силой добра – несмотря на тот факт, что в результате публикации дампа HackingTeam действующие APT-группировки бесплатно получили в свое распоряжение уязвимости нулевого дня. Не исключено также, что HackingTeam в результате слива получила новых клиентов, полных энтузиазма. По мере усиления вокруг избирательной кампании в США конспирологической риторики, основанной на убежденности в том, что утечка и слив данных – это способ склонить чашу информационных весов в определенную сторону, будет появляться все больше хакеров-вигилантов, взламывающих серверы ради получения дампов и организующих утечку данных в уязвимых организациях.

PDF

Страница 1 из 3

© 2007–2017, konyakov.ru