Фишинг в облаках
Компания Avanan представила широкой публике отчет [1] по анализу электронных сообщений, приходящих на web-почты Microsoft Office 365 и Google G Suite. Всего компания обработала 55,5 млн сообщений, из которых 561 947 были признаны опасными. Аналитики выделили четыре категории: с вредоносным вложением (их доля составила 50,7%), направленных на воровство конфиденциальной информации (40,9%), вымогательство (8%) и скрытый фишинг (0,4%). При этом доля вредоносных сообщений в сервисе Office 365 больше, чем на G Suite, – 1,04% против 0,5%. Исследователи также проанализировали работу фильтра Microsoft Exchange Online Protection (EOP), встроенного в офисный сервис. Оказалось, что он почти половину вредоносных сообщений (49%) помечает как спам, только 20,7% правильно маркирует как вредоносные, а 25% вообще пропускает. Еще около 5% сообщений проходят через фильтр благодаря «белым» спискам, составленным администраторами. Таким образом, облачная защита пропускает в среднем одно из четырех вредоносных писем, что и сохраняет для злоумышленников эффективность этого метода проникновения на компьютеры пользователей.
Intel поправилась
Компания Intel выпустила исправления для уязвимостей в своих технологиях управления аппаратной частью компьютеров [2]. В частности, исправлена уязвимость в программе установки Intel Media SDK, которая позволяла локальной утилите поднять свои полномочия до системных без взаимодействия с пользователем. Такая уязвимость вполне может использоваться для написания вредоносных программ, и теперь эта ошибка исправлена. Еще одна критическая уязвимость, которая была исправлена компанией Intel, относится к процессорам Broadwell U i5, точнее, к фирменному ПО vPro, которое предназначено для управления компьютерами на их основе. В ПО плохо проверялись входные параметры, что позволяло с помощью специально сформированной команды вызвать исполнение вредоносного кода, вывести из строя компьютер или получить доступ к важной информации. Третья исправленная компанией уязвимость относится уже к утилите Graphics Performance Analyzer for Linux, которая предназначена для тонкой настройки графики в компьютерных играх, но она же позволяет исполнить вредоносный код в системе, правда, для этого требуется определенное взаимодействие с пользователем. Поэтому данное исправление относится к среднему классу важности. И еще одна уязвимость с минимальной опасностью, но получившая собственное имя – Spoiler, связана уже с технологией Intel Virtual Memory Mapping. Она всего лишь позволяет подсмотреть некоторые адреса в памяти, однако по этим адресам могут располагаться пароли и ключи шифрования. Ошибки такого низкого уровня характерны тем, что их стоит исправлять как можно быстрее.
Северокорейцы атаковали американские организации
Департамент внутренней безопасности США и ФБР обнародовали пресс-релиз [3], в котором содержатся сведения о вредоносной программе, атаковавшей американские компании и ведомства со стороны северокорейских хакеров. Новый вредонос был назван HopLight, но по своей сути он является продолжением троянского ПО с названием Hidden Cobra, ассоциированной ранее с правительством Северной Кореи. Пресс-релиз содержит подробный анализ девяти файлов, которые и составляют вредонос. Также в документе содержатся инструкции для детектирования этого вредоносного ПО. Однако сведений о том, против каких компаний или ведомств направлено данное вредоносное ПО нет.
Вторая жертва Triton
Компания FireEye в апреле обнародовала сведения [4] о том, что ее специалистами была обнаружена вторая жертва вредоносного ПО Triton, разработка которого приписывается российскому профессору. Первый раз вредонос атаковал саудовскую компанию Petro Rabigh, где и был обнаружен. Сейчас FireEye не раскрывает имени атакованной компании, но утверждает, что она также располагается на Ближнем Востоке. В отчете компьютерных исследователей утверждается, что целью проникновения группировки в корпоративную сеть компании являлся именно ее технологический сегмент. Во избежание обнаружения антивирусными программами были использованы специально разработанные вредоносы. Утверждается, что разработка этих инструментов датируется 2014 г. Группа не пыталась получить доступ к офисным ресурсам, а сконцентрировала свое внимание на АСУ ТП Triconex safety instrumented system (SIS) разработки компании Schneider Electric, на внедрение в которую группа и специализируется. Чего именно добивались хакеры, установить не удалось, поскольку они действовали максимально скрытно, в нерабочее время и имитируя легальную работу персонала.
Телефон как токен
Компания Google объявила [5] о том, что в версии операционной системы Android 7.0+ появится возможность использовать телефон или другое устройство для строгой аутентификации. Для этого в операционную систему встроено защищенное хранилище ключей, доступ к которому организован по протоколу федеративной аутентификации 2FA. Для активации этой возможности пользователям нужно просто зарегистрировать свое устройства в системе аутентификации Google. Пользоваться мобильным телефоном как секретным токеном можно и на устройствах под управлением Chrome OS, macOS X и Windows 10, где установлен браузер Chrome и включен Bluetooth. В этом случае устройство через браузер связывается с телефоном по Bluetooth и организует процедуру двухфакторной аутентификации. Собственно, часть наиболее популярных сайтов, таких как Dropbox, Facebook, Github и Twitter, уже используют USB и Bluetooth токены для аутентификации своих пользователей, и разработка Google, скорее всего, найдет свое место именно для таких облачных сервисов.
[1] https://www.avanan.com/resources/press-release-avanan-global-phish-report
[2] http://go.theregister.com/feed/www.theregister.co.uk/2019/04/11/intel_april_patch/
[3] https://www.us-cert.gov/ncas/analysis-reports/AR19-100A
[4] https://threatpost.com/triton-ics-malware-second-victim/143658/
[5] https://krebsonsecurity.com/2019/04/android-7-0-phones-can-now-double-as-google-security-keys/
