Материалы по тегу: взлом

20.02.2020 [14:15], Владимир Мироненко

Хакеры имели свободный доступ к сетям Citrix в течение пяти месяцев

Поставщик сетевого программного обеспечения Citrix Systems, клиентами которого является большинство компаний из списка Fortune 100, сообщил, что взломавшие его компьютерную сеть хакеры имели доступ к конфиденциальной информации в течение пяти месяцев в период с 2018 по 2019 год.

В частности, злоумышленники получили доступ к личным и финансовым данными о сотрудниках компании, подрядчиках, стажёрах, кандидатах на работу и членах их семей.

LIGHTROCKET/GETTY IMAGES

LIGHTROCKET/GETTY IMAGES

Раскрытие информации произошло спустя почти год после того, как Citrix признала, что цифровые злоумышленники взломали систему, воспользовавшись тем, что её сотрудники применяли «слабые» пароли.

Citrix также известна как поставщик программного обеспечения для виртуальных частных сетей (VPN), которое позволяет пользователям получать удалённый доступ к сетям и компьютерам через зашифрованное соединение.

В марте 2019 года Федеральное бюро расследований (ФБР) предупредило Citrix об имеющихся основаниях для предположения о том, что киберпреступники получили доступ к внутренней сети компании. ФБР сообщило, что для взлома сети Citrix хакеры, вероятно, использовали метод под названием password spraying (распыление пароля). Это относительно простой, но довольно эффективный способ взлома, когда злоумышленник пытается одновременно получить доступ к большому количеству учётных записей сотрудников, используя всего несколько обычных, наиболее часто используемых паролей.

Вскоре после того, как Citrix первоначально сообщила о хакерском взломе в марте 2019 года, малоизвестная охранная компания Resecurity заявила, что у нее есть доказательства того, что ответственность за это несут иранские хакеры. По её словам, хакеры имели доступ к сети Citrix в течение многих лет и успели скачать за это время терабайты конфиденциальной информации.

Как сообщается, среди багов VPN, ранее доступных злоумышленникам, — недавно устранённый компанией с помощью патча CVE-2019-19781 баг на серверах Citrix VPN. Хотя Citrix предупредила клиентов об этой уязвимости в середине декабря 2019 года, она выпустила ПО для её устранения лишь в конце января 2020 года.

Постоянный URL: http://servernews.ru/1004129
16.10.2019 [21:00], Алексей Степин

Установка аппаратной «закладки» может стоить всего $200

Легенды о «закладках» и бэкдорах в компьютерном аппаратном обеспечении ходят давно. Далеко не все из них имеют под собой хоть какие-то основания, хотя в ряде случаев различные механизмы удалённого управления и имеют уязвимости, которые вполне может использовать опытный злоумышленник.

В 2018 году прогремел скандал, когда Bloomberg заявила, что на платах Supermicro может быть крошечный чип, не предусмотренный спецификациями. Эта «модификация» якобы затронула около 30 компаний. Впрочем, все «пострадавшие» хором заявляли, что никаких лишних чипов в их оборудовании нет, а Supermicro даже провела независимое исследование. Правительство США, тем не менее, считает, что подобные атаки могут быть делом рук китайских военных.

Компания Sepio Systems, чьей специализацией является безопасность аппаратных решений, ранее уже подтвердила, что подобные аппаратные закладки возможны, и специалисты компании встречаются с ними не в первый раз. В частности, описывается случай с сервером той же Supermicro, у которого вредоносный чип был внедрён в дорожки, ведущие к порту Ethernet. Обнаружить его активность удалось по нетипичному сетевому трафику, но до конца разобраться в том, какие данные передаёт или обрабатывает устройство, специалистам не удалось.

Аппаратные закладки: миф или реальность?

Аппаратные закладки: миф или реальность?

Так сколько же стоит подобная аппаратная модификация и может ли она быть проведена не спецслужбами и прочими организациями с практически неограниченными ресурсами? Энтузиасты тщательно проверили все возможные способы и доказали, что такая операция возможна. Исследователь Монта Элкинс (Monta Elkins) обещал предоставить подробное описание данного типа атаки на конференции CS3sthlm, которая пройдет с 21 по 24 октября в Стокгольме.

Элкинс утверждает, что ничего сверхсложного в ней нет и каких-то особых навыков не требуется — любой достаточно мотивированный злоумышленник, будь то шпион, хакер или представитель криминальных кругов, легко может снабдить нужный ему сервер или сетевое устройство соответствующей модификацией. Опытному хакеру, который дружит не только с ПО, но и с паяльником, такая операция обойдётся всего в $200, включая затраты на оборудование.

Digispark Attiny 85: донор чипов-закладок. Верхняя микросхема ‒ контроллер

Digispark Attiny 85: донор чипов-закладок. Верхняя микросхема ‒ контроллер

При этом $150 будет стоить фен для пайки, ещё $40 уйдёт на микроскоп, а сами чипы, используемые для взлома, могут стоить всего $2 за штуку. Автору будущего доклада удалось модифицировать брандмауэр Cisco таким образом, что, по его мнению, взлом не заметят большинство системных администраторов.

В качестве чипа Элкинс выбрал 8-бит микроконтроллер Atmel ATtiny85 с платы Digispark Arduino. Эта микросхема не так мала, как «рисовое зёрнышко» из статьи Bloomberg, но её размеры в корпусе SOIC-8 составляют всего 4 × 5 мм. При этом контроллер, работающий на частоте 16,5 МГц, представляет собой довольно мощное устройство. 

Исследователь выбрал место на системной плате Cisco ASA 5505, не требующее дополнительных проводов и установил туда данный чип, предварительно снабдив его соответствующей прошивкой. Элкинс утверждает, что такая модификация возможна и для других устройств Cisco. Компания в свою очередь заявила: «Если будет обнаружена новая информация, о которой должны знать наши клиенты, мы сообщим её по обычным каналам связи».

Взломанная системная плата Cisco ASA 5505. «Лишний чип» в левом нижнем углу

Взломанная системная плата Cisco ASA 5505. «Лишний» чип в левом нижнем углу

Как видно на снимке, сходу обнаружить лишнюю микросхему не так-то просто, хотя в примере использовалась достаточно небольшая и не слишком сложная системная плата. Если произвести пайку аккуратно, то чип создаёт впечатление установленного на заводе и совершенно не привлекает внимания. Элкинс утверждает, что возможна куда более скрытная установка, а также использование более мелких микросхем. ATtiny85 он выбрал просто из-за легкости программирования.

Контроллер припаян к выводам последовательного порта. После включения устройства чип  дожидается загрузки ОС брандмауэра, а затем имитирует действия человека. Он инициирует процедуру восстановления пароля, после чего создаёт новую учётную запись администратора и, таким образом, получает доступ ко всем настройкам устройства.  Дальнейшее зависит от намерений взломщика: возможно получение полного удалённого доступа к системе, отключение всех настроек безопасности, доступ к сетевым логам и прочим данным.

TinyFPGA AX2: стоимость $19, габариты ПЛИС 2,5×2,5 миллиметра

TinyFPGA AX2: стоимость $19, габариты ПЛИС Lattice  XO2-1200 — 2,5 × 2,5 миллиметра

Другой исследователь, Траммел Хадсон (Trammell Hudson), также подтвердил возможность аппаратного взлома. Он воспроизвёл ситуацию с платой Supermicro и подключился к контроллеру BMC, отвечающему, в числе прочего, и за удалённый доступ к системе. В качестве «зловреда» Хадсон выбрал крошечную ПЛИС площадью всего 2,5 мм2, заменив ей один из резисторов на системной плате. Вероятнее всего, он использовал микросхему Lattice XO2-1200.

Таким образом, на сегодняшний день возможность аппаратного взлома различной IT-техники полностью доказана и подтверждена. Самое опасное в такой возможности то, что воспользоваться ей может практически любой достаточно опытный энтузиаст, даже не располагающий серьёзными денежными средствами. В ближайшие годы компаниям, отвечающим за кибербезопасность, предстоит очень много работы. Даже обычным опытным пользователям можно рекомендовать тщательный осмотр своих устройств на предмет наличия «лишних» чипов.

Постоянный URL: http://servernews.ru/995720
04.10.2017 [11:38], Сергей Карасёв

«Лаборатория Касперского» предлагает взломать IT-инфраструктуру нефтезавода

«Лаборатория Касперского» объявила о начале приёма заявок на участие в международном турнире по промышленной кибербезопасности Kaspersky Industrial CTF 2017.

Состязание CTF (Capture The Flag) затрагивает различные аспекты IT-безопасности и обеспечивает возможность проверить виртуальную среду предприятия на потенциальные уязвимости. Такое испытание особенно важно для критических инфраструктур, которые влияют на экономику государства и жизнь людей. Это может быть, например, энергетическая отрасль, транспортная сфера, различные системы жизнеобеспечения и пр.

В нынешнем году в рамках CTF-турнира участникам будет предложено взломать киберзащиту модели небольшого нефтеперерабатывающего завода с цифровой подстанцией. Предполагается, что такой опыт поможет IT-экспертам и системным интеграторам лучше понять, как работают автоматизированные системы управления и усовершенствовать их защиту.

Кроме того, участники состязания смогут испытать на устойчивость к взломам несколько устройств Интернета вещей, соединённых между собой.

Финал CTF-турнира пройдёт 24 октября на конференции GeekPWN в Китае. Для участия в нём претендентам необходимо пройти квалификационные онлайн-испытания, которые пройдут с 6 по 8 октября. Участникам предстоит решить как можно больше задач в категориях Crypto (криптография), Reverse (анализ кода), Pwn (эксплуатация уязвимостей), Web (веб-уязвимости), Network (cетевая инфраструктура) и Fun (игровые задачи). Самые успешные команды отправятся в Шанхай. 

Постоянный URL: http://servernews.ru/959433
05.06.2015 [13:41], Владимир Мироненко

Китай отвергает обвинения властей США в участии в хакерской атаке

Представители администрации США сообщили о масштабной хакерской атаке, которой подверглись компьютеры Управления кадровой службы США (Office of Personnel Management, OPM), хранящие данные о более чем 4 млн бывших и нынешних госчиновников. Федеральное бюро ведёт расследование обстоятельств одной из крупнейших утечек информации в истории государственных служб США.

REUTERS/KACPER PEMPEL

REUTERS/KACPER PEMPEL

Предположительно, несанкционированный доступ к данным госчиновников произошёл в декабре прошлого года. Первые подозрения по поводу этого возникли в апреле после обнаружения вредоносной активности в информационных системах OPM. А в начале мая департамент внутренний безопасности пришёл к выводу о происшедшем хакерском взломе, поставившем под угрозу данные о 4 млн госслужащих. Анонимный источник сообщил, что хакеры получили доступ к базе данных информационного центра, услугами которого пользуются различные федеральные агентства.

Представители ФБР не уточняют, какого рода информация могла попасть к злоумышленникам, и коснулась ли утечка других ведомств. Источник в правоохранительных органах, пожелавший сохранить анонимность, сообщил, что подозрения падают на хакеров из Китая.

Компьютеры OPM уже подвергались хакерской атаке в прошлом году, и тогда в качестве взломщиков тоже называли китайских программистов.

Пресс-секретарь китайского посольства в Вашингтоне назвал подобные бездоказательные обвинения безответственными и контрпродуктивными.  Он указал на то, что очень сложно отслеживать активность хакеров за пределами страны.

Постоянный URL: http://servernews.ru/915258
02.07.2014 [13:38], Дмитрий Приходько

Хакеры из Dragonfly 1,5 года саботировали работу крупнейших энергетических предприятий

Кибершпионаж сегодня используется не только для получения секретной государственной информации о военных и политических планах правительства других стран. Всё чаще в качестве потенциальной цели выбираются объекты, имеющие первостепенное экономическое значение, в частности — предприятия энергетического сектора. Согласно докладу представителей Symantec — фирмы из Купертино, занятой разработками ПО в сфере информационной безопасности, хакерская группа под названием Dragonfly продолжительное время вела «подрывную деятельность» в виртуальном пространстве. В её послужном списке значится ряд стратегически важных объектов, доступ к управлению процессами и ценнейшим секретным данным, которые сумела заполучить команда хакеров. В качестве целей для удара «Стрекоза» выбирала организации, занятые в энергетическом секторе, нефтепереработке и производстве, поставках крупного промышленного оборудования, газодобыче и других схожих отраслях.    

www.bea-tdl.de

www.bea-tdl.de

Для оперативного и незаметного получения контроля за системами крупных промышленных предприятий злоумышленники использовали троянцы, позволяющие мониторить, извлекать файлы и следить удалённым способом за действиями потенциальных жертв и даже отдавать команды для смены режима работы технологических машин. Вредоносное ПО, основой которого стали троянцы Backdoor.Oldrea («Энергетический медведь») и Trojan.Karagany, а также специально написанный под конкретную операцию код, попадало совсем нехитрым способом в чужую систему одновременно с загрузкой обновлений на компьютеры, имевших подключение к Всемирной сети. Также специалистами Dragonfly был задействован и старый добрый метод активного спама на адреса электронной почты.

www.malekal.com

www.malekal.com

Именно спам и стал первоначальной тактикой киберпреступников, как отработанный и эффективный. Вирусы попадали на почту руководителей и сотрудников компаний под видом PDF-вложений. Заголовки «заражённых» писем обычно имели две характерные особенности. Это были сообщения, в теме которых указывалось что-то вроде «Внимание» или «Урегулирование вопросов поставки», а вся входящая корреспонденция отправлялась с единого адреса в почтовой системе Gmail. Уже позже в ход пошла и более «тяжёлая артиллерия» в виде взлома официальных сайтов предприятий энергетической отрасли и грамотное перенаправление посетителей на инфицированные ресурсы, а также тщательного поиска на предмет уязвимости промышленных систем. 

pcworld.com

pcworld.com

Отправка почтового спама интенсивно практиковалась хакерами Dragonfly с начала февраля 2013 года и продолжалась до июня 2013 года, а под целенаправленный удар по данным Symantec попало не менее семи весьма крупных организаций. На почту каждой из них было выслано от одного до 84 писем схожего характера. 

Аналитикам при сборе материалов и статистики атак удалось установить следующие временные показатели, определяющие географическую принадлежность киберпреступников. Хакеры действовали преимущественно с понедельника по пятницу, а их активность начиналась около 9 часов утра и продолжалась до 18 часов по часовому поясу UTC+4. Стоит отметить, что эксперты считают местом базирования группы одну из стран Восточной Европы, предположительно — Российскую Федерацию. Об этом недвусмысленно намекают и указанный в отчёте часовой пояс, и пестрящие заголовки зарубежных интернет-изданий про причастность именно российских специалистов. В указанный UTC+4 попадает достаточно большая территория России, а также Армения, Грузия, Оман, Маврикий и ещё пара не слишком активных с точки зрения хакерской деятельности государств. 

twitter.com

twitter.com

Пожалуй, одной из самых грандиозных кампаний стала атака с помощью любимца программистов Dragonfly — «Энергетического медведя». По имеющимся данным, опасность данной программы состояла в том, что она позволяла не просто наблюдать за происходящими процессами в системе и открывать доступ к файлам. Хакерам, внедрившим в промышленный комплекс «Энергетического медведя», открывался доступ к средствам контроля и настройками функционирующих в заданном режиме энергетических установок, вроде ветроагрегатов, турбин, компрессоров, газопроводов. Несмотря на то, что первоначальной задачей вредоносного ПО значилась исключительно пассивная роль мониторинга, модифицированные варианты открывали доступ к реальным и опасным инструментам саботирования, которое могло привести к экономическому краху и человеческим жертвам.

definicije.blogspot.com

definicije.blogspot.com

Второй наиболее часто внедряемый троянец — Backdoor.Oldrea — является вполне стандартной программой, созданной, вероятнее всего, силами самих хакеров. Он позволяет получать данные о всех установленных программах, извлекать данные из адресных книг почтовых клиентов и файлов. Затем все собранные сведения шифруются и оказываются уже на удалённом сервере, находящемся под управлением киберпреступников.

Что касается Trojan.Karagany, то он не является творением членов Dragonfly, а доступен для приобретения на «чёрном рынке». Первая его версия была обнаружена ещё в 2010 году, а нынешняя вариация троянца постоянно подвергалась модификациям в зависимости от конечной цели применения. 

Считается, что неизвестным удалось за 1,5 года инфицировать вирусом свыше 1000 организаций в 84 странах мира. Вредоносные действия Dragonfly распространились практически по всей планете, скомпрометировав деятельность организаций в США, Испании, Франции, Италии, Германии, Турции, Польше и т.д.

Постоянный URL: http://servernews.ru/823217
03.05.2012 [10:12], Георгий Орлов

Хостинг-компания eUKHost пострадала от взлома биллинговой системы

Британская хостинг-компания eUKHost была взломана пакистанской хакерской командой UrduHack, которая, как оказалось, получила доступ к биллинговой системе. Компания в течение 24 часов разослала по электронной почте уведомление клиентам и объявила на своем сайте в минувшие выходные об обнаружении вторжения. "Мы можем подтвердить, что логин администраторского уровня был раскрыт и IP-адреса взломщиков добавлены в список разрешённых для успешного входа, - говорится в сообщении UKHost. - Мы до сих пор изучаем произошедшее". По словам управляющего директора eUKHost Джона Стронга (John Strong), хакеры проникли через некоторое "устаревшее программное обеспечение, которое не было закрыто должным образом на сайте". Киберпреступники не удалили логи, что позволило идентифицировать их как пакистанскую группу UrduHack.

eUKHost

Эта группа также ответственна за взлом израильской хостинг-компании Galcomm. Группа UrduHack выглядит более заинтересованной в доказательствах своих возможностей, чем в использовании полученного доступа к данным. Группа обычно размещает видеосообщение о взломе на YouTube. Компания eUKHost заявила в субботу о переносе биллинговой системы на новый сервер и корректировках алгоритма шифрования для сотрудников и клиентов. "Мы не заметили увеличения угрозы счетам клиентов, и наши предварительные исследования, похоже, говорят об отсутствии ущерба для наших клиентов, но пока мы не можем ничего утверждать", - сообщила в субботу хостинг-компания. eUKHost позже подтвердила, что не найдено никаких угроз для платежных реквизитов клиентов, таких как номера кредитных карт.

Материалы по теме:

Источник:

Постоянный URL: http://servernews.ru/595823
16.06.2011 [10:32], Георгий Орлов

Европейский сервер Acer взломан

Группа хакеров Pakistan Cyber Army (PCA) заявила о взломе сервера компании Acer в Европе и о похищении персональных данных около 40 000 человек. Группа также объявила и о краже нескольких частей исходного кода, который хранился на данном компьютере. Новость о взломе первоначально сообщил портал The Hacker News (THN), который опубликовал скриншоты, демонстрирующие образцы похищенных данных, в том числе  имена пользователей, адреса электронной почты, номера телефонов и другие данные, хранящиеся на сервере. THN утверждает, что PCA связалась с ними и сообщила об атаке на сервер Acer и краже персональных данных. Лиза Эмард (Lisa Emard), директор по связям с прессой Acer America, говорит, что американские подразделения компании не имеют информации о взломе. Компания пытается получить разъяснения относительно утверждений PCA от своих европейских должностных лиц, добавила она.

 

Acer

 

Взлом произошел в то время, когда Acer, второй по величине производитель ноутбуков в мире, сталкивается с все более пристальным вниманием к своей финансовой отчетности. На днях цена акций компании Acer стремительно упала на фондовой бирже Тайваня после аудита, обнаружившего нарушения в инвентаризации и информацию о дебиторской задолженности компании. В результате произошло снижение стоимости Acer на $150 млн. Краткое заявление, размещенное на американском сайте Acer, говорит, что председатель и исполнительный директор компании Джим Вонг (Jim Wong) взял на себя ответственность за обвинение и «отказался от вознаграждения за должность главы совета директоров компании, а также от премии за 2010 год». Неизвестно, имел ли взлом какое-либо отношение к финансовым проблемам компании. Acer является лишь одной из нескольких крупных компаний, которые в последнее время подвергались взлому. Только за прошлую неделю такими компаниями стали Lockheed Martin, L-3 Communications и Sony.

Источник:

Постоянный URL: http://servernews.ru/594732
27.05.2011 [17:35], Георгий Орлов

Взлом PlayStation Network был начат с Amazon EC2

Как сообщает агенство Bloomberg News, хакеры, которые взломали защиту сети Sony PlayStation Network (PSN) и получили доступ к конфиденциальным данным ее 77 миллионов подписчиков, использовали для осуществления атаки облако веб-сервисов Amazon. Злоумышленники арендовали сервер в сервисе Amazon EC2 и оттуда проникли в популярную сеть, говорится в выпуске новостей со ссылкой на неназванную осведомленную персону. При этом хакеры снабдили Amazon ложной информацией. Их аккаунт в настоящее время закрыт. Ни Sony, ни Amazon не комментируют эти утверждения. Bloomberg не говорит, каким способом облачный сервис Amazon был использован для осуществления атаки. Если эта информация верна, то вряд ли это был первый случай использования сервиса хакерами.

 

PlayStation Network

 

Немецкий специалист по проблемам безопасности Томас Рот (Thomas Roth) ранее в этом году продемонстрировал, как использование сервиса EC2 позволило ему взломать пароли Wi-Fi за небольшой отрезок времени и за небольшие деньги. Примерно за $1,68 он использовал Cluster GPU Instances облака Amazon, чтобы осуществить брутфорс-взломы, позволившие ему проникнуть в защищенную сеть WPA-PSK примерно за 20 минут. Также известно, что в 2009 году троянская программа использовала популярный сервис Amazon в качестве канала для распространения вредоносного ПО.

Атака, которая проникла в основные части игровой сети, была предпринята ради похищения паролей, имен, адресов и прочих данных, связанных с 77 миллионами учетных записей. Сеть была закрыта на долгий срок — около месяца.

Источник:

Постоянный URL: http://servernews.ru/594659
28.02.2011 [13:28], Георгий Орлов

Атаки «Ночного дракона»: корпоративная безопасность

Согласно результатам исследования, проведенного признанным лидером в области компьютерной безопасности, компанией McAfee, на протяжении вот уже многих лет хакеры взламывают сети главных энерго- и нефтехимических фирм. McAfee подтвердила, что эти кибератаки были простыми и небрежными, и большинство из них шли из Китая. Однако многие задаются вопросом, происходят ли атаки до сих пор и можно ли точно выследить местоположение хакеров. Киберпреступность стала теперь профессиональным занятием. Примером тому может послужить недавняя серия атак, которую главный технический директор McAfee Джордж Курц (George Kurtz) шутливо назвал «Ночной дракон» (Night Dragon) в одном из блогов компании. Предполагается, что хакеры работали из Китая. Такие выводы были сделаны по наблюдениям за техникой взломов и по IP-адресам. Однако подобные атаки уже далеко не новы, и фактически, их пик был несколько лет назад. Так называемые атаки «Ночной дракон» очень похожи на атаки Gh0stNet, которые произошли в 2009 году. Обычно хакерам очень легко скрыть свое истинное местоположение, так как существует множество программ, меняющих IP-адреса. Поэтому выводы, к которым пришла компания McAfee, могут оказаться и ошибочными.

 

McAfee

 

В атаках «Ночного дракона» использовались разные хакерские приемы, включая социотехнику, целевое фишинг-мошенничество, вредоносные коды Windows, уязвимости серверов Microsoft Active Directory и использование средств удаленного администрирования. Как пишет в своем блоге Джордж Курц, весь этот технический инструментарий шпионов внешне выглядит как стандартный набор сетевого администратора, использующего свои административные полномочия для обычного управления сетью. С другой стороны, вполне очевидно, что крупные транснациональные корпорации, будь они нефтегазовые или какие-либо ещё, ныне имеют мощные службы безопасности. И тот факт, что их удалось взломать столь простыми методами, говорит скорее о том, что в данном случае имел место быть классический пример промышленного шпионажа. Однако сами компании это никак не комментируют.

Источник:

Постоянный URL: http://servernews.ru/594273
Система Orphus