Обзор зарубежной прессы по информационной безопасности за апрель: Вредоносная активность

Кибер-оружие АНБ

В апреле хакеры, которые называют себя TheShadowBrokers, опубликовали ключ к изданному ими ранее архиву кибер-оружия [1], разрабатываемого компанией Equation Group по заказу и для нужд АНБ. Публикация архива сопровождалась антиамериканскими высказываниями, осуждающими атаку Сирии. В самом архиве содержались в основном информация об операциях АНБ и список IP-адресов, ранее взломанных этой спецслужбой. Кроме того, обнаружились и инструменты для взлома старого оборудования: серверов Digital Equipment Corp., Alpha, Sun Solaris 2 и почему-то китайской национальной операционной системы Red Flag Linux. При этом отмечается, что АНБ взламывала прежде всего информационные системы под управлением Sun Solaris. Там же были эксплойт EternalBlue для очень древней ошибки в Windows, которая была унаследована еще с OS/2, но исправлена Microsoft лишь в марте этого года, а также инструмент автоматического заражения под названием DoublePulsar.

Более 100 тыс. DoublePulsar

В середине апреля компания Countercept опубликовала на GitHub [2] скрипит на Python для Kali Linux, который позволял определить, установлен ли на конкретном адресе боевой имплант кибер-оружия АНБ DoublePulsar. Тут же исследователи по всему миру начали изучать ситуацию с распространением DoublePulsar и первоначально обнаружили [3] его на 10 тыс. компьютеров – эти данные были подтверждены самой Microsoft. Однако через несколько дней эта цифра выросла до 35 тыс. адресов, а еще через какое-то время и до 56 тыс. В результате к концу апреля уже назывался объем в 120 тыс. зараженных IP-адресов, доступных из Интернета. Скрипт предоставлял и возможность дистанционного удаления импланта и установки обновления, которое блокирует распространение вредоноса. Возможно, публикация скрипта позволила компаниям своевременно выявить DoublePulsar, удалить его со своих компьютеров и исправить уязвимость, через которую он проникал в информационные системы.

Жертвы вымогателей только в 45% случаев возвращают свои данные

Компания BitDefender опубликовала отчет об атаках вымогателей на средние и малые компании [4]. Результаты были получены с помощью анкетирования 250 сотрудников американских компаний сектора SMB. Исследование показало, что 38% компаний заплатили выкуп преступникам (в среднем 2,4 тыс. долл.), однако в большинстве случаев (55%) не вернули себе контроль над данными. При этом в 65% случаев удалось восстановить данные из резервной копии, в 52% – смягчить атаку за счет средств защиты, и только четверть опрошенных безвозвратно потеряли свои данные. В 56% случаев вредонос проник в систему как вложение электронной почты, в 54% – как вредоносная ссылка, в 36% – это была параллельная загрузка вредоноса в браузере, и только в 31% случаев было зафиксировано проникновение с помощью социальной инженерии. Саморазмножающиеся вредносы – «черви» и вирусы – вообще не указаны как возможные варианты для проникновения вымогателей.

«Русские хакеры» во Франции

Как все города России мечтают о своих пробках, чтобы быть похожим на Москву и Питер, так и выборы теперь не могут не сопровождаться «атакой русских хакеров». Не обошлись без этого и выборы во Франции, которые проходили в апреле этого года. В материале Reuters [5] указывается, что хакеры группировки Pawn Storm пытались повлиять на избирательную кампанию Эммануэля Макрона – были зафиксированы попытки с помощью фишинговых сообщений электронной почты проникнуть на сайт кампании и модифицировать его. С «русскими хакерами» из группировок APT 28, Fancy Bear, Sofancy и Strontium нападения на сайт Макрона связала американская компания CrowdStrike, которая активно не любит русских, а тем более хакеров. Эксперты из других компаний – Dell SecureWorks, FireEye, ThreatConnect и Trend Micro – более осторожны в оценках, хотя и не исключают связи нападавших с российским правительством.

«Ростелеком» заглянул в трафик 36 компаниям

Система контроля протокола BGP обнаружила 26 апреля искажение анонсов автономных систем со стороны российского провайдера «Ростелеком» [6]. В течение шести минут маршрутизаторы этого провайдера объявляли, что лучше знают маршрут до автономных систем таких компаний, как Visa, MasterCard, HSBC, EMC, Verisign, Symantec и некоторых других. В результате трафик, направленный этим компаниям, проходил через маршрутизаторы российского оператора. Чаще всего такие искажения маршрутного пространства возникают из-за ошибок персонала операторов в конфигурировании протокола BGP, но на этот раз в инциденте отметился достаточно профессиональный, но ассоциированный с российским государством оператор. Поэтому сразу же возникли подозрения в злом умысле, поскольку пострадали в основном финансовые компании. Конечно, сейчас трафик в большинстве случаев зашифрованный и вряд ли его просто расшифровать, однако оператор мог собрать данные о структуре контрагентов пострадавших компаний.

 

[1] https://arstechnica.com/security/2017/04/shadowbrokers-post-password-to-auction-file-of-alleged-nsa-hacking-tools/

 

[2] https://github.com/countercept/doublepulsar-detection-script

 

[3] https://arstechnica.com/security/2017/04/nsa-backdoor-detected-on-55000-windows-boxes-can-now-be-remotely-removed/

 

[4] https://download.bitdefender.com/resources/files/News/CaseStudies/study/153/Ransomware-SMB-survey-crea1289-A4-en-EN-web.pdf

 

[5] http://www.reuters.com/article/us-france-election-macron-cyber-idUSKBN17Q200

 

[6] https://arstechnica.com/security/2017/04/russian-controlled-telecom-hijacks-financial-services-internet-traffic/

 








 

ИД «Connect» © 2015-2016

Использование и копирование информации сайта www.connect-wit.ru возможно только с письменного разрешения редакции.

Техподдержка и обслуживание Роман Заргаров


Яндекс.Метрика
Яндекс.Метрика