Теги → атаки
Быстрый переход

Хакер наводнил сеть TOR тысячами вредоносных серверов для кражи криптовалюты у пользователей

Выяснилось, что в течение более чем 16 месяцев злоумышленник добавляет вредоносные серверы в сеть TOR, чтобы перехватывать трафик и выполнять атаки на компьютеры пользователей, посещающих сайты, связанные с криптовалютой. Атаки начались в январе 2020 года.

Вредоносные серверы идентифицируют трафик, направленный на ресурсы, связанные с криптовалютами, и выполняют атаку с удалением SSL, при которой уровень шифрования трафика понижается с HTTPS до HTTP. Предполагается, что злоумышленник понижает уровень безопасности до HTTP, чтобы подменить адреса ресурсов, связанных с криптовалютой, и перехватить транзакции.

Об этих атаках известно уже некоторое время. Впервые они были описаны в августе прошлого года исследователем безопасности и оператором узла TOR, известным под никнеймом Nusenu. Тогда он сказал, что злоумышленнику удалось трижды наводнить сеть TOR своими вредоносными серверами. При этом объём созданной им инфраструктуры достиг 23 процента от всего объёма сети TOR, прежде чем команда TOR её отключила.

В новом исследовании Nusenu говорит, что, несмотря на то, что проводимые им манипуляции разоблачены, злоумышленник продолжает совершать атаки. Предыдущие попытки перехвата пользовательских данных, предпринятые хакером, были обнаружены спустя недели или даже месяцы после того, как они были запущены.

Сейчас злоумышленник сменил тактику и не пытается запускать все серверы одновременно, чтобы не привлекать внимание к своей деятельности. По словам Nusenu, вредоносные серверы хакера сейчас контролируют от 4 до 6 процентов всей сети TOR.

Защитить «умные» автомобили от хакеров обещают Panasonic и McAfee

Компании Panasonic и McAfee договорились вместе разработать инструменты для защиты от атак хакеров подключённых к сетям автомобилей. Для этого партнёры создадут специализированный Центр обеспечения безопасности (SOC, Security Operation Center), который поможет устранить угрозу проникновения в автомобильную систему злоумышленника в любой точке земли.

Источник изображения: Panasonic

Источник изображения: Panasonic

Центр обеспечения безопасности или SOC — это относительно новый вид предоставления услуг. Раньше этим занимались отделы безопасности самих компаний, но по мере подключения к глобальным сетям предприятий, организаций и всего-всего SOC стали предлагать свои услуги на широком рынке. В общем случае — это коллектив экспертов с аналитическим и вычислительным оборудованием, который непрерывно следит за кибербезопасностью на вверенном объекте.

Интерфейс Центра обеспечения безопасности. Источник изображения: Panasonic

Интерфейс Центра обеспечения безопасности. Источник изображения: Panasonic

Компания Panasonic внедряет системы SOC на своих заводах с 2016 года. Специалисты центра следят за всем, включая производственные процессы и транспорт на предприятии. Для автомобилей она разработала автомобильную систему обнаружения вторжений, которая устанавливается на транспортном средстве, обнаруживает начало кибератаки и её тип, после чего передает данные анализа в SOC, где эксперты по безопасности начинают свою работу. В Panasonic уверены, что созданные наработки помогут вывести опыт на глобальный рынок.

У компании McAfee, которая будет помогать Panasonic в этой разработке, тоже есть опыт в проектировании программных инструментов для Центров обеспечения безопасности. Вместе они рассчитывают создать новый вид услуг для точного обнаружения кибернетических атак на транспортные средства и своевременно реагировать на них, а также помогут усилить меры кибербезопасности в автомобильной промышленности. Очевидно, что подобный вид услуг будет требоваться всё чаще и чаще.

Microsoft обвинила китайских хакеров в атаке на американские компании через Exchange Server

Китайские хакеры попытались взломать локальные хранилища почтовых ящиков Microsoft Exchange Server. Об этом сообщается в блоге компании. Microsoft считает, что злоумышленники стремились получить различную информацию об американских компаниях.

Microsoft

Microsoft

В Microsoft считают, что в атаке замешана группировка Hafnium, которая якобы спонсируется правительством Китая и работает за пределами страны. В ходе атаки хакеры пытались получить сведения о работе юридических фирм, исследователей инфекционных заболеваний, вузов и других организаций.

Злоумышленники провели атаку в три этапа. Сначала они получили доступ к серверам Exchange. Для этого, предположительно, использовались украденные пароли или ещё не выявленные уязвимости. Затем хакеры создали скрипт для управления сервером, после чего попытались похитить корпоративные данные.

В разговоре с TechCrunch Microsoft отказалась назвать число успешных атак, охарактеризовав их словом «ограниченное». Перечень пострадавших организаций и объём похищенных данных также не раскрывается. Компания также заявила, что этот взлом не связан с атакой на IT-компанию SolarWinds, в результате которой пострадали 109 компаний и 9 федеральных ведомств США.

Для защиты клиентов, разработчики выпустили обновление Exchange Server раньше запланированного. Компания призвала всех пользователей платформы обновить сервис под предлогом защиты от подобных атак.

«Киберпреступление как услуга» — правительства разных стран начали нанимать хакерские группировки

Современные хакерские атаки стали настолько квалифицированными и хорошо подготовленными, что власти некоторых стран прибегают к услугам киберпреступников, чтобы скрыть своё участие. К такому выводу пришли специалисты компании BlackBerry, работающей в сфере информационной безопасности.

В своём отчёте специалисты предупреждают о появлении схем «киберпреступление как услуга» (cybercrime-as-a-service), благодаря которым правительственные хакеры могут работать со сторонними группировками в рамках реализации разного рода кампаний. Такие кампании, как правило, включают в себя фишинг и внедрение вредоносного программного обеспечения в целевые сети. В результате хакеры получают финансовое вознаграждение, а власти страны-заказчика интересующие данные или доступ во взломанные сети. Поскольку хакеры используют для проведения вредоносной кампании собственную инфраструктуру и методы, связать такую атаку со страной-заказчиком крайне затруднительно.  

Исследователи отмечают, что используемые в масштабных хакерских атаках методы и география жертв слишком разнообразны, чтобы соответствовать интересам только одного злоумышленника. «Идентификация злоумышленников может быть сложной задачей для исследователей в сфере информационной безопасности из-за нескольких факторов, таких как перекрывающаяся инфраструктура, несопоставимые цели и необычная тактика. Это утверждение особенно точно характеризует случаи, когда на аутсорсинг передаётся выполнение только части задач вредоносной кампании», — сказано в отчёте BlackBerry.

Исследователи считают, что защита сетей от хорошо продуманных и подготовленных атак является сложной задачей. Для предотвращения вторжения организациям необходимо организовывать постоянную проверку сетей на предмет необычной активности, которая может классифицироваться как подозрительная. Кроме того, удалённый доступ к конфиденциальной информации должны иметь только те сотрудники, которым она действительно нужна для выполнения своих обязанностей.

Взлом SolarWinds затронул 100 компаний и 9 федеральных агентств США

Правительство США обнародовало новые данные о количестве компаний и федеральных агентств, которые пострадали в результате масштабной хакерской атаки на SolarWinds. По данным американских властей, проблема затронула около сотни организаций и 9 федеральных агентств.

Изображение: Alex Castro / The Verge

Изображение: Alex Castro / The Verge

«На сегодняшний день известно о том, что были скомпрометированы 9 федеральных агентств и около 100 компаний частного сектора», — заявила на брифинге заместитель советника по национальной безопасности Энн Нойбергер (Anne Neuberger). Несмотря на то, что она не назвала конкретные компании, пострадавшие от действий злоумышленников, было отмечено, что предположительно хакерская атака имеет «российское происхождение».

Обнародованные сегодня цифры говорят о том, что хакерская кампания, связанная с внедрением вредоносного кода в программное обеспечение SolarWinds, была менее масштабной, чем предполагалось изначально. Во время беседы с журналистами Нойбергер отметила, что расследование всё ещё находится на начальном этапе, и в дальнейшем могут появиться данные о других пострадавших от действий злоумышленников. Предполагается, что до 18 тыс. клиентов SolarWinds получили обновления программного обеспечения с интегрированным в него вредоносным кодом, но хакеров интересовали только крупные технологические компании и правительственные организации.

Напомним, о масштабной хакерской атаке стало известно в конце прошлого года. Злоумышленникам удалось интегрировать вредоносный код в обновления программного обеспечения компании SolarWinds, которая ничего не подозревая распространяла бэкдор среди своих клиентов. Согласно имеющимся данным, в результате атаки хакерам удалось скомпрометировать компьютеры в сетях Microsoft, Intel, Nvidia, Cisco и других технологических компаний США. Кроме того, от действий злоумышленников пострадали министерства торговли, финансов, энергетики и другие правительственные организации США.

Microsoft назвала SolarWinds самой крупной и изощрённой хакерской атакой за всю историю

По словам президента Microsoft Брэда Смита (Brad Smith), продолжавшаяся несколько месяцев хакерская кампания SolarWinds, которая затронула правительственные учреждения США и производителей продуктов в сфере информационной безопасности, была «самой крупной и изощрённой атакой, которую когда-либо видел мир». Он также отметил, что для реализации этой кампании было привлечено огромное количество разработчиков и хакеров.

Согласно имеющимся данным, раскрытая в декабре прошлого года атака могла затронуть около 18 тыс. организаций, среди которых одна из ведущих компаний по кибербезопасности FireEye, а также Microsoft, Cisco и др. Добиться такого результата хакерам удалось благодаря внедрению вредоносного программного обеспечения в рассылку обновлений компании SolarWinds, которая ничего не подозревая распространяла бэкдор среди своих клиентов.

«Я думаю, что с точки зрения разработки программного обеспечения, вероятно, будет справедливо сказать, что это самая крупная и самая изощрённая атака, которую когда-либо видел мир», — сказал Смит в интервью журналистам канала CBS News. Он также отметил, что, проанализировав увиденное и оценив масштаб вредоносной кампании, в Microsoft пришли к выводу, что для реализации атаки SolarWinds было привлечено более тысячи разработчиков и хакеров. Ещё было сказано, что для реализации задуманного злоумышленникам потребовалось переписать всего 4032 строки кода программного обеспечения SolarWinds Orion, состоящего из миллионов строк кода.

Генеральный директор компании FireEye Кевин Мандиа (Kevin Mandia) рассказал о том, что обнаружить хакеров удалось после того, как служба безопасности компании зафиксировала второе зарегистрированное на одного и того же сотрудника устройство, подключённое к системам FireEye. Попытка пройти двухфакторную авторизацию для подключения к системам компании по VPN-каналу со второго устройства вызвала подозрения, благодаря которым хакеры и были раскрыты.

Стоит отметить, что спецслужбы США в начале прошлого месяца заявили о том, что за атакой SolarWinds стоит хакерская группировка APT29, которая, якобы поддерживается правительством России.

Хакеры научились вовлекать медиасерверы на базе Plex в DDoS-атаки

По данным компании Netscout, специализирующейся на вопросах сетевой безопасности, некоторые хакеры научились использовать ПО Plex Media Server для усиления нежелательного трафика, направляемого к целям. Специалисты утверждают, что при правильном подходе Plex может увеличить интенсивность DDoS-атаки почти в пять раз, делая атаки гораздо более опасными.

extremetech.com

extremetech.com

Plex — это программа для управления медиаконтентом и его потоковой трансляции, которую можно установить на компьютер или сетевое хранилище. Она способна каталогизировать и упорядочивать аудио- и видеоконтент, а также перекодировать медиафайлы в режиме реального времени, поэтому через клиент Plex их можно просматривать на любом устройстве. Однако приложение способно транслировать контент не только внутри, но и за пределами локальной сети. Этим и пользуются злоумышленники. Хотя пользователям нужна учётная запись для удалённого входа в систему, медиа-сервер Plex всё равно виден в общедоступном Интернете на порту 32414, который открывается через протокол обнаружения служб (SSDP) на совместимых маршрутизаторах.

extremetech.com

extremetech.com

Для осуществления атаки не нужно входить на сервер Plex или устанавливать что-либо в локальной сети. DDoS просто заставляет Plex пинговать неверный IP-адрес. Он и является целью злоумышленника. Пакеты могут иметь размер до 281 байта, что в 4,86 раза превышает размер исходных данных. Netscout утверждает, что атаки, проведённые с помощью Plex, могут генерировать 2-3 Гбит данных в секунду, чего достаточно для того, чтобы «положить» небольшой веб-сайт.

Plex заявляет, что не знала об угрозе. В то же время Netscout сообщила, что этот тип атак уже широко распространён. По данным компании, для DDoS-атак используется около 27 тысяч серверов Plex. В данный момент единственным способом обезопасить свой медиа-сервер от использования в DDoS-атаках является отключение удалённого доступа или настройка брандмауэра маршрутизатора для блокировки всего UDP-трафика на порту Plex.

Сервера Foxconn атаковала программа-шифровальщик. Данные не могут восстановить вторую неделю

Как сообщает Bleeping Computer, 29 ноября мексиканский завод Foxconn по производству электроники был атакован программой-шифровальщиком DoppelPaymer. Источник отмечает, что сетевая структура завода, за информационную безопасность которой отвечает американское подразделение, до сих пор полностью не восстановлена. Foxconn не стала платить выкуп в размере $34 млн за дешифровку взломанных серверов и всё восстанавливает сама.

Атака состоялась в выходной день и привела к шифровке от 1200 до 1400 серверов на предприятии в Сьюдад-Хуарес, Мексика, где, в частности, выпускается продукция для брендов Sharp и Belkin. Хакеры похитили 100 Тбайт незашифрованных данных до их архивирования и уничтожили до 30 Тбайт заархивированных данных из примерно 75 Тбайт резервных копий. Выкуп за дешифровку серверов и возврат данных было предложено сделать в биткоинах на сумму 1804,0955 BTC, что по курсу соответствовало примерно $34 млн.

Копия экрана с требованием выкупа. Источник изображения: Bleeping Computer

Копия экрана с требованием выкупа. Источник изображения: Bleeping Computer

Судя по всему, компания не стала платить выкуп. Сайт завода, отмечает источник, до сих пор недоступен. Также Bleeping Computer докладывает, что похищенная на заводе информация уже публикуется в Интернете на тематических сайтах. Правда, утечек личных данных сотрудников или какой-либо информации о финансовой деятельности предприятия пока не замечено. Представители Foxconn подтвердили источнику факт атаки и сообщили, что на предприятии уже повышен уровень информационной безопасности.

«Лаборатория Касперского»: количество DDoS-атак в 3 квартале 2020 года выросло в полтора раза

В третьем квартале 2020 года количество распределённых атак, направленных на отказ в обслуживании (Distributed Denial of Service, DDoS), во всём мире увеличилось в полтора раза по сравнению с аналогичным периодом прошлого года. Об этом свидетельствует исследование «Лаборатории Касперского», базирующееся на данных системы мониторинга DDoS Intelligence (является частью решения Kaspersky DDoS Protection).

Распределение DDoS-атак по странам (источник: «Лаборатория Касперского»)

Распределение DDoS-атак по странам (источник: «Лаборатория Касперского»)

В плане географического распределения атак в тройке лидеров по-прежнему фигурируют Китай (71,2 %), США (15,3 %) и Гонконг (4,5 %). При этом основными инструментами операторов DDoS продолжают оставаться Linux-ботнеты (94,4 %) и SYN-флуд (94,6 %).

Пиковая нагрузка была зафиксирована 2 июля: тогда решения компании зафиксировали 323 атаки. Предыдущий рекорд — 298 атак в день — был зарегистрирован 1 апреля. В среднем в третьем квартале проводилось 106 атак в день, во втором — на 10 больше. По словам экспертов, это указывает на то, что объём мусорного трафика начал сокращаться, хотя по-прежнему остаётся значительным.

«Во втором квартале мы наблюдали аномальный рост DDoS-атак из-за пандемии и перемещения привычных нам процессов в онлайн-пространство. Нынешняя ситуация, по сравнению с этим скачком, не такая критичная: многие организации уже осознали необходимость внедрения защитных механизмов и пересмотрели отношение к кибербезопасности. К примеру, у нас было несколько запросов от организаций, производителей-масок, которые стали жертвами подобных атак. Раньше этот бизнес даже не думал о защите от DDoS, — комментирует Алексей Киселёв, менеджер проекта Kaspersky DDoS Protection «Лаборатории Касперского». — Мы рекомендуем всем, кто ещё не принял соответствующие защитные меры, не откладывать этот вопрос, тем более что к концу года активность злоумышленников традиционно возрастает».

С развёрнутой версией отчёта «Лаборатории Касперского» можно ознакомиться на сайте securelist.ru.

Северокорейские хакеры атаковали российские оборонные предприятия

Стало известно о том, что весной этого года военные и промышленные предприятия России подверглись атакам хакерской группировки Kimsuky из КНДР. Ранее группировка в основном атаковала объекты из Южной Кореи, но со временем расширила сферу интересов. Об этом сообщило издание «Коммерсантъ» со ссылкой на данные компании Group-IB, которая работает в сфере информационной безопасности.

В сообщении сказано, что с целью сбора конфиденциальной информации на аэрокосмических и оборонных предприятиях хакеры осуществляли рассылку вредоносных сообщений на тему пандемии коронавируса. В «Ростехе», чьи структуры также могли попасть в поле зрения хакеров, подтвердили, что за последние полгода количество кибератак значительно возросло, но многие из них были некачественно подготовлены. В компании «РТ-Информ», которая является дочерним предприятием госкорпорации «Ростех» и занимается информационной безопасностью, не подтвердили и не опровергли эту информацию, но отметили рост числа инцидентов и кибератак на информационные ресурсы госкорпорации в период с апреля по сентябрь этого года.

Напомним, хакерская группировка Kimsuky также известна под именами Velvet Chollima и Black Banshee. С 2010 года её участники активно занимались организацией атак на разные объекты, располагающиеся на территории Южной Кореи, но позднее расширили географию своей деятельности. По данным Group-IB, Kimsuky атаковала военные организации в сфере производства бронетехники и артиллерийской техники из России, Украины, Словакии, Турции и Южной Кореи. В 2018-2019 годах группировка атаковала американские исследовательские институты, занимающиеся решением вопросов денуклеаризации, а также связанные с криптовалютным рынком компании. В атаках хакеры преимущественно использовали целенаправленный фишинг, в том числе вредоносные рассылки.

Хакерская атака впервые убила человека: заражение серверов немецкой больницы привело к гибели пациентки

Власти Германии заявили о том, что атака программ-вымогателей на IT-системы больницы в Дюссельдорфе могла стать причиной смерти одной из пациенток. Этот случай может являться первым в истории, когда атака хакеров стала непосредственной причиной смерти человека.

Согласно имеющимся данным, хакеры планировали атаковать Университет Генриха Гейне, но в результате ошибки из строя были выведены IT-системы дочерней университетской клиники в Дюссельдорфе. В результате атаки программ-вымогателей были зашифрованы данные, хранящиеся на 30 серверах больницы, причём на одном из них вредонос выводил сообщение, адресованное университету.

Из-за того, что IT-системы клиники пришли в неработоспособное состояние, данные о пациентах оказались недоступны врачам. В результате они были вынуждены отложить сложную операцию, а пациентку отправили в другую больницу, находящуюся на расстоянии 32 км, из-за чего она не смогла своевременно получить потенциально важную для сохранения жизни медицинскую помощь.

Полиция Дюссельдорфа смогла связаться с хакерами и сообщила им о том, что они атаковали больницу. В ответ на это хакеры предоставили ключ для расшифровки данных, но после этого на связь не выходили. Полиция начала расследование по подозрению в непредумышленном убийстве по неосторожности. Если в ходе расследования будет доказано, что женщина могла выжить, если бы ей своевременно была оказана медицинская помощь, то дело будет рассматриваться как убийство. Кроме этого, выход из строя IT-систем заставил врачей перенести множество других процедур и перенаправить часть пациентов в другие клиники.  

Стоит сказать о том, что специалисты в области информационной безопасности давно говорят о том, что больницы и другие медицинские учреждения подвержены риску кибератак, поскольку всё больше оборудования подключено к сети Интернет. Такие атаки могут привести к приостановке работы учреждений, что повлечёт за собой самые неприятные последствия для пациентов.

Несостоявшаяся атака на предприятие Tesla могла быть организована российским злоумышленником

Серия громких инцидентов с хакерскими атаками на серверы Garmin и Canon, как сообщают зарубежные СМИ, разрешилась не без выгоды для злоумышленников, что могло вдохновить прочих вымогателей на аналогичные действия. Tesla удалось предотвратить хакерскую атаку на компьютерную сеть предприятия в Неваде, как недавно подтвердил основатель компании Илон Маск (Elon Musk).

Источник изображения: Bloomberg

Источник изображения: Bloomberg

Как гласят опубликованные Министерством юстиции США документы, в подготовке атаки на предприятие Tesla подозревается некий Егор Игоревич Крючков, который обратился к русскоязычному сотруднику этой фабрики с предложением внедрить в корпоративную сеть вредоносный код, который позволил бы похитить ценные данные, а затем требовать за них выкуп. По замыслу инициатора атаки, его подельник в случае успеха должен был получить $1 млн в качестве вознаграждения за свои услуги.

Сотрудник предприятия Tesla проявил сознательность, обратившись к работодателю, а тот привлёк к расследованию ФБР. Илон Маск подтвердил, что подобный инцидент имел место. Обвиняемый в несостоявшейся атаке россиянин, как гласят материалы дела, находился в США в отпуске и для встречи с предполагаемым подельником направился в Неваду. Задержанному ФБР россиянину приписывают участие как минимум ещё в одной хакерской атаке на другую компанию, из-за которой он не успел вовремя реализовать свой корыстный план в отношении Tesla. Оказавший содействие следствию сотрудник Tesla помогал ФБР собирать доказательства против обвиняемого россиянина. Последнему в случае вынесения судебного приговора может грозить до пяти лет тюремного заключения.

Хакеры атаковали разработчиков ММО ради внутриигровой валюты

Одна из самых плодовитых хакерских групп в мире недавно атаковала нескольких разработчиков многопользовательских онлайн-игр, что позволило злоумышленникам распространять вредоносные приложения среди игроков и красть у них внутриигровую валюту.

Исследователи из словацкой компании ESET связывают данные атаки с группой хакеров Winnti, которая проявляет активность с 2009 года и, как полагают, провела сотни различных атак. Среди их жертв были: китайские журналисты, уйгурские и тибетские активисты, правительство Таиланда и видные технологические организации. Winnti была связана с хакерской атакой 2010 года, когда были украдены конфиденциальные данные из Google и 34 других компаний. Совсем недавно эта группа скомпрометировала платформу дистрибуции ПО CCleaner, через которую распространились вредоносные обновления для миллионов пользователей, а также отметилась заражением бэкдором порядка 500 тыс. ноутбуков ASUS.

Новая атака Winnti на разработчиков ММО-игр связана с неизвестным ранее ESET бэкдором PipeMon. Чтобы оставаться незаметным для систем безопасности, установщик PipeMon использует легитимный сертификат подписи Windows, который был украден из Nfinity Games после взлома этой компании в 2018 году.

В сообщении, опубликованном рано утром в четверг, ESET мало что рассказала о «заражённых» компаниях, за исключением того, что они включали в себя несколько южнокорейских и тайваньских разработчиков ММО-игр, которые представлены на популярных игровых платформах, а их проекты насчитывают тысячи активных игроков. В одних случаях вредоносная программа попадала на компьютер жертвы через платформы обновлений игр, в других были скомпрометированы игровые серверы. В последнем случае злоумышленники, например, могли манипулировать внутриигровыми валютами для получения финансовой выгоды.

Суперкомпьютеры по всей Европе подверглись атаке криптомайнеров

Стало известно о том, что несколько суперкомпьютеров из разных стран европейского региона на этой неделе были заражены вредоносным ПО для майнинга криптовалют. Инциденты такого рода произошли в Великобритании, Германии, Швейцарии и Испании.

Первое сообщение об атаке поступило в понедельник из Эдинбургского университета, на площадке которого размещён суперкомпьютер ARCHER. Соответствующее сообщение и рекомендация сменить пользовательские пароли и SSH-ключи были опубликованы на веб-сайте учреждения.

В этот же день организация BwHPC, занимающаяся координацией исследовательских проектов на суперкомпьютерах, объявила о необходимости приостановить доступ к пяти вычислительным кластерам на территории Германии для проведения расследования «инцидентов безопасности».

Сообщения подобного рода продолжили поступать в среду, когда исследователь в сфере информационной безопасности Феликс фон Лейтнер (Felix von Leitner) написал в своём блоге о том, что доступ к находящемуся в испанской Барселоне суперкомпьютеру закрыт на время проведения расследования инцидента кибербезопасности.

На следующий день аналогичные сообщения поступили из Лейбницкого вычислительного центра, института при Баварской академии наук, а также из исследовательского центра Юлих, расположенного в одноимённом немецком городе. Официальные лица заявили о том, что после «инцидента с информационной безопасностью» закрыт доступ к суперкомпьютерам JURECA, JUDAC и JUWELS. Кроме того, Швейцарский центр научных вычислений в Цюрихе также закрыл внешний доступ к инфраструктуре своих вычислительных кластеров после инцидента с информационной безопасностью «до восстановления безопасной среды».     

Ни одна из упомянутых организаций не опубликовала каких-либо подробностей относительно произошедших инцидентов. Тем не менее, Группа реагирования на инциденты информационной безопасности (CSIRT), которая координирует исследования с использованием суперкомпьютеров по всей Европе, опубликовала образцы вредоносных программ и дополнительные данные по некоторым инцидентам.

Образцы вредоносных программ были рассмотрены специалистами американской компании Cado Security, работающей в сфере информационной безопасности. По мнению специалистов, злоумышленники получили доступ к суперкомпьютерам через скомпрометированные пользовательские данные и ключи SSH. Также предполагается, что учётные данные были украдены у сотрудников университетов Канады, Китая и Польши, которые имели доступ к вычислительным кластерам для проведения разных исследований.

Несмотря на то, что нет официальных доказательств того, что все атаки были осуществлены одной группой хакеров, схожие имена файлов вредоносного ПО и сетевые идентификаторы указывают на то, что серия атак осуществлена одной группировкой. В Cado Security считают, что злоумышленники для доступа к суперкомпьютерам использовали эксплойт для уязвимости CVE-2019-15666, а после этого осуществляли развёртывания ПО для майнинга криптовалюты Monero (XMR).

Стоит отметить, что многие организации, которые были вынуждены закрыть доступ к суперкомпьютерам на этой неделе, ранее объявили о том, что отдают приоритет исследованиям коронавирусной инфекции COVID-19.

В Thunderbolt найдена уязвимость, открывающая полный доступ к компьютеру за пять минут

На долю интерфейса Thunderbolt выпало немало хакерских атак, поскольку он позволяет получить прямой доступ к памяти. Специалист в области информационной безопасности недавно продемонстрировал новый вид атаки, от которой нельзя защититься программным обновлением. Доступ к данным на ПК можно получить за пять минут, оставшись наедине с ноутбуком жертвы.

Источник изображения: YouTube, Thunderspy

Источник изображения: YouTube, Thunderspy

Бьорн Руйтенберг (Björn Ruytenberg) из Технического университета Эйндховена в Нидерландах в конце прошлой недели продемонстрировал новую уязвимость в системе защиты информации всех персональных компьютеров с интерфейсом Thunderbolt, выпущенных до 2019 года и лишённых механизма Kernel Direct Memory Access Protection. Последний не успел получить широкого распространения, а потому даже достаточно «свежие» экземпляры ноутбуков с интерфейсом Thunderbolt могут быть подвержены атаке нового типа.

Подчеркнём, что злоумышленнику придётся получить физический доступ к ноутбуку жертвы, и даже проникнуть внутрь корпуса для подключения программатора к специальному разъёму материнской платы. Заблокированное паролем устройство при этом остаётся включённым, и главная задача хакера заключается в обходе процедуры ввода пароля при входе в Windows или MacOS. Она решается путём обновления микрокода контроллера Thunderbolt через тот самый разъём на материнской плате. В загружаемых настройках контроллера просто отключаются функции, связанные с информационной безопасностью. После этого злоумышленник подключает к порту Thunderbolt ноутбука специальное устройство, загружающее в память атакуемого ПК зловредную программу, обходящую проверку пароля при входе в Windows. Войдя в операционную систему, хакер может получить доступ к любым данным на ноутбуке жертвы.

Стоимость оборудования, необходимого для реализации подобных атак, не превышает нескольких сотен долларов, но в совокупности оно занимает достаточно много места. Злоумышленник с более крупным бюджетом, по словам автора доклада, сможет разместить все необходимые компоненты в компактном устройстве стоимостью не более $10 000. Спецслужбы, например, вполне могут себе это позволить.

Если на ноутбуке жертвы настройки порта Thunderbolt в BIOS позволяют подключать доверенные устройства, то задача атакующего несколько упрощается. Разбирать корпус ноутбука и заниматься перепрошивкой контроллера уже не потребуется, но нужно будет то самое пользовательское доверенное устройство, подключавшееся ранее к порту Thunderbolt конкретного компьютера. Хакер может скопировать с этого устройства 64-разрядный код доступа и перенести его на своё устройство, используемое для атаки.

Реализовать защиту от атаки данного типа на программном уровне нельзя, по мнению Руйтенберга, если только системой не поддерживается Kernel DMA Protection. Пользователям рекомендуется включать шифрование данных на жёстком диске, ограничивать физический доступ к компьютеру посторонних лиц, а в крайнем случае — отключать порт Thunderbolt в BIOS. Возможно, защита будет реализована в контроллерах Thunderbolt следующих поколений, а пока бороться с уязвимостью можно только перечисленными способами.

window-new
Soft
Hard
Тренды 🔥
В бета-версии Apple Music появилось упоминание lossless-качества 37 мин.
Банк Англии заговорил о возможном выпуске национальной цифровой валюты 2 ч.
Ирландский суд оставил в силе предварительный запрет на передачу данных пользователей Facebook из ЕС в США 2 ч.
Видео: связь с первой частью, обязательный выбор и тайна протагониста во второй сессии ответов на вопросы о Dying Light 2 3 ч.
AMI участвует в разработке UEFI-прошивок с открытым исходным кодом 3 ч.
Pure Storage развивает модель всё-как-сервис: анонсированы обновления Portworx и Pure 1 5 ч.
Вопреки всем проблемам: Google заверила, что игровой сервис Stadia «жив и здоров» 6 ч.
Сильнейшая кибератака в истории Ирландии обрушилась на местную службу здравоохранения 6 ч.
Twitter отчиталась перед Роскомнадзором об удалении запрещённого контента 7 ч.
Президент США подписал новый указ об обеспечении кибербезопасности — усиленный контроль за ПО и новые стандарты безопасности 8 ч.
Беспилотное такси Waymo сначала застряло на дороге, а потом пыталось «сбежать» от техподдержки 2 ч.
В сеть утекли рендеры самого доступного 5G-смартфона Samsung 3 ч.
Продажи материнских плат обвалились из-за перенасыщения вторичного рынка 3 ч.
Сбер запустила сервис голосовых технологий SmartSpeech 3 ч.
Huawei представит 19 мая смарт-телевизор Smart Screen SE со встроенной камерой 5 ч.
Доступные материнские платы для Intel Alder Lake-S получат новый стандарт питания ATX12VO 5 ч.
Сенат США сегодня рассмотрит предложение о выделении национальной полупроводниковой отрасли более $50 млрд 6 ч.
Сборщик iPhone предупредил, что ситуация с поставками компонентов для электроники ухудшается 7 ч.
Запущена платформа Marvel.AI, позволяющая знаменитостям клонировать голос с помощью ИИ для использования в рекламе 7 ч.
Выручка криптовалютной биржи Coinbase за квартал подскочила более чем в три раза 7 ч.