Материалы по тегу: хакеры

13.07.2019 [00:26], Владимир Мироненко

Хакеры Magecart скомпрометировали более 17 000 сайтов благодаря неправильно настроенным хранилищам AWS S3

Группа авторов Magecart сменила тактику, перейдя от целенаправленных атак против тщательно отобранных целей к подходу «spray-and-pray» (на кого Бог пошлёт), взламывая всё, что попадёт под руку в надежде на то, что их вредоносный код осядет в каком-нибудь интернет-магазине. Magecart, напомним, ворует данные банковских карт, которые пользователи вводят на страницах оплаты в различных онлайн-сервисах. 

Согласно докладу, опубликованному компанией по кибербезопасности RiskIQ, новая тактика приносит свои плоды: за последние несколько месяцев, начиная с апреля, хакерам Magecart удалось внедрить вредоносный код на более чем 17 000 доменов, часть из которых входит в список Alexa Top 2000.

Для этого хакеры находили неправильно настроенные хранилища AWS S3 с открытым доступом на чтение и запись. Затем они запускали сканирование для выявления любых файлов JavaScript и при нахождении таковых внедряли в них код Magecart.

Хакеры Magecart «забрасывали» широкую сеть, меняя код множества сайтов, у многих из которых вообще нет функции электронной коммерции, в надежде найти достаточно ресурсов с поддержкой обработки платежей с использованием кредитных карт.

Среди жертв оказались компании Picreel, Alpaca Forms, AppLixir, RYVIU, OmniKick, eGain и AdMaxim, которые предоставляют услуги другим веб-сайтам. Поэтому после взлома нескольких файлов JavaScript злоумышленникам удалось распространить вредоносный код на тысячи других сайтов. Этот вредоносный код эффективен в поиске данных платёжных карт, включая имя владельца, номер карты, срок действия и код CVV.

Исследователи предупреждают, что группа злоумышленников Magecart продолжает постоянно сканировать Интернет на предмет неверно настроенных хранилищ Amazon S3, не имеющих надлежащей защиты с помощью пароля и аутентификации.

Постоянный URL: http://servernews.ru/990679
13.05.2019 [12:12], Сергей Карасёв

Китайские киберпреступники годами атакуют российские госструктуры

Специалисты компаний Positive Technologies и «Лаборатория Касперского» раскрыли кибергруппировку, атакующую российские государственные структуры с целью кражи информации.

Как сообщает газета «Коммерсантъ», преступное сообщество получило название TaskMasters. Связано это с тем, что для взлома компьютеров злоумышленники используют планировщик задач операционной системы.

Предварительное расследование говорит о том, что TaskMasters имеет китайские корни. Хакеры, как выясняется, годами атакуют российские госструктуры.

«После проникновения в локальную сеть злоумышленники исследуют инфраструктуру, эксплуатируют уязвимости, загружают на скомпрометированные узлы вредоносные программы и удалённо используют их для шпионажа», — говорят специалисты Positive Technologies.

По имеющейся информации, от атак TaskMasters пострадали как минимум 24 значимые российские организации из отраслей промышленности, строительства, энергетики, недвижимости и др.

«Атаки азиатских групп усложняются как по используемым техникам, так и по части сокрытия следов. Они годами могут оставаться незамеченными ни антивирусами, ни службами информационной безопасности, перекачивая гигабайты информации, файлов, документов и чертежей на свои серверы», — отмечают эксперты. 

Постоянный URL: http://servernews.ru/987322
05.06.2015 [13:41], Владимир Мироненко

Китай отвергает обвинения властей США в участии в хакерской атаке

Представители администрации США сообщили о масштабной хакерской атаке, которой подверглись компьютеры Управления кадровой службы США (Office of Personnel Management, OPM), хранящие данные о более чем 4 млн бывших и нынешних госчиновников. Федеральное бюро ведёт расследование обстоятельств одной из крупнейших утечек информации в истории государственных служб США.

REUTERS/KACPER PEMPEL

REUTERS/KACPER PEMPEL

Предположительно, несанкционированный доступ к данным госчиновников произошёл в декабре прошлого года. Первые подозрения по поводу этого возникли в апреле после обнаружения вредоносной активности в информационных системах OPM. А в начале мая департамент внутренний безопасности пришёл к выводу о происшедшем хакерском взломе, поставившем под угрозу данные о 4 млн госслужащих. Анонимный источник сообщил, что хакеры получили доступ к базе данных информационного центра, услугами которого пользуются различные федеральные агентства.

Представители ФБР не уточняют, какого рода информация могла попасть к злоумышленникам, и коснулась ли утечка других ведомств. Источник в правоохранительных органах, пожелавший сохранить анонимность, сообщил, что подозрения падают на хакеров из Китая.

Компьютеры OPM уже подвергались хакерской атаке в прошлом году, и тогда в качестве взломщиков тоже называли китайских программистов.

Пресс-секретарь китайского посольства в Вашингтоне назвал подобные бездоказательные обвинения безответственными и контрпродуктивными.  Он указал на то, что очень сложно отслеживать активность хакеров за пределами страны.

Постоянный URL: http://servernews.ru/915258
10.12.2014 [17:17], Сергей Карасёв

Российских хакеров назвали самыми опытными в мире

Консалтинговая компания MWR InfoSecurity, специализирующаяся на вопросах информационной безопасности, попыталась выяснить, хакеры из какой страны представляют наибольшую угрозу для киберпространства.

David Cheshire/Loop Images/Corbis

David Cheshire/Loop Images/Corbis

Опубликованные данные базируются на результатах опроса британских IT-экспертов. Приблизительно 34 % респондентов уверены, что наиболее профессиональные хакеры имеют российские корни. Ещё 18 % опрошенных заявили, что считают наиболее опытными хакерами выходцев из Китая.

Эксперты, принявшие участие в опросе, полагают, что высокий профессионализм зарубежных взломщиков объясняется несколькими причинами. Это, в частности, политическая мотивация, о чём заявили 17 % респондентов. Ещё 14 % опрошенных назвали высокий уровень образования, а 11 % — хорошее финансирование. Одновременное влияние всех трёх указанных факторов выбрали в качестве ответа 31 % респондентов.

Tetra Images/Corbis

Tetra Images/Corbis

В то же время компания MWR InfoSecurity подчёркивает, что не делает каких-либо определённых выводов о происхождении хакерских групп, поскольку отследить их активность и источник атак зачастую бывает крайне сложно. 

Постоянный URL: http://servernews.ru/906508
02.07.2014 [13:38], Дмитрий Приходько

Хакеры из Dragonfly 1,5 года саботировали работу крупнейших энергетических предприятий

Кибершпионаж сегодня используется не только для получения секретной государственной информации о военных и политических планах правительства других стран. Всё чаще в качестве потенциальной цели выбираются объекты, имеющие первостепенное экономическое значение, в частности — предприятия энергетического сектора. Согласно докладу представителей Symantec — фирмы из Купертино, занятой разработками ПО в сфере информационной безопасности, хакерская группа под названием Dragonfly продолжительное время вела «подрывную деятельность» в виртуальном пространстве. В её послужном списке значится ряд стратегически важных объектов, доступ к управлению процессами и ценнейшим секретным данным, которые сумела заполучить команда хакеров. В качестве целей для удара «Стрекоза» выбирала организации, занятые в энергетическом секторе, нефтепереработке и производстве, поставках крупного промышленного оборудования, газодобыче и других схожих отраслях.    

www.bea-tdl.de

www.bea-tdl.de

Для оперативного и незаметного получения контроля за системами крупных промышленных предприятий злоумышленники использовали троянцы, позволяющие мониторить, извлекать файлы и следить удалённым способом за действиями потенциальных жертв и даже отдавать команды для смены режима работы технологических машин. Вредоносное ПО, основой которого стали троянцы Backdoor.Oldrea («Энергетический медведь») и Trojan.Karagany, а также специально написанный под конкретную операцию код, попадало совсем нехитрым способом в чужую систему одновременно с загрузкой обновлений на компьютеры, имевших подключение к Всемирной сети. Также специалистами Dragonfly был задействован и старый добрый метод активного спама на адреса электронной почты.

www.malekal.com

www.malekal.com

Именно спам и стал первоначальной тактикой киберпреступников, как отработанный и эффективный. Вирусы попадали на почту руководителей и сотрудников компаний под видом PDF-вложений. Заголовки «заражённых» писем обычно имели две характерные особенности. Это были сообщения, в теме которых указывалось что-то вроде «Внимание» или «Урегулирование вопросов поставки», а вся входящая корреспонденция отправлялась с единого адреса в почтовой системе Gmail. Уже позже в ход пошла и более «тяжёлая артиллерия» в виде взлома официальных сайтов предприятий энергетической отрасли и грамотное перенаправление посетителей на инфицированные ресурсы, а также тщательного поиска на предмет уязвимости промышленных систем. 

pcworld.com

pcworld.com

Отправка почтового спама интенсивно практиковалась хакерами Dragonfly с начала февраля 2013 года и продолжалась до июня 2013 года, а под целенаправленный удар по данным Symantec попало не менее семи весьма крупных организаций. На почту каждой из них было выслано от одного до 84 писем схожего характера. 

Аналитикам при сборе материалов и статистики атак удалось установить следующие временные показатели, определяющие географическую принадлежность киберпреступников. Хакеры действовали преимущественно с понедельника по пятницу, а их активность начиналась около 9 часов утра и продолжалась до 18 часов по часовому поясу UTC+4. Стоит отметить, что эксперты считают местом базирования группы одну из стран Восточной Европы, предположительно — Российскую Федерацию. Об этом недвусмысленно намекают и указанный в отчёте часовой пояс, и пестрящие заголовки зарубежных интернет-изданий про причастность именно российских специалистов. В указанный UTC+4 попадает достаточно большая территория России, а также Армения, Грузия, Оман, Маврикий и ещё пара не слишком активных с точки зрения хакерской деятельности государств. 

twitter.com

twitter.com

Пожалуй, одной из самых грандиозных кампаний стала атака с помощью любимца программистов Dragonfly — «Энергетического медведя». По имеющимся данным, опасность данной программы состояла в том, что она позволяла не просто наблюдать за происходящими процессами в системе и открывать доступ к файлам. Хакерам, внедрившим в промышленный комплекс «Энергетического медведя», открывался доступ к средствам контроля и настройками функционирующих в заданном режиме энергетических установок, вроде ветроагрегатов, турбин, компрессоров, газопроводов. Несмотря на то, что первоначальной задачей вредоносного ПО значилась исключительно пассивная роль мониторинга, модифицированные варианты открывали доступ к реальным и опасным инструментам саботирования, которое могло привести к экономическому краху и человеческим жертвам.

definicije.blogspot.com

definicije.blogspot.com

Второй наиболее часто внедряемый троянец — Backdoor.Oldrea — является вполне стандартной программой, созданной, вероятнее всего, силами самих хакеров. Он позволяет получать данные о всех установленных программах, извлекать данные из адресных книг почтовых клиентов и файлов. Затем все собранные сведения шифруются и оказываются уже на удалённом сервере, находящемся под управлением киберпреступников.

Что касается Trojan.Karagany, то он не является творением членов Dragonfly, а доступен для приобретения на «чёрном рынке». Первая его версия была обнаружена ещё в 2010 году, а нынешняя вариация троянца постоянно подвергалась модификациям в зависимости от конечной цели применения. 

Считается, что неизвестным удалось за 1,5 года инфицировать вирусом свыше 1000 организаций в 84 странах мира. Вредоносные действия Dragonfly распространились практически по всей планете, скомпрометировав деятельность организаций в США, Испании, Франции, Италии, Германии, Турции, Польше и т.д.

Постоянный URL: http://servernews.ru/823217
17.03.2011 [16:21], Георгий Орлов

Хакеры обнаружили музыкальное облако Google

Android-хакеры обнаружили, что облачный музыкальный сервис Google запущен и готов к работе — по крайней мере, для тех, кто готов возиться с внутренним устройством ОС Android Honeycomb. Многие ждали, что Google запустит свой облачный музыкальный сервис — онлайн-хранилище музыкальных коллекций пользователя — и именно это и было обнаружено при помощи медиа-проигрывателя Honeycomb. Желающие установить последнюю сборку ОС, еще не поддерживаемую Google, могут  синхронизировать свои музыкальные коллекции с облаком Google, а затем считывать треки обратно после удаления локальных файлов. Эта система, правда, имеет ограниченную ценность, и разве что только помогает освободить место на телефоне. Но Google, несомненно, выпустит и настольный клиент, так что музыка, синхронизированная с облаком, тогда может быть доступна с различных устройств.

 

Android


Подобный подход был опробован ранее поставщиками услуг, которые утверждали, что им не нужно беспокоиться о соблюдении авторских прав, поскольку положения о «добросовестном использовании» позволяют владельцам делать копии приобретенной ими музыки — и тот факт, что эти копии иногда оказываются расположенными в облаке, не имеет значения. В прошлом, однако, звукозаписывающие компании не относились с одобрением к таким аргументам. Трюк был повторен членами форума XDA Developers, некоторые из которых сообщили о возможности устойчивого прослушивания музыки из облака Google при помощи телефонов с установленной ОС Gingerbread. Встраивание синхронизации в медиа-проигрыватель Gingerbread демонстрирует намерение Google предоставить такую услугу, но трудно представить, что владельцы авторских прав оставят это без внимания. Однако в недавнем прошлом Google показала, что она не намерена считаться с их интересами, и, несомненно, будет вести себя подобным образом и сейчас.

Источник:

Постоянный URL: http://servernews.ru/594358
Система Orphus