«Лаборатория Касперского» обнародовала результаты анализа вредоносной программы Travle, которая используется сетевыми злоумышленниками при проведении атак на российские организации.

Travle — это бэкдор, который имеет ряд общих черт с ранее применявшимися зловредами. В частности, как отмечается, эта программа может быть преемником NetTraveler — семейства вредоносных инструментов, известного с 2013 года. В то же время метод шифрования, использовавшийся при доставке Travle, применялся ранее при распространении двух других зловредов — Enfal и Microcin.

Любопытно, что Travle получил такое название из-за опечатки в одной строке в ранних образцах трояна: «Travle Path Failed!». В более поздних выпусках опечатку исправили на «Travel».

Анализ говорит о том, что за созданием бэкдора могут стоять китайскоговорящие злоумышленники. Среди целей Travle преобладают правительственные организации, военные подразделения и высокотехнологичные компании из России и стран СНГ.

«Злоумышленники, ответственные за атаки Travle, действовали на протяжении последних нескольких лет, и, судя по всему, их не волнует, что их могут отследить антивирусные компании. Обычно модификации и новые дополнения к арсеналу этих хакеров обнаруживают и отслеживают очень быстро. Но тот факт, что на протяжении всех этих лет у них не было необходимости менять тактические методы и приёмы, говорит о том, что им не обязательно усложнять применяемые инструменты для достижения своих целей», — отмечают российские эксперты.

Более подробную информацию о киберкампании Travle можно найти в материале «Лаборатории Касперского». 

Сетевые злоумышленники постепенно переключают внимание с банковского сектора на инфраструктуру криптоиндустрии. Об этом свидетельствуют данные Group-IB, которые приводит сетевое издание «РИА Новости».

«Мы фиксируем рост количества инцидентов, связанных с воровством у пользователей данных криптокошельков с помощью вредоносных программ и вывода денег. Методы идентичны тем, что используются для атак на пользователей банковских приложений», — говорят эксперты.

Бум криптовалют привёл к тому, что сетевые мошенники всё активнее ищут новые способы нажиться на пользователях. Причём это не всегда выражается в непосредственной краже средств. К примеру, мы рассказывали об оригинальной атаке, в ходе которой киберпреступники «воруют» аппаратные ресурсы компьютеров жертв, осуществляя скрытый майнинг. Причём добыча криптовалюты в пользу атакующих производится в браузере, когда пользователь заходит на определённые сайты. Иными словами, установка вредоносного программного обеспечения на компьютер жертвы не производится.

Помимо вредоносных программ, активно используется компрометация адресов электронной почты, а также получение SIM-карты по поддельным документам для восстановления паролей и получения контроля над счётом в криптовалютных сервисах.

Ущерб от действий злоумышленников в сфере криптовалют уже достиг практически $170 млн. «Доход от атак на криптобиржи варьируется от 1,5 до 72 миллионов долларов, в то время как в результате успешной атаки на банк преступники в среднем зарабатывают всего 1,5 миллиона долларов», — отмечается в докладе Group-IB. 

Данные берутся из публикации Итоги-2016 от Positive Technologies: угрозы и прогнозы

Эксперты ESET раскрыли кампанию по кибершпионажу, нацеленную на государственные и общественные организации, работающие в области экономического развития в Центральной и Восточной Европе.

Злоумышленники используют набор вредоносных средств SBDH, а главной целью атаки является кража документов. Файлы с компонентами SBDH распространяются в приложениях к спам-письмам; при этом киберпреступники маскируют их под текстовые документы и приложения Microsoft.

При попытке открытия вложения загрузчик SBDH связывается с командным сервером своих «владельцев» и устанавливает на компьютер бэкдор и шпионское ПО. В результате злоумышленники получают удалённый контроль над компьютером и возможность хищения конфиденциальных данных. Организаторы атаки могут задавать критерии файлов, которые будут отправляться на командный сервер. Например, преступники могут «приказать» шпионскому модулю найти документы определённого формата, от определённых дат или определённого размера.

Вредоносному программному обеспечению требуется подключение к Интернету для связи с командным сервером. Сначала осуществляется попытка передать данные по протоколу HTTP, а в случае неудачи задействуется SMTP. Если и это не удаётся, зловред создаёт и рассылает письма с помощью Microsoft Outlook Express.

Если командный сервер недоступен, бэкдор использует «решение для резервного копирования». Он обращается к заранее заданной ссылке в открытом доступе, где указан путь к альтернативному серверу. 

Данные берутся из публикации Закулисная история кибервойны

США запустили волну кибератак против исламистской группировки ИГИЛ (её деятельность запрещена на территории РФ), сообщает The New York Times. Таким образом, Америка значительно продвинулась вперёд в борьбе с террористической организацией. За проведение операции отвечает Кибернетическое командование США: своей целью оно ставит подрыв коммуникаций, вербовки и финансовых операций Исламского государства. Американские власти также надеются, что открытое обсуждение кибервойны заставит ИГИЛ усомниться в безопасности своих методов коммуникации.

Кибернетическое командование ранее организовывало кибератаки против Ирана, Северной Кореи, Китая и России. В кампании против ИГИЛ несколько «команд национальной миссии» внедрили «имплантаты» в сети ИГИЛ, чтобы изучить поведение группировки в Интернете. Конечная цель — научиться подражать их сообщениям и видоизменять их для поддержки военных операций против Исламского государства.

«Мы сбрасываем кибербомбы», — заявил заместитель министра обороны США Роберт Уорк (Robert Work). «Раньше мы такого никогда не делали».

Поиск добровольцев ИГИЛ в социальных сетях проходит очень эффективно — для обсуждения методов борьбы с этим администрация президента даже встретилась с представителями ведущих технологических компаний страны. Тем не менее, Агентство национальной безопасности встретило предложение вовлечь в борьбу Кибернетическое командование с некоторым неодобрением. В частности, некоторые считают, что такие методы могут заставить ИГИЛ переключиться на более безопасные каналы коммуникации.

По сообщениям издания The Telegraph, американская хакерская группировка New World Hacking взяла на себя ответственность за кибератаку на сайт британской телерадиовещательной компании BBC. Атака состоялась 31 декабря, в результате чего сайт был недоступен в течение часа.

Как сообщают хакеры в своём микроблоге в Twitter, данная DDoS-атака бела тестовой, её целью было проверить мощность собственных серверов и свои возможности. Хакеры планируют объявить кибервойну группировке «Исламское Государство», запрещённой в ряде стран, в том числе и в России.

Следует отметить, что это не первая хакерская группировка, которая объявляет виртуальную войну ИГ. Так, в конце декабря международная группа Anonymous обвинила Турцию в поддержке «Исламского Государства» и пообещала атаки на турецкий сегмент Интернета, включая правительственные сайты и банки. Борьбу против ИГ в киберпространстве Anonymous начали ещё в ноябре 2015 года после серии террористических актов в Париже.   

В связи с терактами в Париже известная группа Anonymous объявила кибервойну террористической организации «Исламское государство» (ИГ), в ходе которой с её помощью уже закрыты в Twitter тысячи аккаунтов, использовавшихся для координации операций боевиков.

Вместе с тем, в Интернете появились менее крупные группы хакеров, избравшие для борьбы с ИГ другую стратегию, которая, по их утверждению, уже позволила предотвратить, по меньшей мере, один теракт.

Группа, о которой идёт речь, говорит, что сыта по горло «бесхитростной», по её мнению, тактикой Anonymous. После террористического акта в редакции Charlie Hebdo в январе основатели хакерской группы Ghost Security Group решили порвать с Anonymous.

«Они [Anonymous] вообще не имеют никакого опыта борьбы с терроризмом, — сообщил в телефонном интервью каналу BBC Trending руководитель антитеррористической хакерской группы Ghost Security Group (прежнее название — Ghost Security). — Мы чувствовали, что делалось недостаточно, и после нападения Charlie Hebdo стало ясно, что ИГ не ограничится Ближним Востоком».

В группу Ghost Security Group входят добровольцы из США, Европы и Ближнего Востока, включая лингвистов и «людей, знакомых с методами сбора разведданных».  Вместо попыток закрыть аккаунты сторонников террористов и обрушить их сайты с помощью DDoS-атак, участники Ghost Security Group действуют больше как шпионы, чем хакеры. Они отслеживают подозрительные аккаунты в Twitter, проверяют доски объявлений сторонников ИГ в поисках информации о планах боевиков, чтобы передать её органам правопорядка. Очень часто твиты удаляются спустя короткое время после публикации, поэтому нужно быть начеку.

«Мы бы предпочли предотвращать атаки, чем закрывать сайты, — сказал координатор хакерской группы. — Не думаю, что DDoS-атаки наносят большой урон ИГ».

«Лаборатория Касперского» обнародовала результаты анализа одной из самых активных кампаний кибершпионажа в Юго-Восточной Азии: от действий группировки Naikon уже на протяжении пяти лет страдают более десяти стран.

John Fedele/Blend Images/Corbis

Сообщается, что кибератаки нацелены на государственные, военные и общественные организации в Малайзии, Камбодже, Индонезии, Вьетнаме, Мьянме, Сингапуре, Непале, Таиланде, Лаосе, Китае и на Филиппинах. Злоумышленники, владеющие, по всей видимости, китайским языком, выстраивают всю необходимую для кибернападений инфраструктуру непосредственно на территории страны-жертвы — это позволяет им в режиме реального времени подключаться к сетям атакуемых организаций и извлекать интересующую их информацию.

Нападение обычно начинается с отправки письма с вложением, которое может заинтересовать потенциальную жертву. Такой файл может содержать сведения из открытых источников или конфиденциальную информацию, украденную из других взломанных систем. Вложение-приманка выглядит как документ Word, но на самом деле представляет собой исполняемый файл с двойным расширением. При попытке открытия этот файл, используя уязвимости, устанавливает на компьютер жертвы шпионское ПО и одновременно выводит на экран некий текст, так что обманутый пользователь думает, что открыл обычный документ.

Создатели Naikon используют 48 команд для различных удалённых операций, в том числе на проверку данных, находящихся в атакуемой корпоративной сети, выгрузку и загрузку файлов, установку дополнительных модулей.

В целом, как отмечается, киберпреступники сумели создать очень гибкую инфраструктуру, которая может быть легко развёрнута в любой интересующей их стране и позволяет перенаправлять информацию из систем жертв на указанный сервер. Не исключено, что в перспективе подобные кампании шпионажа будут организованы и за пределами Юго-Восточной Азии. 

Американская компания root9B, базирующаяся в Колорадо-Спрингс (Колорадо), распространила информацию о том, что ряд организаций в США и других странах вскоре подвергнутся хакерской атаке, за подготовкой которой якобы стоят российские хакеры.

Wavebreakmedia LTD/Wavebreak Media Ltd./Corbis

По данным root9B, кибернападение готовит группировка APT28. Любопытно, что не так давно она уже мелькала в новостях: в апреле её обвинили в серии атак на правительственные структуры различных государств, целью которых являлся сбор информации о санкционной политике в отношении России.

Как теперь уверяет root9B, целями нового кибернападения могут стать Bank of America, TD Canada Trust, Детский фонд ООН, ряд банков в Объединённых Арабских Эмиратах и Африке, а также некоторые другие организации.

Wavebreakmedia LTD/Wavebreak Media Ltd./Corbis

Отмечается, что в настоящее время хакерская группа дорабатывает вредоносное программное обеспечение, регистрирует доменные имена, схожие по названию с официальными ресурсами организаций-мишеней, и настраивает командно-контрольные серверы. Основным кибероружием якобы станет бэкдор, для распространения которого планируется задействовать фишинговые схемы и скомпрометированные веб-сайты.

Насколько соответствуют действительности изыскания root9B — вопрос. О сроках начала возможной атаки американские исследователи ничего не говорят. 

Южнокорейское агентство Yonhap сообщило о наращивании Северной Кореей своего потенциала для ведения кибервойны.

warnewsupdates.blogspot.com

По данным источника Yonhap в минобороны Республики Корея (РК), Пхеньян нарастил численность хакеров до 6,8 тысяч человек, из которых 1700 — профессионалы, а 5,1 тысяч входит в группу поддержки.

Это на 900 человек больше, чем сообщалось в докладе командования кибервойск РК, представленном парламенту в октябре прошлого года.

«Северная Корея в последнее время концентрирует усилия на развитии своих возможностей ведения асимметричных боевых действий, в том числе ядерной и ракетной программ», — отметил источник агентства Yonhap.

Именно на команде хакеров Пхеньяна, по мнению США, лежит ответственность за недавний взлом корпоративной сети кинокомпании Sony Pictures, снявшей комедию о покушении на жизнь лидера КНДР Ким Чен Ына.

В свою очередь Сеул считает северокорейских хакеров виновными в осуществленной в минувшем декабре краже данных о южнокорейских АЭС и их публикации в Интернете.

Несмотря на тот факт, что устройства для погружения геймера в виртуальную реальность ещё не получили должного распространения, перспективность данного направления не вызывает сомнений ни у экспертов, ни у конечного потребителя. Существующие сегодня тестовые экземпляры того же шлема виртуальной реальности Oculus Rift и продукции других производителей, решивших освоить этот молодой сегмент рынка, уже сейчас способны кардинально изменить восприятие цифрового мира.

Аналогичного мнения придерживаются и авторы стартапа The Void, которые решили поднять до максимальной отметки уровень интерактивности игрового мира и дать возможность геймеру принимать полноценное участие в экшен-баталиях. Для этого, правда, придётся переместиться с комфортного кресла своей квартиры в специально построенный павильон-лабиринт, предварительно экипировавшись всем необходимым технологичным снаряжением. 

Проект The Void представляет собой сочетание физического пространства в виде коридоров, помещений, различного рода объектов и препятствий, положение которых будет полностью соответствовать предметам на виртуальной карте. Большинство элементов окружения, демонстрируемых геймеру, будет иметь свой реальный аналог (в виде муляжа и не обладающего функциональностью своей цифровой версии). Разумеется, игрок должен предварительно надеть специальный шлем виртуальной реальности и всю необходимую экипировку — перчатки, жилет со встроенными в него датчиками, идущий в комплекте с небольшим рюкзаком.

moviepilot.com

moviepilot.com

moviepilot.com

Разработчики обещают, что участники сражения, организованного при помощи технологичной составляющей The Void, смогут перевоплотиться в рыцарей для совместного исследования таинственных замков и подземелий, переполненных чудовищными тварями, или, скажем, принять участие в войне с инопланетной расой, высадившись на вражеской планете где-то в далёкой-далёкой галактике.

www.gameskinny.com

www.idigitaltimes.com

Таким образом, интерактивное развлечение The Void позволит геймеру не только увидеть фантастический мир вокруг себя, но и в действительности прочувствовать его очертания тактильно вместе со всеми присутствующими на виртуальном поле сражения эффектами — дуновением ветра, изменением температуры и многим другим.  

Такой подход, по мнению создателей The Void, должен практически полностью стереть грань между действительностью и киберпространством, избавив игроков от ощущения неправдоподобности всего происходящего на экранах их шлемов. 

www.ufunk.net

Китайская народная республика (КНР) известна своими изощрёнными методами цензуры в Интернете. Усилия властей до последнего времени были направлены на ограничение доступа ко Всемирной сети пользователей внутри страны. По сообщению газеты The Washington Post, Китай обладает мощным кибероружием, которое позволяет выводить из строя неугодные сайты за пределами страны.

DMM News

Главным инструментом в борьбе со свободным Интернетом в Китае является система фильтров под названием «Великий китайский файрвол» (Great Firewall of China). Она блокирует доступ к сайтам, которые считаются неблагонадежными.

Газета The Washington Post выяснила, что помимо защиты от нежелательного контента Китай может проводить стремительные атаки против сайтов, публикующих критические материалы. Для этого КНР использует кибероружие — «Великая Пушка» (Great Canon).

О наличии у Китая подобного инструмента стало известно благодаря специалистам лаборатории Citizen Lab, расположенной в университете Торонто. Специалисты лаборатории изучили атаку типа DoS (denial-of-service), направленную против ресурса Github и выпустили отчёт, в котором подробно описываются характеристики вредоносного ПО.

reuters.com

«Великая Пушка» не атакует сайты напрямую, вместо этого она использует популярные сервисы, перенаправляя трафик с их серверов. Для нанесения ущерба Github были использованы сайты интернет-поисковика Baidu. После ресурса Github похожей атаке подвергся расположенный в США сайт Greatfire.org.

Исследователи уверены, что новое кибероружие — результат государственных разработок. Более того, целью руководства КНР, кажется, является желание продемонстрировать всю мощь вредоносного ПО и запугать потенциальных критиков.

Компания ESET раскрыла кибершпионскую атаку «Операция Buhtrap», нацеленную в первую очередь на российские финансовые организации.

Сообщается, что злоумышленники действовали в течение как минимум одного года. Приоритетной целью атаки стали российские банки — на них пришлось почти 90 % всех зафиксированных случаев заражения.

Для проникновения в атакуемую систему киберпреступники рассылали фишинговые письма с прикреплённым документом в формате Microsoft Word. Такие сообщения, в частности, маскировались под счёт за оказание неких услуг и под контракт мобильного оператора «МегаФон».

При попытке открытия файла запускается эксплойт для одной из уязвимостей в Word (CVE-2012-0158), в результате чего на ПК устанавливается NSIS-загрузчик. Программа проверяет некоторые параметры Windows и затем скачивает с удалённого сервера архив 7z с вредоносными модулями. Любопытно, что многие такие компоненты подписаны действительными цифровыми сертификатами, выданными в том числе зарегистрированным в Москве юридическим лицам.

Чтобы установить контроль над заражённым ПК, в «Операции Buhtrap» используются программы с исполняемыми файлами mimi.exe и xtm.exe. Они позволяют получить или восстановить пароль от Windows, создать новый аккаунт в операционной системе, включить сервис RDP. Далее с помощью исполняемого файла impack.exe осуществляется установка бэкдора LiteManage.

На финальном этапе на инфицированный компьютер загружается банковское шпионское ПО с названием исполняемого файла pn_pack.exe. Программа специализируется на краже данных и взаимодействии с удалённым командным сервером. Шпион способен отслеживать и передавать злоумышленникам нажатия клавиш и содержимое буфера обмена, а также перечислять смарт-карты, присутствующие в системе.

Количество пострадавших в ходе «Операции Buhtrap» организаций и размер финансового ущерба не уточняются. 

Многие эксперты давно подозревали Китай в причастности к целому ряду громких кибератак, целями которых были западные страны, в первую очередь США. Руководство КНР всегда яростно отвергало подобные обвинения. Тем интереснее узнать, что косвенное доказательство причастности Китая к ведению кибервойн обнаружилось в официальном отчёте Народно-освободительной армии Китая (НОАК).

Karen Roach/Fotolia

Китай признает существование кибервойск в составе своей армии. Об это говорится в тексте публикации «Наука военной стратегии» (The Science of Military Strategy). Документ готовится ведущими исследовательскими институтами совместно с НОАК и содержит детальный анализ военной стратегии Поднебесной.

Согласно отчёту, в Китае действует три вида кибервойск. Первый — это военные специалисты в сфере сетевой безопасности. Они действуют по военным принципам; их задача — организация кибератак и защита от них. Второй — специальные группы, действующие внутри спецслужб, таких как Министерство государственной безопасности и Министерство общественной безопасности. Третий вид — группы независимых хакеров, которых можно быстро мобилизовать для совершения операций.

Специалисты отмечают, что по всей видимости, все три группы работают в тесном контакте и подчиняются руководству НОАК.

Публичное признание такого масштаба — беспрецедентное событие в новейшей истории Китая. Возможно, это результат борьбы за власть между НОАК и китайскими спецслужбами. Современные кибервойны приобретают всё большие масштабы, а значит, на их ведение выделяются серьёзные ресурсы, очевидно, что борьба за контроль над ними разгорается.

Getty Images

Аналитики уверенны, что Китай — не единственная страна с развитой инфраструктурой для ведения кибервойн. Россия, по мнению многих экспертов, не сильно уступает США и Китаю в способности воевать в киберпространстве. Информация, представленная в отчёте, может подтолкнуть и другие страны к созданию кибервойск. Такие попытки, например, уже предпринимает Иран.