Обзор по информационной безопасности: Февраль: и ещё о криптомайнерах

Делегация КНДР на Олимпиаде

«Баба Яга против»

В советские времена был выпущен мультик под названием «Баба Яга против», где данный персонаж строил козни против «Олимпиады 80». Для зимней «Олимпиады 2018» в южнокорейском Пхенчхане в качестве Бабы Яги выступила северокорейская группа ScarCruft [1], которая якобы атаковала Международный Олимпийский Комитет, правда, вместе с Азиатским правоохранительным агентством, дубайским рестораном, американским агентством мобильной рекламы и крупным Азиатским трейдером. Группа, которую также называют APT 123 или Reaper, распространила вредоносный Excel-файл, в который был встроен эксплойт неизвестной уязвимости в Adobe Flash Player (в дальнейшем он получил наименование CVE-2018-4878). Если эксплойт срабатывал, то на компьютер жертвы загружался известный инструмент для скрытого удаленного управления ROKRAT, который позволил хакерам группировки управлять компьютером дистанционно. С какой целью была проведена данная операция осталось непонятно, однако известно, что делегация Северной Кореи посетила Олимпийские игры в Пхенчхане.

Мобильные угрозы

Компания Trend Micro проанализировала [2] ситуацию с мобильными угрозами за 2017 г. Наиболее опасной угрозой в ушедшем году компания посчитала троянцев-вымогателей, которые могут блокировать экраны мобильных устройств, могут шифровать файлы, могут просто блокировать загрузку операционной системы. Всего в сети компании (точнее в систему мониторинга MARS) попало 468,8 тыс. образцов подобного ПО, что на 415% больше, чем в 2016 г. При этом подавляющее большинство (424,2 тыс. экземпляров) – это вредонос SLocker, исходные коды которого были за год до этого опубликованы на GitHub. Была зафиксирована даже попытка разработчиков SLocker мимикрировать под WannaCry, хотя работает он на другой операционной системе и не в состоянии использовать эксплойт EternalBlue. Небольшие количество троянцев компания обнаружила в Китае (153,9 тыс. экземпляров), на втором месте Индонезия (63,7 тыс), на третьем – Индия (57,0 тыс). В России компания обнаружила 12,4 тыс. экземпляров мобильных вымогателей – это пятое место. Причем эксперты Trend Micro отмечают, что к концу года среди разработчиков мобильных вредоносов стали популярны криптомайнеры, которые начали распространяться как мобильные троянские программы.

Червь-криптомайнер для Android

Компания 360 Netlab обнаружила червя [3], который распространяется через отладочный протокол Android Debug Bridge (ADB). Он позволяет устанавливать на устройства с операционной системой Android постороннее программное обеспечение через порт 5555. Первичное проникновение на устройство также связано с режимом отладки – через USB-порт зараженного компьютера. Далее устройство начинает постоянно сканировать порт номер 5555 в локальной Wi-Fi-сети и, обнаружив устройство с открытым портом ADB, пытается на него установить свою копию. Под ударом могут оказаться не только смартфоны и планшеты, но и телевизоры Smart TV и телевизионные приставки на базе платформы Android. По данным исследователей, за 24 часа червь смог заразить 5 тыс. устройств. Вредонос явно имеет заимствования кода зомби-сети Mirai, которая доказала возможность своего активного распространения. Зараженное вредоносом устройство начинает майнить криптовалюту Monero.

Медицинская криптовалюта

В госпитале городка Парсонс (штата Теннесси) под названием Decatur County General Hospital обнаружился вредонос [4], который занимался добычей криптовалюты прямо на сервере, обрабатывающем электронные медицинские записи в формате Electronic Medical Record (EMR). Криптомайнер обнаружил производитель EMR-сервера, имя которого не называется. Его специалисты предупредили ИТ-службу госпиталя, что на их сервере установлено стороннее программное обеспечение, которое занимается майнингом криптовалюты. Кто установил вредоносное ПО – неизвестно. Также не совсем понятно, утекли ли персональные и медицинские данные, которые хранились на сервере. Однако эксперты считают, что не утечка данных была целью установки ПО. Инцидент расследуется.

Microsoft готовит блокчейн для идентификации пользователей

Компания Microsoft раскрыла подробности [5] о разработке платформы для децентрализованной идентификации пользователей. Компания уже имеет собственную систему централизованной идентификации под названием Live ID, к которой привязаны пользователи операционной системы Windows. Теперь же компания вступила в альянс ID2020, который занимается разработкой блокчейна для распределенной идентификации с открытым кодом. Сотрудники Microsoft объясняют, что компания планирует использовать это решение для построения системы аутентификации с архитектурой Keyless Signature Infrastructure (KSI), которая должна прийти на смену централизованной системы аутентификации PKI.

 

[1] https://www.darkreading.com/attacks-breaches/north-korean-apt-group-employed-rare-zero-day-attack/d/d-id/1331011?_mc=rss_x_drr_edt_aud_dr_x_x-rss-simple

[2] https://www.trendmicro.com/vinfo/us/security/research-and-analysis/threat-reports/roundup/2017-mobile-threat-landscape

[3] https://threatpost.com/new-monero-crypto-mining-botnet-leverages-android-debugging-tool/129777/

[4] https://www.databreaches.net/tennessee-hospital-notifies-24000-patients-after-emr-system-attacked-with-cryptocurrency-mining-software/

[5] https://www.computerworld.com/article/3254774/security/microsoft-wants-to-use-blockchain-to-secure-your-identity.html

 








 

ИД «Connect» © 2015-2018

Использование и копирование информации сайта www.connect-wit.ru возможно только с письменного разрешения редакции.

Техподдержка и обслуживание Роман Заргаров


Яндекс.Метрика
Яндекс.Метрика