На лондонской встрече WSJ CEO Council Conference гендиректор Darktrace Николь Иган (Nicole Eagan) дала интервью журналистам, в котором описала интересный случай о хакерской атаке на казино. Основной темой интервью являлась безопасность устройств Интернета вещей (Internet of Things, IoT).

Иган рассказала, как хакеры украли конфиденциальные данные игроков казино через термостат находящегося в лобби аквариума. «Злоумышленники использовали это (брешь в термостате — ред.), чтобы попасть в сеть. Затем они нашли базу данных важных игроков и вытащили её через сеть в термостат, а затем — в облако».

На сегодняшний день в мире существует более 20 миллиардов IoT-устройств, и их количество растёт экспоненциально. По данным Statista, к 2025 году эта цифра поднимется до 75 миллиардов.

Каждое подключенное к Интернету устройство — дополнительный вектор атаки, который может вмещать собственные уязвимости и технологические недостатки. Эксперты по информационной безопасности предупреждают, что угроза из-за устройств умного дома со временем будет только расти.

Бывший сотрудник службы разведки Великобритании Роберт Ханниган (Robert Hannigan) отметил, что не существует универсальных общепринятых стандартов безопасности IoT. «Помню случай, когда банк взломали через камеры наблюдения, потому что покупая устройства, организация отталкивалась от цены».

Он также подчеркнул, что и термостат, и камеры наблюдения той же модели до сих пор работают у других компаний и пользователей. И это несёт серьёзную угрозу.

В прошлом году хакеры похитили с банковских карт россиян 961 млн рублей, сообщил заместитель начальника управления по связям с общественностью ГУ ЦБ РФ по Центральному федеральному округу Дмитрий Баранов.

Средняя сумма несанкционированной операции составила 3 тыс. рублей. «Это по мировым меркам очень низкий результат, — говорит Баранов. — Это то, чем мы обоснованно гордимся. Защищённость наших средств, хранящихся в электронном виде, лучше, сильнее и надежнее. Мы можем гордиться нашим образованием, уровнем программистов, которых готовят наши вузы».

По словам Баранова, хакеры — не единственная опасность, которая грозит россиянам. Ещё одна угроза — фальшивые деньги, несмотря на то, что их количество с годами снижается.

«В прошлом году на территории России были выявлены 24 тыс. фальшивых банкнот разного номинала, при этом уже много лет лидируют пятитысячные банкноты, хотя в большинстве стран мира наиболее популярны банкноты второго номинала: 50 долларов, 200 и 100 евро. В нашей стране подделывают самую высокую по номиналу банкноту, потому что себестоимость производства фальшивки примерно равна, но подделка более крупной банкноты позволяет получить в 5 раз больше», — сообщил Баранов.

Сайтов, предлагающих купить фальшивые банкноты, довольно много. Хостинги этих сайтов находятся в Панаме, Белизе, Вьетнаме, Палау и других странах.

Инцидент с CCleaner в прошлом году наделал много шума, и специалисты по безопасности продолжают его изучение. Напомним: 18 сентября 2017 года компания Avast сообщила, что CCleaner был использован киберпреступниками, чтобы распространять вредоносное ПО через установочный файл утилиты. Изменённый файл установки был загружен 2,27 млн пользователей. Вредоносное ПО попало на серверы Piriform, разрабатывающей CCleaner, в период с 11 марта по 4 июля 2017 года до приобретения Piriform компанией Avast 18 июля 2017 года.

Первый этап вредоносного ПО был разработан для сбора нечувствительной информации от пользователей CCleaner, включая, например, имя компьютера, список установленного программного обеспечения и список запущенных процессов. Этот этап включал в себя возможности загрузчика, которые были использованы для установки двоичного кода второго этапа всего лишь на 40 компьютеров из миллионов устройств, заражённых первой волной. То есть атака была крайне избирательной. Недавно Avast опубликовала информацию о том, что мог быть и третий предполагаемый этап атаки. Впрочем, доказательств того, что бинарный файл третьего этапа был загружен на заражённые компьютеры, у компании нет.

Чтобы устранить угрозу из сети Piriform, компания перенесла среду сборки Piriform в инфраструктуру Avast, заменила всё оборудование и перевела персонал на внутреннюю IT-систему Avast. Компания осуществила тщательную проверку инфраструктуры Piriform и компьютеров и обнаружила предварительные версии первого и второго этапов, а также доказательства использования на четырёх компьютерах специализированного инструмента ShadowPad, который применяется некоторыми киберпреступниками. Версия была, похоже, специально разработана для атаки на Piriform и установлена вторым этапом атаки.

Предположительно, за всеми атаками на CCleaner стоит китайская группа хакеров Axiom, которая и является автором ShadowPad. Avast обнаружила и журнальные файлы ShadowPad, которые содержали зашифрованные нажатия клавиш из установленного на компьютерах клавиатурного шпиона, который работал с 12 апреля 2017 года. С помощью ShadowPad киберпреступники могли управлять четырьмя заражёнными системами удалённо, собирать учётные данные и анализировать операции. Помимо клавиатурного шпиона на компьютерах были установлены другие инструменты, в том числе утилиты для похищения паролей и удалённой установки дополнительного ПО.

ShadowPad был установлен на системах сети Piriform, но ни один из компьютеров пользователей CCleaner, похоже, не был заражён. Впрочем, Avast полагает, что это планировалось в рамках третьего этапа. В то время как порядка 2,27 млн клиентов CCleaner и предприятий загрузили заражённый продукт CCleaner, злоумышленники установили вредоносный код второго этапа только на 40 систем, обслуживаемых высокотехнологичными и телекоммуникационными компаниями.

Несколько месяцев назад эксперты компании RedLock Cloud Security Intelligence обнаружили, что многие предприятия не закрывают доступ к консоли Kubernetes. Данная консоль используется для централизованного управления приложениями в облачных сервисах, таких как Amazon Web Services и Microsoft Azure. Это открывает большие возможности для хакеров, использующих корпоративные облачные ресурсы для доступа к конфиденциальной информации и майнинга криптовалюты.

Последней жертвой подобной атаки стал известный автопроизводитель Tesla. Через консоль Kubernetes хакеры зашли в среду Amazon Web Services и получили доступ к Amazon Simple Storage Service.

Злоумышленники использовали малоизвестный пул майнинга, который сложно было отследить, сопоставляя со списком известных IP-адресов и доменных имен, используемых при добыче криптовалют. В дополнение к этому и ещё нескольким техническим приёмам, злоумышленники следили, чтобы нагрузка на вычислительные ресурсы Kubernetes была ограниченной, таким образом, не привлекая внимание сотрудников Tesla.

После того, как RedLock сообщила Tesla о взломе, автопроизводитель устранил используемую хакерами брешь. Компания выпустила уведомление, в котором сообщила, что данные пользователей не пострадали.

«Мы ведём программу по вознаграждению за обнаруженные уязвимости, чтобы поддержать подобные исследования. Данная брешь была устранена через несколько часов после того, как о ней стало известно. По всей видимости, были скомпрометированы только данные внутреннего использования, связанные с разработкой тестовых автомобилей. Первые результаты расследования указывают, что инцидент никак не затронул конфиденциальность клиентов или безопасность  использования автомобилей», — говорится в сообщении Tesla.

Вместе с Windows 10 компания Microsoft выпустила инструмент безопасности Anti-Malware Scan Interface (AMSI), который позволяет программам отправлять файлы на проверку антивирусом. Этот механизм обеспечивает защиту от угроз, которые не выявляет поиск по сигнатурам, так как злоумышленник выполняет скрипты PowerShell через обычные программы.

AMSI позволяет предотвратить атаки, при которых злоумышленник выполняет собственный код с помощью безвредной программы. Исследователь безопасности из Австралии Сатоши Танда (Satoshi Tanda) обнаружил простой способ обойти защиту AMSI с помощью нулевого символа.

До недавнего времени AMSI сканировал файлы и передавал антивирусу информацию, пока не наталкивался на нулевой символ. Всё, что шло после этого символа, просто игнорировалось.

На прошлой неделе, 13 февраля, Microsoft выпустила обновления безопасности, в которых заменила одну из команд в библиотеке System.Management.Automation.dll, благодаря чему AMSI теперь работает корректно. «Теоретически, кроме установки обновлений, больше никаких действий от пользователя не требуется», — отметил Танда, добавив, что разработчикам программ стоит проверить, насколько корректно для них сейчас работает AMSI. 

Эксперт также порекомендовал авторам антивирусов проверить, не теряют ли их программы код, размещённый под нулевым символом, как это до недавнего времени делал AMSI.

В 2017 году российские банки из-за хакерских атак с использованием вируса Cobalt Strike понесли потери в размере более чем 1 млрд рублей, сообщил на X Уральском форуме «Информационная безопасность финансовой сферы» заместитель председателя Центробанка Дмитрий Скобелкин.

REUTERS/Kacper Pempel

По его словам, за прошедший год было зарегистрировано не менее 21 волны атак с использованием Cobalt Strike, нацеленных на компьютерные сети более 240 кредитных организаций. Из них 11 оказались успешными. В результате хакерами было похищено более 1,156 млрд рублей.

«При этом 8 из 11 пострадавших организаций являются участниками информационного обмена с ФинЦЕРТом», — отметил Скобелкин. ФинЦЕРТ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере) начал работу в Банке России с 2015 года. Его главной задачей является осуществление координации действий финансовых организаций и своевременное информирование об инцидентах и происшествиях. Как сообщил Скобелкин, ФинЦЕРТ предупредил более чем 400 организаций с указанием электронных почтовых адресов, которые использовала группа Cobalt для отправки фишинговых писем.

Ранее в интервью RNS заместитель начальника Главного управления по безопасности и защите информации (ГУБиЗИ) Банка России Артем Сычев предупредил, что в 2018 году основными видами угроз в сфере информационной безопасности будут использование хакерами методов социальной инженерии, а также вредоносного ПО Cobalt Strike для взлома сетей организации с целью получения контроля над её инфраструктурой.

Cobalt Strike — это набор инструментов, применяемый для проверки киберзащиты организации на прочность, но он также использовался хакерами для атак на компьютерные сети банков в России и других странах мира.

Госкорпорация Ростех и Федеральная служба безопасности Российской Федерации (ФСБ), по сообщениям интернет-источников, заключили соглашение о сотрудничестве в сфере информационной безопасности.

Речь идёт о борьбе с киберпреступниками, а также о выявлении хакерских атак на российскую IT-инфраструктуру и телекоммуникационные системы.

Сообщается, что дочерняя компания Ростеха — «РТ-ИНФОРМ» — получила официальный статус корпоративного центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА).

Исследования показывают, что сетевые преступники проявляют повышенный интерес к государственным организациям, финансовой отрасли, оборонным предприятиям и промышленным компаниям. Центры ГосСОПКА как раз и призваны обеспечить безопасность критической информационной инфраструктуры (КИИ).

Добавим, что закон о безопасности КИИ вступил в силу с 2018 года. Объектами КИИ являются информационные системы и телекоммуникационные сети госорганов, автоматизированные системы управления технологическими процессами в оборонной промышленности, области здравоохранения, транспорта, связи, кредитно-финансовой сфере, энергетике, топливной промышленности, атомной промышленности, ракетно-космической промышленности, горнодобывающей промышленности, металлургической промышленности и химической промышленности. 

Заместитель главы департамента информационных технологий Москвы Александр Горбатько сообщил о 65 крупных хакерских атаках на информационную инфраструктуру города, зафиксированных в 2017 г.

«Хакеры не дремлют и в Москве, буквально за 2016 г. мы фиксировали 44 крупные атаки (на IT-инфраструктуру), в 2017 г. атак было уже 65. География атак очень разнообразная, они идут не только из России», — рассказал Горбатько в ходе Национального форума по информационной безопасности.

По его словам, защита информационных ресурсов столицы обеспечивается с помощью комплексного подхода, включая привлечение к поиску уязвимостей в защите IT-инфраструктуры города так называемых «белых» хакеров.

В свою очередь, заместитель директора Федеральной службы по техническому и экспортному контролю (ФСТЭК) России Виталий Лютиков заявил, что успех атак вируса WannaCry на российские объекты информационной инфраструктуры объясняется невыполнением элементарных требований информационной безопасности.

«Проанализировали все случаи (атак вируса Wannacry), которые были у нас в России на объектах, которые находятся в сфере ведения ФСТЭК. Можем однозначно констатировать, что основной причиной проникновения вредоносного ПО было невыполнение элементарных требований по обеспечению информационной безопасности, в частности, это необновление актуального программного обеспечения и блокирование соответствующих интерфейсов, которые не должны вовне иметь выход», — отметил Лютиков.

Южнокорейская биржа Youbit (не имеет ничего общего с русскоязычной биржей Yobit) второй раз за 2017 год подверглась атаке хакерской группы, целью которой значилось похищение криптовалютных активов. И оба раза данные атаки имели для киберзлоумышленников успешный исход. Напомним, что в апреле текущего года брешь в защите сервиса Youbit стоила бирже 4000 похищенных со счетов пользователей биткоинов. Однако тогда Youbit сумела довольно быстро оправиться от потерь.

На этот раз уязвимость в защите Youbit нанесла владельцам биржи невосполнимый ущерб, вынудив их объявить о готовящейся процедуре банкротства сервиса. Пока что представители биржы не уточнили точную сумму похищенного хакерами. Известно лишь, что доля украденного составила 17 % от общего количества активов. 

www.bankruptcylawnetwork.com

Пользователи Youbit, хранившие свои криптомонеты на кошельках сервиса и потерявшие виртуальные деньги в связи с хакерской атакой, могут рассчитывать на компенсацию. По заверению владельцев Youbit, всем пострадавшим от действий киберпреступников биржа выплатит компенсацию в размере 75 % от суммы, актуальной на момент взлома.  

Апрельский инцидент с Youbit навёл на мысль о необходимости укрепить системы безопасности биржи — нанять дополнительный персонал и уменьшить число «горячих кошельков». Однако ни одна из предпринятых мер дополнительной защиты не воспрепятствовала декабрьскому взлому. Вследствие этого Youbit решила свернуть деятельность, объявив себя банкротом.  

«Искреннее жаль сообщать вам печальные новости в очередной раз», — говорится в пресс-релизе Youbit. 

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) направила в Uber запрос по поводу массовой утечки данных пассажиров и водителей, происшедшей в 2016 году.

Фотографии Volvo / Uber

Как выяснилось на днях, компания Uber скрыла прошлогодний взлом своей системы, в результате которого под угрозой оказались данные 57 млн клиентов и водителей. Uber выплатила хакерам выкуп в размере $100 тысяч, чтобы те стёрли информацию и об утечке не узнали СМИ и регулирующие органы.

Как теперь сообщает Агентство городских новостей «Москва», Роскомнадзор направил запрос в российский офис Uber с требованием сообщить, затронула ли утечка персональные данные российских граждан.

Теоретически злоумышленники могли получить доступ к именам, адресам электронной почты и телефонным номерам пассажиров. Впрочем, о случаях незаконного использования персональных сведений российских граждан пока ничего не известно.

«На данный момент жалоб на Uber от российских граждан не поступало. Вопрос о дальнейших действиях в отношении Uber будет решаться после поступления ответа на запрос Роскомнадзора», — отметили в российском ведомстве. 

В октябре 2016 года на Uber была совершена кибератака, в результате которой под угрозой оказались данные 57 млн клиентов и водителей. Бывший генеральный директор компании Тревис Каланик (Travis Kalanick) был проинформирован о взломе лишь спустя месяц. Руководитель службы безопасности Джо Салливан (Joe Sullivan) решил публично не сообщать об атаке, из-за чего его и одного из его подопечных на этой неделе уволили.

Uber выплатила хакерам выкуп в размере $100 тысяч, чтобы те стёрли данные и об утечке не узнали СМИ и регулирующие органы. «Этого не должно было случиться, и я не собираюсь за это оправдываться, — сказал нынешний генеральный директор компании Дара Хосровшахи (Dara Khosrowshahi), пришедший на замену Каланику в сентябре. — Теперь мы ведём дела по-другому». Личности хакеров раскрыты не были.

Злоумышленники получили доступ к именам, адресам электронной почты и телефонным номерам более чем 50 млн пассажиров Uber по всему миру. Утекла примерно та же информация более чем 7 млн водителей, а также номера водительских удостоверений примерно 600 тысяч американских водителей.

Bloomberg сообщает, что когда произошёл взлом, Uber общалась с регулирующими органами США лишь на тему отдельных случаев нарушения конфиденциальности. А глобальную утечку Салливан скрыл. В прошлом месяце компания начала расследовать деятельность команды Салливана, в результате чего и стало известно о кибератаке.

Характер взлома относительно прост. Хакеры получили доступ к публичному коду на GitHub, который использовали инженеры Uber, и скопировали личные данные входа в облачное хранилище Amazon. Оттуда они похитили список с информацией клиентов и водителей, а затем затребовали у компании $100 тысяч.

Хосровшахи уже уведомил об атаке генерального прокурора Нью-Йорка Эрика Шнайдермана (Eric Schneiderman) и Федеральную торговую комиссию США. Компания добавила, что главный юрист, который тоже уходит в отставку, не знал о ситуации. Генеральный директор заверил, что компания приняла все необходимые меры по защите данных пользователей.

Сетевые злоумышленники постепенно переключают внимание с банковского сектора на инфраструктуру криптоиндустрии. Об этом свидетельствуют данные Group-IB, которые приводит сетевое издание «РИА Новости».

«Мы фиксируем рост количества инцидентов, связанных с воровством у пользователей данных криптокошельков с помощью вредоносных программ и вывода денег. Методы идентичны тем, что используются для атак на пользователей банковских приложений», — говорят эксперты.

Бум криптовалют привёл к тому, что сетевые мошенники всё активнее ищут новые способы нажиться на пользователях. Причём это не всегда выражается в непосредственной краже средств. К примеру, мы рассказывали об оригинальной атаке, в ходе которой киберпреступники «воруют» аппаратные ресурсы компьютеров жертв, осуществляя скрытый майнинг. Причём добыча криптовалюты в пользу атакующих производится в браузере, когда пользователь заходит на определённые сайты. Иными словами, установка вредоносного программного обеспечения на компьютер жертвы не производится.

Помимо вредоносных программ, активно используется компрометация адресов электронной почты, а также получение SIM-карты по поддельным документам для восстановления паролей и получения контроля над счётом в криптовалютных сервисах.

Ущерб от действий злоумышленников в сфере криптовалют уже достиг практически $170 млн. «Доход от атак на криптобиржи варьируется от 1,5 до 72 миллионов долларов, в то время как в результате успешной атаки на банк преступники в среднем зарабатывают всего 1,5 миллиона долларов», — отмечается в докладе Group-IB. 

Прежде терроризм в виртуальном пространстве проявлялся преимущественно в виде кибератак на государственные информационные ресурсы, однако «прогресс» в этом направлении не стоит на месте. По словам директора Федеральной службы безопасности генерала армии Александра Бортникова, преступные организации создают собственные «киберподразделения», задача которых — воздействовать на объекты жизненно важной и критической инфраструктуры с целью спровоцировать техногенные аварии и экологические катастрофы.

ФСБ располагает информацией о том, что террористы интенсивно расширяют связи с хакерами. В связи с этим следует ожидать, что сложность и изощрённость осуществляемых ими кибератак будет расти. Как заявил Бортников во время совещания руководителей спецслужб в Краснодаре, кибертерроризм становится всё более реальной угрозой мировому сообществу.

Кроме того, глава ФСБ отметил, что число пропагандистских сайтов международных террористических организаций уже превысило десяток тысяч, также террористам принадлежат сотни тысяч аккаунтов в популярных социальных сетях. С помощью соцсетей ведётся психологическая обработка и привлечение новых сторонников, сбор средств и обучение методам диверсионных актов и тактике боевых действий.

В качестве одной из мер противодействия компьютерным атакам Бортников предлагает создать международный правовой режим запрета на разработку вредоносного программного обеспечения. Отметим, что в России написание вирусов считается уголовным преступлением и наказывается лишением свободы на срок до семи лет.

В США разразился громкий скандал, вызванный хакерским взломом базы данных одного из крупнейших в стране кредитных бюро Equifax. Факт незаконного проникновения хакеров был обнаружен компанией 29 июля, но она сообщила об этом только сейчас.

Mike Stewart / AP

Злоумышленники получили доступ к персональной информации, включая социальные номера и даты рождения, 143 млн человек, что составляет почти половину населения США, насчитывающего 323 млн граждан. В сообщении инвесторам компания указала, что хакеры похитили сведения о номерах кредитных карт 209 тыс. человек, а также получили документы с личной информацией о 182 000 пострадавших. Проверить, были ли похищены их данные, пользователи могут на сайте компании.

Указанные Equifax цифры не включают пострадавших от взлома из других стран. Компания сообщила о краже данных граждан Канады и Великобритании, но не назвала их число. «Преступники использовали уязвимость приложений веб-сайта в США для доступа к определённым файлам», — указала Equifax в своем заявлении.

Скандал усугубляется тем, что три руководителя Equifax продали акции компании после того, как был обнаружен взлом. Как выяснилось, руководители, включая главного финансового директора компании, продали акции на сумму почти $1,8 млн через три дня после обнаружения нарушения и за несколько недель до обнародования факта случившегося.

Комиссия по ценным бумагам и биржам США запрещает корпоративным инсайдерам, таким как руководители, сотрудники и директора, покупать или продавать акции своей компании, обладая при этом существенной информацией, которая ещё не была опубликована. Но Equifax отрицает, что руководители реализовали свои акции на основе инсайдерской информации.

«Три руководителя, которые продали небольшой процент своих акций Equifax во вторник, 1 августа и в среду, 2 августа, не знали, что взлом произошёл во время продажи», — заявила Инес Гутцмер (Ines Gutzmer), руководитель отдела корпоративных коммуникаций Equifax.

За несколько недель до проведения ICO (первичное размещение монет) у клиентов блокчейн-площадки Enigma было похищено хакерами около $500 000.

Сам стартап, созданный группой выпускников Массачусетского технологического института, не пострадал. Хакеры взломали сайт проекта Enigma Project и направили поддельные электронные послания членам сообщества Enigma в мессенджере Slack с указанием номера своего криптокошелька и предложением направлять на него деньги взамен на токены и доступ в дальнейшем к премиальным сервисам.

По данным Etherscan, хакеры похитили 1492 монеты эфира ($494 171). Это произошло, несмотря предупреждение команды Enigma об отсутствии намерения собирать средства таким образом до проведения ICO в следующем месяце.

В связи со случившимся стартап прекратил работу сайта и группы в Slack и публикует обновления через свою группу в Telegram и аккаунт в Twitter.

Представитель компании сообщил ресурсу techcrunch.com, что «были взломаны пароли команды для целевой страницы enigma.co и Slack». Он уточнил, что веб-сайт, предназначенный для продажи токенов Enigma, не пострадал. «Он находится на отдельном, более безопасном сервере, который не был взломан», — заявил представитель компании.