Загрузка...

Вернуться   Другой Форум про антивирусы и софт - Norton, Касперский, ESET, Windows > Безопасность системы > Обсуждение антивирусов и файерволов
Войти через профиль в соц. сети
Регистрация Справка Правила Помощь форуму Пользователи Календарь Статистика Все разделы прочитаны
Обсуждение антивирусов и файерволов Обсуждения и сравнения антивирусных программ и файерволов, раздел допускает наличие флуда и свободного общения в рамках приличия

Ответ
Старый 08.12.2012, 18:39   #711
Форумчанин
 
Аватар для ЕленаС

 
Регистрация: 11.11.2012
Сообщений: 2 948

ЕленаС вне форума

IT-безопасность-свежие новости.


BackDoor.Dockster распространялся через сайт далай-ламы


Компания «Доктор Веб» информирует о распространении нескольких троянских программ с использованием взломанных злоумышленниками веб-сайтов.

В частности, вредоносные программы загружаются с официального интернет-ресурса далай-ламы. Опасность грозит не только пользователям операционной системы Windows, но и Mac OS X.

Несколько дней назад пользователи проинформировали специалистов компании «Доктор Веб» о факте взлома неизвестными злоумышленниками официального сайта тибетского духовного лидера далай-ламы. Исследуя ситуацию, специалисты «Доктор Веб» выяснили, что при попытке открытия этого веб-сайта в окне браузера на компьютер пользователя загружался файл формата jar, содержащий эксплойт (CVE-2012-0507). С помощью этой уязвимости происходит автоматический запуск троянца для Mac OS X, добавленного в вирусные базы под именем BackDoor.Dockster.

Эта вредоносная программа помещается в домашнюю папку пользователя Mac OS X и запускается. При этом для ее функционирования не требуются администраторские привилегии — троянец может работать и под учетной записью обычного пользователя. BackDoor.Dockster способен фиксировать и передавать злоумышленникам нажатия клавиш на инфицированном компьютере (то есть пароли, которые вводятся на зараженном компьютере), а также выполнять различные команды, поступающие от злоумышленников.

Примечательно, что троянец BackDoor.Dockster.1 пытается загрузиться на компьютеры всех посетителей сайта далай-ламы, вне зависимости от используемой ими системной платформы. Вероятно, взломавшие данный сайт злоумышленники не смогли настроить на атакованном сервере соответствующую проверку клиентской ОС: в пользу этого предположения говорит то обстоятельство, что на инфицированном ресурсе специалистами «Доктор Веб» был обнаружен другой JAR-файл с именем install.jar, содержащий эксплойт CVE-2012-4681. С помощью этого файла на компьютер жертвы должна устанавливаться вредоносная программа семейства BackDoor.Gyplit, ориентированная на работу в ОС Windows и предназначенная для сбора и передачи злоумышленникам конфиденциальной информации, а также выполнения на инфицированной машине различных команд. Тем не менее, загрузки упомянутого выше JAR-файла в настоящий момент не происходит.

Известно о существовании как минимум еще двух веб-сайтов, при посещении которых выполняется проверка пользовательской ОС, и в зависимости от ее результатов на клиентский компьютер загружается соответствующий JAR-файл. В первом случае версия данного файла для пользователей Windows содержит Exploit.CVE2011-3544.83, с использованием которого происходит заражение вредоносной программой Trojan.Inject1.14703. Версия JAR-файла для других операционных систем эксплуатирует уязвимость CVE-2012-0507, при этом пользователи Mac OS X рискуют заразиться троянцем BackDoor.Lamadai.1. Эта же вредоносная программа загружается с инфицированного веб-сайта на компьютеры пользователей Linux, однако в данной операционной системе она неработоспособна.

Во втором случае на известном южнокорейском новостном сайте, освещающем события в Северной Корее, также осуществляется проверка операционной системы посетителя при помощи аналогичного сценария, однако вредоносный файл, в роли которого выступает троянец Trojan.MulDrop3.47574, «отдается» только пользователям Windows.

Имеют место и другие инциденты, связанные с именем далай-ламы: случаи распространения вредоносных программ и таргетированных вредоносных рассылок, так или иначе ассоциированных с темой борьбы за независимость Тибета, фиксировались и ранее. В целом можно говорить о тенденции использования злоумышленниками взломанных интернет-ресурсов для распространения вредоносного ПО, при этом атаки носят узконаправленный характер, поскольку взлому подвергаются в основном сайты политической и оппозиционной направленности, посвященные тибетской или северокорейской проблематике.

Администраторы подвергшихся атаке веб-сайтов были своевременно предупреждены о факте взлома, и в течение нескольких суток специалисты компании «Доктор Веб» ожидали, что владельцы данных ресурсов удалят код, выполняющий вредоносные функции.

источник
  Ответить с цитированием
4 пользователя(ей) сказали cпасибо:
Загрузка...
Re: IT-безопасность-свежие новости.
Старый 09.12.2012, 09:21   #712
Форумчанин
 
Аватар для ЕленаС

 
Регистрация: 11.11.2012
Сообщений: 2 948

ЕленаС вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Спуфинг-атака в Twitter


Владельцы учетных записей, привязанных к мобильным номерам без PIN кода находятся под риском компрометации.


Согласно сообщению независимого исследователя информационной безопасности Джонатана Руденберга (Jonathan Rudenberg), пользователи Twitter, чьи настройки «SMS-твитов» в настоящий момент являются открытыми, подвержены риску компрометации.

По словам эксперта, содержащаяся в программном обеспечении социальной сети уязвимость, заключается в том, что сервис не проверяет должным образом права доступа поддельных мобильных номеров к настройкам учетной записи пользователя. Таким, образом, удаленный злоумышленник, знающий номер мобильного телефона жертвы, может провести спуфинг-атаку и перехватить контроль над чужим микроблогом.

«Для осуществления атаки злоумышленнику достаточно знать номер телефона привязанный к учетной записи пользователя. В этом случае хакеры смогут отправлять сообщения с помощью поддельного номера», - пояснил эксперт.

Руденберг также подчеркнул, что разработчики Twitter были уведомлены о наличии бреши еще в августе текущего года. Однако с тех пор они не предприняли попыток устранения угрозы.

В настоящий момент администрация Twitter никак не прокомментировала заявление исследователя. В то же время, сам эксперт заверил, что для того, чтобы обезопасить себя от взлома, достаточно установить проверку PIN кода телефона.

источник
  Ответить с цитированием
4 пользователя(ей) сказали cпасибо:
Re: IT-безопасность-свежие новости.
Старый 09.12.2012, 21:26   #713
Форумчанин
 
Аватар для ЕленаС

 
Регистрация: 11.11.2012
Сообщений: 2 948

ЕленаС вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Symantec: Мошенники навязывают платные услуги пользователям Instagram


Корпорация Symantec сообщила об обнаружении мошеннической кампании, осуществляемой при помощи сервиса Instagram. Пользователям предлагалось подписаться на платную рассылку видео, которое, на самом деле, находится в открытом доступе.

"Уже довольно давно объектом спамеров стали социальные сети. Как правило, активность спамеров на том или ином ресурсе возрастает по мере роста его популярности. Похоже, что сервис обмена фотографиями Instagram недавно также стал объектом такого рода мошенничеств", — рассказали CNews в Symantec.

По словам экспертов компании, были зафиксированы случаи появления комментариев к фотографиям пользователей Instagram, содержание которых никак не было связано с тем, что изображено на фотографиях. При этом в профиле комментирующего не было опубликовано ни одной собственной фотографии.

Содержание раздела "о себе" в данном профиле было практически идентично содержанию оставленного комментария, однако, помимо этого, включало укороченную ссылку, ведущую на сайт мобильного сервиса. В рамках этого сервиса "всего за €4,50 в месяц" предлагалась рассылка умилительных видеозаписей с животными. Чтобы воспользоваться этой услугой, нужно было сообщить свой номер телефона, после чего пользователю не пришлось бы смотреть те же самые видео на Youtube бесплатно.

"Как оказалось, такого рода аферы могут быть достаточно прибыльными. Например, на ссылку в профиле чуть больше, чем за месяц, кликнули почти 1000 раз. Если хотя бы небольшая часть этих людей подписалась на услугу, можно сказать, что афера удалась", — отметили в Symantec.

Как подчеркнули в компании, Instagram — не единственная платформа для такого рода "кампаний", и она располагает методами по борьбе с ними.

источник
  Ответить с цитированием
5 пользователя(ей) сказали cпасибо:
Re: IT-безопасность-свежие новости.
Старый 10.12.2012, 21:45   #714
Форумчанин
 
Аватар для ЕленаС

 
Регистрация: 11.11.2012
Сообщений: 2 948

ЕленаС вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Новые методы атаки на программную инфраструктуру GPS


Исследователи из университета Карнеги-Меллона и компании Coherent Navigation опубликовали работу (pdf) с описанием нескольких техник атаки на инфраструктуру системы глобального спутникового позиционирования GPS. Атака отличается от традиционных методов джамминга и спуфинга бóльшим масштабом и представлением информационной системы GPS как компьютерной сети. В эксперименте по тестированию нового метода спуфинга задействованы контрольные сообщения протокола GPS (в первом методе), особенности программного стека GPS (во втором методе) и программного обеспечения GPS-приёмников (третий метод).

Например, в одной из атак специалисты демонстрируют возможность перманентной рассинхронизации времени в PMU и способны обеспечить в UNIX-времени наступление 2038 года в течение двух минут и 100000 года в течение двух дней. Оба эти события — окончание UNIX-времени в 32-битном формате и первый шестизначный год — способны вывести из строя определённые модели устройств.

Для атаки используется передатчик и другое оборудования общей стоимостью около 2500 долларов. В результате 45-секундной сессии можно вывести из строя до 30% станций GPS Continuously Operating Reference Stations (CORS), а другая разновидность атаки позволяет вывести из строя 20% сетей NTRIP, сообщается в отчёте. Атака проверена на GPS-приёмниках семи производителей, включая Magellan, Garmin, GlobalSat, uBlox, LOCOSYS и iFly 700. Подобные устройства используются в легковых и грузовых автомобилях, самолётах, беспилотных летательных аппаратах, кораблях, станциях сотовой связи, тюремных браслетах, SCADA-системах и т.д.

Станции CORS используются для ретрансляции данных GNSS (Global Navigation Satellite System), преимущественно, на территории США, а сети NTRIP передают данные системы GPS в онлайне. Многие коммерческие GPS-приёмники полагаются на эти данные, но из-за отсутствия криптографических методов проверки подлинности GPS-пакетов в коммерческих приложениях эти GPS-приёмники уязвимы для атаки. Метод не работает в военной версии GPS, где используется криптографическая защита передаваемых данных.

По мнению исследователей, возможность одновременного осуществления двух вышеупомянутых атак представляет серьёзную опасность для систем, которые полагаются на данные GPS. Прибор для такой атаки пока существует в единственном экземпляре, но потенциальные злоумышленники могут сделать подобное устройство своими силами.

источник
  Ответить с цитированием
4 пользователя(ей) сказали cпасибо:
Re: IT-безопасность-свежие новости.
Старый 10.12.2012, 21:48   #715
Banned
 
Регистрация: 07.06.2012
Сообщений: 2 699

Anthrax13 вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Обнаружен ботнет Skynet с управлением через анонимную сеть TOR


Специалисты по сетевой безопасности из компании Rapid7 обнаружили, возможно, один из первых ботнетов, в котором связь зараженных машин с управляющим сервером выполнялась с помощью технологии TOR, обеспечивающей анонимный доступ к Интернету.
Первооткрыватели ботнета, получившего название Skynet, как искусственный интеллект в фильмах про Терминатора, предупредили, что в ближайшее время эту практику могут взять на вооружение и другие ботнеты, что сильно затруднит обнаружение и нейтрализацию их управляющих серверов.
Технология TOR, о которой мы не раз писали, была создана военными специалистами США в расчете на то, что с ее помощью подвергаемые гонениям активисты в странах с тоталитарными режимами смогут беспрепятственно общаться со своими единомышленниками и соратниками по подрывной работе против государства. Многоуровневая анонимизация в сети TOR почти исключает возможность перехвата и прослушки сообщений. Кроме того, через сеть TOR-ретрансляторов в странах с фильтрацией Интернета можно получать доступ к любым закрытым ресурсам за счет использования «выходных TOR-узлов» в странах с менее жестким режимом доступа. По прошествии времени выяснилось, что технология TOR открыла настоящий ящик Пандоры не только для правозащитников, но и для настоящих киберпреступников.

Обнаруженный ботнет Skynet, по данным исследователей, представляет собой настоящий многофункциональный комбайн. В частности, Skynet поддерживает организацию распределенных атак на отказ в обслуживании (DDoS), генерацию виртуальной валюты Bitcoin с использованием вычислительных ресурсов графического процессора на зараженных машинах, исполнение произвольного кода по команде оператора, а также похищение реквизитов для доступа к веб-сайтам и банковским счетам пострадавших. Главное же отличие Skynet заключается в том, что доступ к его серверам управления возможен только через сеть TOR по протоколу Tor Hidden Service.
Традиционно протокол Tor Hidden Service используется для анонимного доступа к обычным веб-сайтам, а также к чат-серверам IRC и некоторым другим сервисам, включая удаленное управление по протоколу SSH (Secure Shell). Адрес такого сервиса выглядит как случайная последовательность символов с расширением .onion в качестве псевдо-домена верхнего уровня. По мнению представителей компании Rapid7, на данный момент не существует способов отследить и нейтрализовать управляющие серверы ботнета, скрытые с помощью протокола TOR Hidden Service.
По оценкам компании Rapid7 сейчас ботнет Skynet охватывает около 12-15 тысяч зараженных компьютеров. За семь месяцев, прошедших после обнаружения первых признаков этого ботнета, число пораженных машин увеличилось почти на 50 %. В состав ботнет-клиента, который устанавливается на машину жертвы, входит специальный бот с управлением через IRC-чат (этот бот умеет запускать несколько типов DDoS-атак и других действий), собственный TOR-клиент для Windows, модуль для «добычи» Bitcoin-валюты (путем сложных расчетов на графическом процессоре), а также специальная версия известного троянца Zeus с возможностью внедрения в браузер и кражи пользовательских данных для доступа к веб-сайтам и банковским счетам. Несмотря на то, что сеть TOR имеет ряд недостатков, включая большие задержки и невысокую пропускную способность, для передачи команд узлам ботнета этого вполне достаточно, как при запуске DDoS-атаки.
Еще один примечательный факт – каждый зараженный компьютер в ботнете Skynet сам становится TOR-ретранслятором, что делает сеть TOR еще более крупной и устойчивой к нагрузкам, а вместе с ней более устойчивым становится и работающий через нее ботнет.
По мнению специалистов из антивирусных компаний Bitdefender и «Лаборатория Касперского», ботнеты с управлением через TOR не являются такими уж неуязвимыми. Есть средства для борьбы с таким угрозами и на уровне интернет-провайдеров в виде блокирования трафика от всех известных выходных TOR-узлов. С другой стороны, это в итоге может разрушить сам исходный замысел системы TOR, где выходные узлы, теоретически, должны поддерживаться добровольцами в «свободных странах», чтобы оказывать услуги анонимности своим менее удачливыми коллегам, ищущим защиты от преследований.

По материалам сайта NetworkWorld.
  Ответить с цитированием
6 пользователя(ей) сказали cпасибо:
Re: IT-безопасность-свежие новости.
Старый 11.12.2012, 05:02   #716
Banned
 
Регистрация: 07.06.2012
Сообщений: 2 699

Anthrax13 вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Вредоносная программа Necurs заразила более 83 000 компьютеров за месяц


По данным экспертов Microsoft Malware Protection Center, вредоносная программа Necurs лишь за последний месяц заразила 83427 компьютеров. Как утверждают исследователи, вредонос распространяется через сайты, зараженные набором эксплойтов BlackHole.
Попадая на компьютер жертвы, Necurs загружает дополнительные вредоносные программы, отключая приложения, обеспечивающие безопасность системы. При этом вредонос скрывает наличие собственных компонентов в системе. Эксперты отмечают, что Necurs может полностью отключить защиту в режиме реального времени Microsoft Security Essentials.

Вредоносная программа позволяет злоумышленникам полностью контролировать зараженную систему посредством бэкдоров. Эксперты отмечают, что это далеко не единственная проблема, которую может создать Necurs.

http://blogs.technet.com/b/mmpc/arch...ot-necurs.aspx
  Ответить с цитированием
6 пользователя(ей) сказали cпасибо:
Re: IT-безопасность-свежие новости.
Старый 11.12.2012, 20:41   #717
Форумчанин
 
Аватар для ЕленаС

 
Регистрация: 11.11.2012
Сообщений: 2 948

ЕленаС вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Удалённый доступ к USB-флэшкам в телевизорах Samsung


В телевизорах Samsung обнаружена 0day-уязвимость, которая позволяет злоумышленнику получить удалённый доступ с правами администратора в операционную систему телевизора. Злоумышленник не только получает доступ к настройкам телевизора, списку телеканалов и истории просмотренных фильмов, но может сделать копию файлов со сменного носителя, подключенного к телевизору.

Получив удалённый доступ со всеми правами, можно изменить настройки пульта управления телевизором, прописать MAC-адрес своего компьютера — и тогда можно в удалённом режиме даже установить на телевизор вредоносное ПО.

Автор эксплойта Луиджи Ауриемма (Luigi Auriemma) давно специализируется на телевизорах Samsung (возможно, он просто купил себе такой, поэтому имеет возможность его исследовать). Например, в мае 2012 года Луиджи нашёл баг с «бесконечной перезагрузкой» в телевизорах и Blu-Ray-плеерах Samsung с поддержкой WiFi. Все они имеют функцию дистанционного управления с мобильного устройства через порт TCP 55000, куда можно отправить неправильно отформатированный пакет, что приводит к плачевным последствиям.

Эксплойт для новой 0day-уязвимости Луиджи показал только платным подписчикам на сайте RuVuln, а для остальных — демонстрационное видео. Луиджи Ауриемма не признаётся, в каких конкретно моделях телевизоров присутствует эта уязвимость. Он сказал только, что они протестировали несколько телевизоров последнего поколения на свежих версиях прошивки. Луиджи добавил, что угроза есть «почти для всех владельцев телевизоров Samsung».

источник
  Ответить с цитированием
5 пользователя(ей) сказали cпасибо:
Re: IT-безопасность-свежие новости.
Старый 11.12.2012, 21:05   #718
Banned
 
Регистрация: 07.06.2012
Сообщений: 2 699

Anthrax13 вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Первый троянец в виде платного архива для Mac OS X


Компания «Доктор Веб» информирует о появлении нового троянца для Mac OS X — Trojan.SMSSend.3666. Схема распространения этой вредоносной программы печально известна многим пользователям Windows, однако на компьютерах и ноутбуках под управлением Mac OS X ранее не применялась: Trojan.SMSSend представляет собой платный архив, который можно скачать с различных интернет-ресурсов под видом полезного ПО.
Вредоносные программы семейства Trojan.SMSSend широко распространены в современном Интернете. Они представляют собой платный архив, который можно загрузить с различных веб-сайтов под видом какой-либо полезной программы. В процессе открытия такого архива на экране компьютера демонстрируется инфтерфейс, имитирующий оформление программы установки того или иного приложения. При этом для продолжения «инсталляции» мошенники просят жертву ввести в соответствующую форму номер мобильного телефона, а затем указать код, пришедший в ответном СМС, пишет news.drweb.com.
Если пользователь выполняет указанные действия, он соглашается с условиями платной подписки, согласно которым со счета его мобильного телефона будет регулярно списываться абонентский платеж. Как правило, внутри архива находится либо совершенно бесполезный «мусор», либо заявленная мошенниками программа, которую можно скачать с официального сайта разработчиков совершенно бесплатно.
Раньше троянцы данного семейства досаждали пользователям операционной системы Microsoft Windows, однако Trojan.SMSSend.3666 ориентирован на владельцев Apple-совместимых компьютеров. При запуске этого платного архива на экране «мака» демонстрируется окно установки программы VKMusic 4 for Mac OS X, предназначенной для прослушивания музыки в социальной сети «ВКонтакте». Однако для доступа к содержимому архива злоумышленники традиционно требуют указать в соответствующих полях номер мобильного телефона и подтверждающий код.
Как и раньше, за распространением данного вредоносного приложения стоит известная «партнерская программа» ZipMonster, помогающая мошенникам создавать подобные платные архивы, а также оказывающая посреднические услуги по организации выплат распространителям вредоносного ПО. Следует отметить, что Trojan.SMSSend.3666 — это первый троянец данного класса, ориентированный на пользователей операционной системы Mac OS X.

http://news.drweb.com/show/?i=3138&lng=ru&c=14
  Ответить с цитированием
6 пользователя(ей) сказали cпасибо:
Re: IT-безопасность-свежие новости.
Старый 12.12.2012, 13:56   #719
Banned
 
Регистрация: 07.06.2012
Сообщений: 2 699

Anthrax13 вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Вирус маскируется под сообщения службы доставки


Мошенники играют на желании пользователей приобрести товары в сезон новогодних распродаж.

Согласно сообщению экспертов из компании Panda Security, неизвестные мошенники распространяют в Сети вредоносные электронные письма, замаскированные под уведомления популярной в Европе службы доставки FedEx. При этом тематика сообщений посвящена сезону новогодних распродаж.

По данным специалистов, в письмах содержатся вредоносные вложения, замаскированные под документы Word, однако имеющие расширения «.exe». Инфицированный файл содержит в себе фиктивный антивирус «System Progressive Protection», предлагающий провести сканирование системы и за небольшую плату удалить из системы несуществующие угрозы безопасности.

Отметим, что кроме ложного антивирусного решения вредоносное вложение содержит компьютерный червь Kuluoz.A, ориентированный на хищение финансовой информации.

«Во время сезона рождественских распродаж все мы сталкиваемся с необходимостью поиска подарков для своих знакомых и зачастую приобретаем что-либо в сети Интернет. Мошенники, в свою очередь, пользуются этим, чтобы ввести своих жертв в заблуждение», – прокомментировал ситуацию представитель Panda Security Луис Корронс (Luis Corrons).

Источник: SecurityLab.ru.
  Ответить с цитированием
5 пользователя(ей) сказали cпасибо:
Re: IT-безопасность-свежие новости.
Старый 12.12.2012, 19:53   #720
Форумчанин
 
Аватар для ЕленаС

 
Регистрация: 11.11.2012
Сообщений: 2 948

ЕленаС вне форума
По умолчанию Re: IT-безопасность-свежие новости.

"Лаборатория Касперского" - об использовании кибероружия


К 2012 году произошло всего два случая использования кибероружия — Stuxnet и Duqu. Однако их анализ привел к тому, что теоретическое представление о том, что такое «кибервойна», у IT-сообщества значительно расширилось.

События 2012 года не только увеличили число реальных инцидентов с кибероружием в несколько раз, но и выявили давнюю и серьезную вовлеченность в разработку кибервооружений многих стран мира. То, что раньше оставалось предметом секретных разработок и идей, в 2012 году активно обсуждалось в средствах массовой информации.

Более того, в 2012 году тема кибервойн стала одной из главных в публичных обсуждениях официальных представителей различных государств.

Таким образом, можно с уверенностью сказать, что год стал переломным в этой области, не только по количеству инцидентов, но и с точки зрения формирования общего взгляда на развитие кибероружия.

Нажмите чтобы раскрыть спойлер
Картина мира
В 2012 году зона применения кибероружия расширилась: если ранее это был один Иран, то теперь она охватывает весь прилегающий к нему регион Западной Азии. И такая динамика является точным отражением политических процессов, происходящих в этом регионе, давно уже являющемся «горячей точкой».

И без того непростую обстановку в регионе, которая сложилась из-за иранской ядерной программы, в 2012 году дополнили политические кризисы в Сирии и Египте. Ливан, Палестинская автономия, волнения в ряде стран Персидского залива дополняют общую картину нестабильности.

В этих условиях вполне логично стремление других государств мира, имеющих интересы в регионе, использовать все возможные инструменты — как для защиты своих интересов, так и для сбора информации.

Все это привело к тому, что в регионе произошло несколько серьезных инцидентов, анализ которых позволяет классифицировать их как использование кибероружия.

Duqu
Вредоносная программа-шпион, обнаруженная в сентябре 2011 года и раскрытая публикациях в октябре, стала объектом исследования экспертов «Лаборатории Касперского». В ходе него удалось получить доступ к ряду серверов управления, использованных Duqu, и собрать значительный объем информации об архитектуре программы и ее истории. Было определенно доказано, что Duqu является развитием платформы Tilded, на которой был создан и другой известный червь — Stuxnet. Кроме того, было установлено существование еще как минимум трех программ, использовавших единую с Duqu/Stuxnet базу, которые до настоящего момента не обнаружены.

Такое внимание и активность исследователей привели к тому, что операторы Duqu попытались уничтожить все следы своей работы с серверов управления, а также с зараженных систем.

По состоянию на конец 2011 года Duqu перестал существовать «в дикой природе», однако в конце февраля 2012 года эксперты Symantec обнаружили в Иране новый вариант драйвера, аналогичного использованному в Duqu, но созданный уже 23 февраля 2012 года. Сам основной модуль обнаружен не был, и после этого, до настоящего времени, новых модификаций Duqu не было выявлено.

Wiper
«Мистический» троянец в конце апреля 2012 года сильно встревожил Иран: появившись неизвестно откуда, он уничтожил множество баз данных в десятках организаций. Одним из тех, кто больше всего пострадал от него, стал крупнейший в Иране нефтяной терминал, работа которого была остановлена на несколько дней из-за того, что были уничтожены данные о нефтяных контрактах.

Однако не было найдено ни одного образца вредоносной программы, использованной в этих атаках, что многих заставило усомниться в точности сведений, содержащихся в сообщениях СМИ.

В связи с этими инцидентами Международный союз электросвязи (МСЭ) обратился к «Лаборатории Касперского» с просьбой провести их расследование и определить потенциальные деструктивные последствия активности этого нового вредоносного ПО.

Создатели Wiper сделали все возможное, чтобы уничтожить абсолютно все данные, которые можно было бы использовать для анализа инцидентов. Поэтому ни в одном из случаев, которые мы проанализировали, после активации Wiper от вредоносной программы не осталось почти никаких следов.

В процессе расследования таинственной апрельской вредоносной атаки нам удалось получить и проанализировать образы нескольких жестких дисков, атакованных Wiper. Мы можем с уверенностью утверждать, что инциденты действительно имели место и что вредоносная программа, использованная в этих атаках, существовала в апреле 2012 года. Кроме того, нам известно о нескольких очень похожих инцидентах, имевших место с декабря 2011 года.

В основном атаки происходили в последнюю декаду месяца (в период с 21 по 30 число), однако мы не можем утверждать, что причина этого кроется в специальной функции, активируемой при наступлении определенной даты.

Спустя несколько недель после начала расследования нам так и не удалось найти файлы вредоносного ПО, свойства которого совпадали бы с известными характеристиками Wiper. Однако мы обнаружили проводимую на государственном уровне кампанию по кибершпионажу, известную сегодня как Flame, а позднее - еще одну систему кибершпионажа, получившую название Gauss.

Flame
Flame представляет собой весьма хитрый набор инструментов для проведения атак, значительно превосходящий по сложности Duqu. Это троянская программа — бэкдор, имеющая также черты, свойственные червям и позволяющие ей распространяться по локальной сети и через съемные носители при получении соответствующего приказа от ее хозяина.

После заражения системы Flame приступает к выполнению сложного набора операций, в том числе к анализу сетевого трафика, созданию снимков экрана, аудиозаписи разговоров, перехвату клавиатурных нажатий и т.д. Все эти данные доступны операторам через командные серверы Flame.

В дальнейшем операторы могут принять решение о загрузке на зараженные компьютеры дополнительных модулей, расширяющих функционал Flame. Всего было обнаружено около 20 модулей.

Flame содержал в себе уникальную функцию распространения по локальной сети, с использованием метода перехвата запросов Windows на получение обновлений и подмены их собственным модулем, подписанным сертификатом Microsoft. Исследование этого сертификата выявило использование уникальной криптоатаки, которая позволила злоумышленникам сгенерировать собственный поддельный сертификат, полностью соответствующий легальному.

Собранные нами данные свидетельствуют о том, что разработка Flame началась приблизительно в 2008 году и активно продолжалась вплоть до момента обнаружения в мае 2012 года.

Более того, нам удалось установить, что один из модулей на платформе Flame был использован в 2009 году в качестве модуля распространения червя Stuxnet. Этот факт доказывает наличие тесного сотрудничества между двумя группами разработчиков платформ Flame и Tilded, вплоть до уровня обмена исходными кодами.

Gauss
После обнаружения Flame мы реализовали несколько эвристических методов, основанных на анализе похожести кода и довольно скоро это принесло очередной успех. В середине июня была обнаружена еще одна вредоносная программа, созданная на платформе Flame, однако отличающаяся по функционалу и ареалу распространения.

Gauss — это сложный комплекс инструментов для осуществления кибершпионажа, реализованный той же группой, что создала вредоносную платформу Flame. Комплекс имеет модульную структуру и поддерживает удаленное развертывание нового функционала, который реализуется в виде дополнительных модулей. Известные на сегодняшний день модули выполняют следующие функции:

перехват cookie-файлов и паролей в браузере;
сбор и отправка злоумышленникам данных о конфигурации системы;
заражение USB-носителей модулем, предназначенным для кражи
данных;
создание списков содержимого системных накопителей и папок;
кража данных, необходимых для доступа к учетным записям различных
банковских систем, действующих на Ближнем Востоке;
перехват данных по учетным записям в социальных сетях, почтовым
сервисам и системам мгновенного обмена сообщениями.

Модули имеют внутренние имена, которые, очевидно, даны в честь знаменитых математиков и философов, таких как Курт Гёдель, Иоганн Карл Фридрих Гаусс и Жозеф Луи Лагранж.

Исходя из результатов нашего анализа и временных меток имеющихся в нашем распоряжении вредоносных модулей, мы сделали вывод, что Gauss начал функционировать в августе-сентябре 2011 года.

Начиная с конца мая 2012 года облачным защитным сервисом «Лаборатории Касперского» зарегистрировано более 2500 заражений Gauss; при этом, по нашей оценке, общее реальное число жертв вредоносной программы измеряется десятками тысяч.

Абсолютное большинство жертв Gauss оказалось на территории Ливана. Имеются также жертвы в Израиле и Палестине. Кроме того, небольшое число пострадавших зарегистрировано в США, ОАЭ, Катаре, Иордании, Германии и Египте.

miniFlame
В начале июля 2012 года, когда мы обнаружили небольшой, но интересный модуль на платформе Flame. Эта вредоносная программа, которую мы называем miniFlame, представляет собой небольшой по размеру полнофункциональный шпионский модуль, предназначенный для кражи информации и непосредственного доступа к зараженной системе. В отличие от Flame и Gauss, которые использовались для крупномасштабных шпионских операций с заражением тысяч пользователей, miniFlame/SPE — инструмент для хирургически точных атак.

miniFlame действительно основан на платформе Flame, но реализован в виде независимого модуля, способного функционировать и самостоятельно, без наличия в системе основных модулей Flame, и в качестве компонента, управляемого Flame. Примечательным фактом является использование miniFlame в комплекте с другой шпионской программой — Gauss.

Судя по всему, разработка miniFlame началась несколько лет назад и продолжалась до 2012 года. Согласно коду серверов управления, протоколы для обслуживания SP и SPE были созданы ранее или одновременно с протоколом работы для FL (Flame), а это означает как минимум 2007 год.

Основное назначение miniFlame — выполнять функции бэкдора на зараженных системах, обеспечивая возможность непосредственного управления ими со стороны атакующих.

Число жертв miniFlame сравнимо с числом жертв Duqu.

Суммируя данные обо всех обнаруженных за последний год вредоносных программах, которые мы относим к классу «кибероружия», мы видим их явно выраженную географическую привязку к одному региону мира.

Так что же это?
Наш опыт обнаружения и исследования всех вышеописанных вредоносных программ, позволяет нам сформулировать следующий взгляд на современные угрозы и их классификацию.

Наиболее точным отражением текущего положения дел является представление в виде пирамиды.

В ее основании находится самые разнообразные угрозы. Это то, что мы называем «традиционной» киберпреступностью. Ее отличительными чертами является массовость атак и нацеленность на обычных пользователей. Основной целью злоумышленников является получение прямой финансовой выгоды. Банковские троянцы, кликеры, ботнеты, вымогатели, мобильные угрозы и т. п. Все это составляет более 90% от общего количества современных угроз.

На втором уровне расположены угрозы для организаций. Это целевые атаки. Здесь и промышленный шпионаж, и целевые хакерские атаки, задача которых дискредитировать жертву. Атакующие узко специализируются либо под конкретную цель, либо под конкретного заказчика. Цель — кража информации, интеллектуальной собственности. Непосредственная финансовая выгода не является прямой целью атакующих. В эту же группу мы включаем различные виды вредоносных программ, создаваемых некоторыми компаниями по заказу правоохранительных органов разных стран и практически открыто предлагаемых на продажу, например разработки компаний Gamma Group, Hacking Team SRL.

Третий уровень, верхняя часть пирамиды, занят тем ПО, которое можно классифицировать именно как «кибероружие». Сюда мы относим вредоносные программы, создание и финансирование которых осуществляется государственными структурами разных стран мира. Данные вредоносные программы применяются против граждан, организаций и ведомств других стран мира.

На основе всех известных нам образцов подобных программ, мы можем выделить три основные группы угроз в этой категории:

«Разрушители». Это программы, которые предназначены для уничтожения баз данных и информации в целом. Могут быть реализованы в виде «логических бомб», либо заранее внедренных в системы и срабатывающих в определенный момент времени, либо в ходе целенаправленной атаки с моментальным исполнением. Наиболее близким примером подобной программы является Wiper.
Шпионские программы. В эту группу попадают Flame, Gauss, Duqu, miniFlame. Их основной целью является сбор всей возможной информации, в основном весьма специфической (например, данные проектов Autocad, SCADA-систем и т.д.), которая затем может быть использована для создания других групп угроз.
Инструменты кибердиверсии. Это высшая форма кибероружия — угрозы, в результате действий которых объекту атаки будет нанесен физический ущерб. Разумеется, в эту категорию попадает червь Stuxnet. Этот вид угроз является уникальным и его применение видится нам достаточно редким явлением, однако с каждым годом все больше и больше усилий разных государств будут направлены как на разработку именно такого вида угроз, так и на создание защиты от них.

источник
  Ответить с цитированием
4 пользователя(ей) сказали cпасибо:
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
iSpy (безопасность дома, офиса...) Igoranama Другие программы - free version 121 10.07.2017 14:37
Новости кино DolphinDаrk Кино, Видео и ТВ 270 04.07.2017 14:11
Anvide Flash Lock ( Безопасность / Защита данных ) masteroleg Другие программы - free version 1 17.09.2015 16:23
LockXLS - безопасность Microsoft Excel rekc Офисные программы 2 10.12.2013 12:32
Правила раздела "Безопасность системы" creator Правила раздела 0 18.01.2011 20:49


Часовой пояс GMT +3, время: 05:58.




Загрузка...
Яндекс.Метрика