Криминальная криптовалюта
Опубликовано исследование криптомайнеров [1], которое провели два европейских специалиста – Серджо Пастрана из мадридского университета им. Карлоса III и Гильермо Суарес-Танджил из Королевского колледжа Лондона. Они проанализировали криминальные криптомайнеры и выяснили, что на текущий момент наиболее криминальной криптовалютой является Monero (XMR), у которой 4,3% токенов сгенерировано вредоносными программами. Специалисты проанализировали 4,4 млн образцов вредоносного ПО для скрытого майнинга криптовалют (криптомайнеров), которые были обнаружены ими в сети с 2007 по 2018 г., и, кроме того, форумы, где обсуждались технологии и сервисы для криптомайнинга. Они отмечают, что до 2013 г. вредоносы были ориентированы на биткоин, в 2013 и 2014 гг. их авторы начали экспериментировать с такими клонами, как Litecoin, Dogecoin и даже Ethereum, но уже с 2017 г. основной темой обсуждения на хакерских форумах стала криптовалюта Monero.
Shutdown ФБР
Брайан Кребс в своем блоге [2] описал, как приостановка деятельности правительства США влияет на безопасность. По его данным, отсутствие финансирования сказывается на 800 тыс. человек по всей стране, среди которых есть и специалисты ФБР, которое не в состоянии оплачивать работу своих агентов. Брайан Кребс приводит слова одного из своих источников: «Общая потеря компетенций после того, как проблема будет окончательно решена, обойдется нам в пять лет работы». В кибербезопасности ситуация усугубляется тем, что отдельные коммерческие компании предлагают специалистам из спецслужб более привлекательные условия оплаты, что может привести к вымыванию квалифицированных кадров из федеральных структур, обеспечивающих кибербезопасность государственных ресурсов и проводящих эффективные расследования киберинцидентов. Собственно, некоторые федеральные сайты достаточно быстро прекратили обновляться, а компания Netcraft даже отметила, что увеличилось число федеральных веб-сайтов с просроченными сертификатами – с 80 до 130 за одну неделю.
«Черви» для Apple
Китайский исследователь Квиксан Джао (Qixun Zhao) продемонстрировал [3] возможность удаленного взлома устройств на iOS до версии 12.1.3. Он назвал свой эксплойт «Хаос», который базируется на двух уязвимостях, недавно исправленных Apple в версии iOS 12.1.3: CVE-2019-6227, – уязвимость в браузере Safari, которая с помощью нарушения механизма работы с памятью может исполнить посторонний код в браузере, и CVE-2019-6225 – уязвимость ядра операционной системы, позволяющая поднимать полномочия до системных. Таким образом, у хакеров появилась возможность удаленно, без взаимодействия с пользователем устанавливать на устройства под управлением старых версий iOS посторонние коды. Впрочем, пока исследователь показал только видео работы эксплойта, не выкладывая его исходных кодов. Однако и самим хакерам по силам повторить подобные разработки, что может привести к созданию «червей» и вирусов под iOS. В то же время далеко не все владельцы устройств Apple могут обновить их до последней версии и исправить опасные уязвимости.
Иран захватывает DNS
Компания FireEye в январе обнаружила вредоносную активность неизвестной хакерской группы [4], которая начала захватывать DNS-серверы компаний и правительственных структур и манипулировать установленными на них сертификатами. Утверждается, что жертвами стали компании в Северной Америке, Европе, на Ближнем Востоке и в Северной Африке. Целью атак были государственные структуры, телеком-операторы и инфраструктурные провайдеры Интернета. Было зафиксировано три техники захвата DNS, две из которых связаны с входом через административную панель регистратора DNS с легальными реквизитами, которые были заранее получены неизвестным способом. Третья техника взлома была связана со специальным устройством, которое перехватывает DNS-запросы и отвечает на них с указанием неверных IP-адресов. Эксперты FireEye связывают данную атаку с государственными структурами Ирана. Во время Shutdown в США проводить такую операцию против федеральных структур особенно эффективно.
…И вот опять
Комитет демократической партии США (DNC) опять обвинил Россию в попытках взлома ее почтовой инфраструктуры [5]. В новом обвинении, которое было выдвинуто DNC в январе, описывается еще один эпизод массовой рассылки фишинговых сообщений 14 ноября 2018 г., сразу же после завершения промежуточных выборов в США. Утверждается, что рассылка была организована хакерской группировкой Cozy Bear (она же Fancy Bear), якобы связанной с российским ГРУ. Это уже четвертое дополнение к иску, выставленному DNC против РФ, Дональда Трампа, WikiLeaks, Пола Манафорта, Джареда Кушнера и почему-то Араза Искендера оглы Агала́рова, президента и владельца группы компаний Crocus Group и Эми́на Араза оглы Агала́рова, вице-президента группы компаний Crocus Group и народного артиста Азербайджанской Республики. В иске приводятся цитата из якобы переписки между Дональдом Трампом и Эмином Агаларовым 3 июня 2016 г., когда Трамп начал свою предвыборную кампанию, а также утверждение о совершении между ними некоторых телефонных звонков. В общем, из иска не совсем понятно, кто за кем следил и с какой целью.
[1] https://arxiv.org/pdf/1901.00846.pdf
[2] https://krebsonsecurity.com/2019/01/how-the-u-s-govt-shutdown-harms-security/
[3] https://threatpost.com/chaos-iphone-x-jailbreak/141104/
[4] https://threatpost.com/unprecedented-dns-hijacking-attacks-linked-to-iran/140737/
[5] http://go.theregister.com/feed/www.theregister.co.uk/2019/01/18/russia_hack_democrats/
