Добро пожаловать на форум STSAT!Для просмотра всего форума,Вам нужно войти или зарегистрироваться.Внимание для новичков!Чтобы скачать файл нужно написать 2 сообщения на форуме согласно темы.

Хакеры, взломы, вирусы

Хакеры, взломы, вирусы

Сообщение студент » 16 авг 2016, 06:51


Хакеры, взломы, вирусы

Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 14151
Зарегистрирован: 14 авг 2016, 17:08
Points: 16597890.00
Bank: 0 Points
Медали: 3
Администратор (1) Veteran STSAT (1) Друзья (1)
Cпасибо сказано: 7838
Спасибо получено: 7726 раз в 5720 сообщениях
Баллы репутации: 5557

За это сообщение пользователю студент "Спасибо" сказали
ANZOR, mr.distryanov, yura876

Re: Хакеры, взломы, вирусы

Сообщение студент » 28 сен 2019, 14:26

Кибератака нарушила работу заводов Rheinmetall в трех странах


По оценкам компании, период восстановления после атаки займет примерно 2-4 недели, а убытки составят €3 млн - €4 млн в неделю.

Немецкий концерн Rheinmetall, специализирующийся на машиностроении, производстве военной техники, вооружений и комплектующих для автомобилей, сообщил о кибератаке, которая повлекла за собой «значительные сбои» в работе заводов компании в Бразилии, Мексике и США.

Согласно пресс-релизу Rheinmetall Group, инцидент произошел вечером во вторник, 24 сентября. В результате атаки IT-инфраструктура подразделения Rheinmetall Automotive оказалась заражены вредоносным ПО. Представители компании не раскрыли подробности инцидента, также неизвестно, о каком вредоносном ПО идет речь. Отмечается, что в результате атаки пострадали только системы Rheinmetall Automotive, инфраструктура других подразделений концерна затронута не была.

По оценкам компании, период восстановления после атаки займет примерно 2-4 недели, а убытки составят €3 млн - €4 млн в неделю.

Концерн Rheinmetall пополнил список промышленных предприятий, подвергнувшихся кибератакам за последние семь месяцев. К примеру, в марте нынешнего года жертвой вымогательского ПО Locker Goga пал крупнейший производитель алюминия Norsk Hydro. В том же месяце от атак вредоноса пострадали производители смол, силиконов и других материалов Hexion и Momentive, а в апреле японский производитель оптического оборудования HOYA был вынужден на три дня приостановить работу своего завода в Таиланде из-за криптомайнера.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 14151
Зарегистрирован: 14 авг 2016, 17:08
Points: 16597890.00
Bank: 0 Points
Медали: 3
Администратор (1) Veteran STSAT (1) Друзья (1)
Cпасибо сказано: 7838
Спасибо получено: 7726 раз в 5720 сообщениях
Баллы репутации: 5557

За это сообщение пользователю студент "Спасибо" сказали
mr.distryanov

Re: Хакеры, взломы, вирусы

Сообщение студент » 02 окт 2019, 12:28

Киберполиция закрыла ресурс, который использовался для создания ботоферм
02.10.2019 11:56

Киберполиция прекратила деятельность сервиса для регистрации разных аккаунтов в мессенджерах, соцсетях и почтовых сервисах


Сотрудники киберполиции и следователи Главного управления Нацполиции Украины разоблачили сервис для массовой рассылки электронных сообщений. Об этом сообщается на сайте Нацполиции Николаевской области.

Ресурс использовался для создания ботоферм, рассылки спамовых сообщений и регистрации электронных почт, с которых осуществлялись анонимные сообщения о заминировании.

«Установлено, что все работы сервиса проводились исключительно по заказу заинтересованных клиентов. С помощью этого ресурса можно было купить активированные учетные записи в большом количестве к различным почтовым ресурсам, социальным сетям, платежным системам. При этом, продавались и верифицированы учетные записи, стоимость которых была значительно больше», – сообщает киберполиция.
Киберполиция закрыла ресурс, который использовался для создания ботоферм

Такие услуги использовались обычно для осуществления анонимной массовой рассылки сообщений о якобы выигрыше автомобиля (денег), уплаты несуществующего долга и тому подобное. Сервис предоставлял возможность своим клиентам осуществлять спам-рассылки и регистрировать аккаунты на различных ресурсах, требующих для регистрации номер телефона с последующей верификацией (социальные сети, электронная почта и т.д.).

Для защиты сетей использовались VPN и TOR сервисы.

Полицейские провели обыски в Киеве, Одессе, Львове, Николаеве, Ровно и Херсоне. Изъято оборудование, которое использовалось для ведения такой деятельности. Технику направлены на экспертизу.

Ранее сотрудники Киберполиции остановили в Мариуполе деятельность пиратского сервиса, который предоставлял доступ к порядка 2,5 тысяч различных телеканалов и около 5 тысяч фильмов.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 14151
Зарегистрирован: 14 авг 2016, 17:08
Points: 16597890.00
Bank: 0 Points
Медали: 3
Администратор (1) Veteran STSAT (1) Друзья (1)
Cпасибо сказано: 7838
Спасибо получено: 7726 раз в 5720 сообщениях
Баллы репутации: 5557

За это сообщение пользователю студент "Спасибо" сказали
mr.distryanov

Re: Хакеры, взломы, вирусы

Сообщение студент » 02 окт 2019, 19:35

Хакерская атака обойдется датской компании в рекордные 95 миллионов долларов

Датская компания Demant идет на печальный рекорд: сумма понесенных убытков вследствие кибератаки может достичь 95 миллионов долларов. Ранее более серьезный ущерб в результате действий киберпрестпуников был нанесен лишь службе курьерской доставки FedEx и мировому лидеру контейнерных перевозок Maersk. Обе компании сообщили об убытках в размере порядка 300 миллионов долларов, в обоих случаях причиной проблем стала охватившая весь мир эпидемия зловреда NotPetya.

В случае с Demant информация о кибератаке появилась еще 3 сентября, однако подробности до сих пор неизвестны. Датская компания является одним из крупнейших в мире производителей слуховых аппаратов и кохлеарных имплантатов. Известно, что атака практически полностью парализовала всю IT-инфраструктуру Demant. Была нарушена работа предприятий компании по всему миру – в Мексике, Польше, Дании, Франции и странах Азиатско-Тихоокеанского региона. Наблюдатели сходятся во мнении, что проблемы такого масштаба, вероятнее всего, были вызваны инфицированием пострадавших систем зловредом-шифровальщиком.

При этом финансовый ущерб мог оказаться еще выше, однако компания планирует компенсировать порядка 14,6 миллиона долларов за счет страховки от киберинцидентов. Сообщается также, что само восстановление IT-инфраструктуры Demant оценивается примерно в 7,3 миллиона долларов. Большую же часть убытков компания понесет из-за падения объемов производства и невозможности своевременно отгружать продукцию заказчикам.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 14151
Зарегистрирован: 14 авг 2016, 17:08
Points: 16597890.00
Bank: 0 Points
Медали: 3
Администратор (1) Veteran STSAT (1) Друзья (1)
Cпасибо сказано: 7838
Спасибо получено: 7726 раз в 5720 сообщениях
Баллы репутации: 5557

За это сообщение пользователю студент "Спасибо" сказали
mr.distryanov

Re: Хакеры, взломы, вирусы

Сообщение студент » 05 окт 2019, 18:53

Хакер выставил на аукцион данные всех работающих граждан Бразилии

Хакер под ником X4Crow объявил на нескольких киберкриминальных интернет-форумах о том, что выставляет на аукцион базу данных, содержащую персональную информацию 92 миллионов граждан Бразилии. Речь идет о базе данных объемом в 16 гигабайт в формате SQL. Информация в обязательном порядке включает в себя имя гражданина, его дату рождения, пол и национальный номер налогоплательщика. Во многих случаях она содержит также адреса электронной почты и проживания, информацию о работе и образовании и другие данные.

X4Crow утверждает, что база данных не содержит дубликатов и хранит информацию «почти всех граждан Бразилии». Последнее утверждение явно ошибочно: население Бразилии на данный момент составляет порядка 210 миллионов человек. Очевидно, хакер имел в виду всех работающих граждан страны, число которых оценивается примерно в 93 миллиона человек. Ресурс Bleeping Computer смог получить образцы выставленных на продажу данных и подтвердить подлинность информации.

Хакер установил стартовую цену на базу данных в сумме 15 тысяч долларов с шагом торгов в 1 тысячу. Также он предлагает и другие услуги. По имени, номеру мобильного телефона или номеру налогоплательщика гражданина Бразилии он готов предоставить большие объемы его персональных данных, вплоть до номера паспорта или водительского удостоверения и регистрационных номеров принадлежащих ему автомобилей. Все это наводит экспертов по кибербезопасности на мысль о том, что X4Crow смог получить доступ к правительственным базам данных.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 14151
Зарегистрирован: 14 авг 2016, 17:08
Points: 16597890.00
Bank: 0 Points
Медали: 3
Администратор (1) Veteran STSAT (1) Друзья (1)
Cпасибо сказано: 7838
Спасибо получено: 7726 раз в 5720 сообщениях
Баллы репутации: 5557

За это сообщение пользователю студент "Спасибо" сказали
mr.distryanov

Re: Хакеры, взломы, вирусы

Сообщение студент » 05 окт 2019, 19:31

США, Россия и Украина «производят» более половины всего мирового спама

Компания Data61+ представила результаты своего исследования вредоносной активности в глобальной сети в период с 2007 по 2017 годы. Оно опирается на анализ 51,6 миллиона отчетов о различных киберинцидентах и охватывает 662 тысячи уникальных IP-адресов. Ученые использовали технологии машинного обучения для анализа и каталогизации вредоносной активности. По словам Дали Каафара, ведущего исследователя Data61+, его команде удалось создать самую крупную общедоступную базу данных подобного рода.

Исследователи выделили шесть категорий вредоносной активности: распространение вредоносного ПО, фишинг, спам, мошеннические онлайн-сервисы, потенциально нежелательные программы и эксплойты. По каждой из них сделано немало интересных наблюдений. Например, выяснилось, что более 60 процентов всех спам-сообщений за период с 2007 по 2017 годы были разосланы из трех стран мира: США, России и Украины. Среди других наблюдений – констатация того факта, что резкий рост фишинговой активности начался в 2009 году и совпал с моментом массового распространения смартфонов. К 2017 году доля фишинга поднялась до 30% от всей вредоносной активности. В целом же эта активность стремительно растет: если в 2007 году за день фиксировалось лишь несколько сотен отчетов о киберинцидентах, то в 2017 году их количество увеличилась до одного миллиона.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 14151
Зарегистрирован: 14 авг 2016, 17:08
Points: 16597890.00
Bank: 0 Points
Медали: 3
Администратор (1) Veteran STSAT (1) Друзья (1)
Cпасибо сказано: 7838
Спасибо получено: 7726 раз в 5720 сообщениях
Баллы репутации: 5557

За это сообщение пользователю студент "Спасибо" сказали
mr.distryanov

Re: Хакеры, взломы, вирусы

Сообщение студент » 06 окт 2019, 13:56

ФБР США: «платить вымогателям нельзя, но иногда все-таки можно»

Федеральное бюро расследований США опубликовало обновленную версию рекомендаций для компаний, подвергшихся атакам с использованием зловредов-шифровальщиков. Ранее в этих рекомендациях говорилось, что компаниям не следует идти на сотрудничество с вымогателями и рассматривать возможность уплаты выкупа за возвращение доступа к заблокированным данным. При этом, выступая на различных конференциях по кибербезопасности, высокопоставленные представители ФБР несколько раз все же допускали возможность уплаты выкупа в подобных ситуациях. Судя по всему, теперь эта позиция стала официальной. В новой редакции рекомендаций ФБР, в частности, говорится: «ФБР признает, что, столкнувшись с невозможностью продолжать ведение бизнеса [вследствие атак зловредов-шифровальщиков], руководителям следует рассмотреть все имеющиеся в их распоряжении варианты, чтобы наилучшим образом защитить интересы своих акционеров, сотрудников и клиентов».

Главных аргументов против уплаты выкупа два. Первый состоит в том, что, выплачивая деньги, жертвы тем самым подпитывают аппетиты киберпреступников, побуждая их к новым атакам. Второй же сводится к тому, что даже и после уплаты выкупа жертвы не всегда получают необходимый ключ для расшифровки данных, либо часть информации оказывается безнадежно поврежденной и не подлежит восстановлению. Вторая проблема, безусловно, крайне сложна. Компаниям, пострадавшим от атак, рекомендуется рассматривать сделку с вымогателями лишь как крайнюю меру, и идти на нее только под наблюдением специалистов по кибербезопасности, способных оценить, насколько вообще возможно восстановление данных и будет ли работать полученный ключ. А вот отношение к первому аргументу в последнее время изменилось – причем не только у правоохранителей, но и у экспертов по информационной безопасности. Они сходятся во мнении, что атаки шифровальщиков слишком прочно зарекомендовали себя как прибыльный киберкриминальный бизнес, и даже дружный отказ множества жертв от сотрудничества не заставит хакеров прекратить эти атаки.

Главный же посыл новых рекомендаций ФБР заключается в том, что компаниям, пострадавшим от атак, следует в любом случае уведомить об инциденте правоохранительные органы. Таким образом, новые рекомендации можно свести к простой фразе: «Платить, конечно, нельзя, но если нет другого выхода, то можно. Главное – расскажите нам, вам ничего за это не будет».
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 14151
Зарегистрирован: 14 авг 2016, 17:08
Points: 16597890.00
Bank: 0 Points
Медали: 3
Администратор (1) Veteran STSAT (1) Друзья (1)
Cпасибо сказано: 7838
Спасибо получено: 7726 раз в 5720 сообщениях
Баллы репутации: 5557

За это сообщение пользователю студент "Спасибо" сказали
mr.distryanov

Re: Хакеры, взломы, вирусы

Сообщение студент » 06 окт 2019, 17:23

Группировка Turla использует новое вредоносное ПО для перехвата TLS-трафика

Один из методов распространения вредоноса задействует ранее обнаруженный троян COMPfun.


Киберпреступная группировка Turla (также известна как Venomous Bear или Waterbug) распространяет новое вредоносное ПО, получивший название Reductor, для перехвата зашифрованного TLS-трафика и заражения целевой сети. По словам исследователей из «Лаборатории Касперского», между Reductor и ранее обнаруженным трояном COMPfun есть сходство, указывающее на общего создателя. Как считают эксперты, троян COMPfun, предположительно разработанный Turla, используется в качестве загрузчика.

Злоумышленники применяют два разных метода для распространения Reductor. В первом варианте они используют установщики зараженного программного обеспечения с встроенными 32- и 64-разрядными версиями Reductor. Данные установщики могут быть представлены такими популярными программами, как Internet Download Manager, WinRAR, пиратские сайты и пр.

Во втором сценарии цели уже заражены трояном COMpfun, который использует атрибут COM CLSID для достижения персистентности на системе. Получив доступ к адресной строке браузера, троян может выполнить команду на загрузку дополнительных модулей с C&C-сервера, в том числе дроппер/расшифровщик Reductor.

Вредонос добавляет цифровые сертификаты из своего раздела на целевой хост и предоставляет операторам возможность добавлять дополнительные сертификаты удаленно через именованный канал (named pipe). Авторы вредоноса разрывают TLS-рукопожатие без перехвата интернет-трафика. Вместо этого они анализируют исходный код браузеров Mozilla Firefox и бинарный код Google Chrome для исправления соответствующих функций генерации псевдослучайных чисел (ГПСЧ) в памяти процесса. Браузеры используют ГПСЧ для генерации «случайной клиентской» последовательности для сетевого пакета в самом начале TLS-рукопожатия. Reductor добавляет зашифрованные уникальные аппаратные и программные идентификаторы для жертв в поле «случайный клиент». Для исправления функций системы ГПСЧ разработчики использовали небольшой встроенный дизассемблер длины команд от Intel.

Изображение

Изображение

«Вредоносное ПО не выполняет MitM-атаку. Однако изначально мы полагали, что установленные сертификаты могут способствовать атакам MitM на TLS-трафик, и поле «случайный клиент» с уникальным идентификатором в рукопожатии будет идентифицировать интересующий трафик. Дальнейший анализ подтвердил наши догадки», — сообщают исследователи.

Согласно данным телеметрии, злоумышленники уже имели некоторый контроль над сетевым каналом жертвы, благодаря которому они заменяли вредоносный установщик легитимным.

«Все сообщения C&C-сервера обрабатываются в отдельном потоке. Редуктор отправляет HTTP POST-запросы с уникальным идентификатором оборудования цели, зашифрованный с помощью AES 128, скриптам /query.php на C&C-сервере, указанным в его конфигурации», — поясняют исследователи.

Вредоносная программа получает команды с C&C-сервера для выполнения различных операций, которые включают скачивание и загрузку файлов, поиск имени хоста, обновление установленного цифрового сертификата, создание нового процесса, удаление пути к файлу, проверку подключения к интернету и пр.

Именованный канал (named pipe) — один из методов межпроцессного взаимодействия, расширение понятия конвейера в Unix и подобных ОС. Именованный канал позволяет различным процессам обмениваться данными, даже если программы, выполняющиеся в этих процессах, изначально не были написаны для взаимодействия с другими программами.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 14151
Зарегистрирован: 14 авг 2016, 17:08
Points: 16597890.00
Bank: 0 Points
Медали: 3
Администратор (1) Veteran STSAT (1) Друзья (1)
Cпасибо сказано: 7838
Спасибо получено: 7726 раз в 5720 сообщениях
Баллы репутации: 5557

За это сообщение пользователю студент "Спасибо" сказали
mr.distryanov

Re: Хакеры, взломы, вирусы

Сообщение студент » 07 окт 2019, 22:18

Исправлена уязвимость мессенджера Signal

Разработчики мессенджера Signal исправили опасную уязвимость Android-версии своего продукта. Signal является одним из первых защищенных мессенджеров и входит в число самых надежных в том, что касается обеспечения безопасности и конфиденциальности пользователей. Впервые использованные в нем алгоритмы шифрования были затем реализованы в таких популярных приложениях, как WhatsApp и Facebook Messenger. Тем не менее Signal не может считаться гарантированно лишенным изъянов.

Натали Силванович, исследователь Google Project Zero, обнаружила уязвимость, потенциально позволяющую задействовать Signal для слежки за пользователями. Для этого злоумышленнику, необходимо совершить голосовой вызов с помощью специально модифицированной версии клиента Signal и практически одновременно направить на вызываемое устройство сообщение, подтверждающее соединение. В этом случае соединение осуществляется раньше, чем адресат звонка может его услышать. Таким образом активируется микрофон устройства, и злоумышленники получают возможность слышать все, что происходит вокруг вызванного абонента, включая и все его разговоры. Уязвимость во многом схожа с той, которая была обнаружена в Apple FaceTime в январе нынешнего года.

К чести разработчиков Signal, они исправили проблему в тот же день, когда получили информацию от Натали Силванович. Всем пользователям Signal на Android-устройствах рекомендуется обновить свои приложения до версии 4.47.7.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 14151
Зарегистрирован: 14 авг 2016, 17:08
Points: 16597890.00
Bank: 0 Points
Медали: 3
Администратор (1) Veteran STSAT (1) Друзья (1)
Cпасибо сказано: 7838
Спасибо получено: 7726 раз в 5720 сообщениях
Баллы репутации: 5557

За это сообщение пользователю студент "Спасибо" сказали
mr.distryanov

Re: Хакеры, взломы, вирусы

Сообщение студент » 09 окт 2019, 19:15

Жертва зловреда наносит ответный удар

Немецкий программист Тобиас Фрёмель заслужил всеобщий восторг и уважение, признавшись в противозаконных действиях. Подробности случившегося весьма любопытны. Некоторое время назад хакеры, стоящие за атаками зловреда-шифровальщика Muhstik, предприняли очередную акцию. Muhstik известен уже около года и на сей раз был использован для инфицирования сетевых накопителей (серверов хранения данных) производства Тайваньской компании QNAP. Злоумышленники использовали brute-force атаку, чтобы взломать слабые предустановленные пароли сервиса phpMyAdmin устройств QNAP. Далее, получив контроль над ним, операторы зловреда зашифровали все файлы на сетевых накопителях.

В числе жертв атаки оказался и Тобиас Фрёмель. Он заплатил выкуп, чтобы вернуть свои файлы, но решил поквитаться с обидчиками. В ходе общения с хакерами и расшифровки данных с помощью предоставленного ими ключа программист смог почерпнуть немало информации и о самом зловреде, и об инфраструктуре киберпреступной группировки. В результате Фрёмель сумел взломать сервер киберпреступников и похитить их базу данных, содержащую 2858 ключей для расшифровки. Также анализ вредоносного ПО позволил ему создать универсальный инструмент для расшифровки любых заблокированных Muhstik файлов вообще без всяких ключей. И ключи, и инструмент для расшифровки выложены Фрёмелем в открытый доступ. В своем Twitter программист призвал всех жертв атак Muhstik обратить внимание на его сообщения и не платить выкуп.

Тобиас Фрёмель отказался от комментариев прессе, сославшись на то, что уже сказал все, что хотел, в своей публикации в Pastebin - там он, в частности, отметил: «Я знаю, что нарушил закон. Но если в этой ситуации есть злодей, то это не я». Эксперты отмечают, что действия Фрёмеля действительно являются противозаконными, и специалистам по кибербезопасности необходимо в подобных случаях действовать совместно с правоохранительными органами или хотя бы уведомлять их о своих намерениях. Тем не менее весьма сомнительно, что Фрёмель будет привлечен к ответственности за свой поступок.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 14151
Зарегистрирован: 14 авг 2016, 17:08
Points: 16597890.00
Bank: 0 Points
Медали: 3
Администратор (1) Veteran STSAT (1) Друзья (1)
Cпасибо сказано: 7838
Спасибо получено: 7726 раз в 5720 сообщениях
Баллы репутации: 5557

За это сообщение пользователю студент "Спасибо" сказали
mr.distryanov

Re: Хакеры, взломы, вирусы

Сообщение студент » 11 окт 2019, 19:03

Выставлены на продажу данные посетителей онлайн-форумов секс-услуг
11 Октября 2019


На нескольких хакерских ресурсах выставлены на продажу данные посетителей форумов EscortForumIt.xxx и Hookers.nl. Первый из них является итальянским, второй – голландским, и оба адресованы работникам сферы секс-услуг и их клиентам (в обеих странах проституция не запрещена законом). Похищенная информация включает имена учетных записей, адреса электронной почты и хеши паролей. Число предлагаемых на продажу записей данных с итальянского форума составляет порядка 33 тысяч, для голландского форума оно почти в десять раз выше – около 300 тысяч записей.

Исследователи отмечают, что для регистрации на подобного рода ресурсах пользователи, как правило, выбирают вымышленные имена. Однако адреса электронной почты во многих случаях включают реальные имена и фамилии людей, как в условном примере johnsmith@gmail.com. Так или иначе, адрес электронной почты часто помогает установить личность пользователя.

А потому нынешняя утечка почти неизбежно приведет к цепочке новых преступлений, наиболее вероятными из которых представляются шантаж и вымогательство в адрес пользователей, не склонных афишировать свою причастность к индустрии секс-услуг – ни в качестве работников, ни в качестве клиентов. Ответственность за взлом взял на себя болгарский хакер под ником InstaKilla. Он сообщил ресурсу ZDNet, что воспользовался уязвимостью CVE-2019-16759, выявленной в популярном форумном движке vBulletin в конце сентября.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 14151
Зарегистрирован: 14 авг 2016, 17:08
Points: 16597890.00
Bank: 0 Points
Медали: 3
Администратор (1) Veteran STSAT (1) Друзья (1)
Cпасибо сказано: 7838
Спасибо получено: 7726 раз в 5720 сообщениях
Баллы репутации: 5557

За это сообщение пользователю студент "Спасибо" сказали
mr.distryanov

Re: Хакеры, взломы, вирусы

Сообщение студент » 12 окт 2019, 19:05

Выявлена кампания кибершпионажа, нацеленная на российских дипломатов

Компания ESET раскрыла кампанию кибершпионажа, жертвами которой становятся исключительно русскоговорящие пользователи, в том числе – сотрудники государственных организаций и дипломатических служб РФ в Восточной Европе и Турции. Используемое в атаках вредоносное ПО, получившее название Attor, отличается высокой изощренностью и, судя по всему, было создано разработчиками, имеющими поддержку на государственном уровне. Зловред предположительно существует с 2013 года, но долгое время ему удавалось скрываться от внимания исследователей и защитных решений.

Attor обладает разветвленной модульной инфраструктурой, выстроенной вокруг центрального компонента – диспетчера. Он использует зашифрованное соединение для загрузки дополнительных модулей, в свою очередь закамуфлированных под защищенные шифрованием динамически подключаемые библиотеки – dll. Они полностью раскрываются лишь в памяти, используя ключ шифрования, встроенный в код диспетчера, а потому обнаружить и тем более расшифровать их – чрезвычайно нелегкая задача. Тем не менее исследователям ESET удалось выявить как минимум 8 дополнительных вредоносных модулей. Они ответственны за мониторинг системы инфицированного устройства, клавиатурный шпионаж, создание скриншотов, запись аудио, установление зашифрованного соединения с командными серверами через сеть Tor и ряд других функций.

Особое внимание экспертов ESET привлек модуль, собирающий данные подключенных к настольному компьютеру или ноутбуку устройств. Он использует набор АТ-команд, которые применялись еще в 1980-е годы для подключения к компьютерам GSM-модемов и мобильных устройств первых поколений. Это выглядит весьма странно, поскольку было бы куда проще похищать данные либо инфицировать зловредами современные устройства, подключаемые посредством USB-соединения. Однако создатели Attor полностью игнорируют эту возможность. В ESET предполагают, что это свидетельствует о чрезвычайной осведомленности организаторов атаки. Дело в том, что кастомизированные мобильные устройства и специально разработанные для них GSM-платформы нередко используются разведывательными службами для планирования и осуществления своих операций. Вероятно, именно участники этих операций в первую очередь интересуют организаторов атак Attor.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 14151
Зарегистрирован: 14 авг 2016, 17:08
Points: 16597890.00
Bank: 0 Points
Медали: 3
Администратор (1) Veteran STSAT (1) Друзья (1)
Cпасибо сказано: 7838
Спасибо получено: 7726 раз в 5720 сообщениях
Баллы репутации: 5557

За это сообщение пользователю студент "Спасибо" сказали
mr.distryanov

Re: Хакеры, взломы, вирусы

Сообщение mr.distryanov » 13 окт 2019, 06:21

Искусственный интеллект научили охотиться на хакеров

Специалисты из Массачусетского технологического института (MIT) и Калифорнийского университета в Сан-Диего (UCSD) разработали систему искусственного интеллекта, которая будет охотиться на хакеров.

Угон IP-адресов становится все более популярной формой кибератак. Это делается по целому ряду причин: от рассылки спама и вредоносных программ до кражи криптовалюты и данных банковских карт. По некоторыми оценкам только в 2017 году подобные инциденты затронули более 10 процентов всех доменов в мире. Пострадали даже крупные игроки вроде Amazon и Google. Что уж говорить о более мелких компаниях.

Защитные меры по предотвращению перехватов IP-адресов обычно предпринимаются уже тогда, когда атака совершена. Но что, если эти события можно было бы предсказать и впоследствии отследить злоумышленников? Руководствуясь этим тезисом, команда специалистов проанализировала способы, которыми пользовались «серийные взломщики» и натренировала свою нейросеть вычислять подозрительную активность. В итоге она смогла идентифицировать примерно 800 подозрительных сетей и обнаружила, что некоторые из них систематически захватывали IP-адреса в течение многих лет.

Для передачи данных между различными шлюзами используется динамический протокол маршрутизации (BGP). Однако у него есть два главных недостатка: отсутствует аутентификация и базовая верификация источника. Это делает его доступным для хакерских атак. Предоставив ИИ-алгоритму данные о совершенных в прошлом атаках, мы обучили модель искусственного интеллекта идентифицировать ключевые характеристики работы хакеров. Такие, как, например, множественные блокировки IP-адресов. — говорит ведущий автор работы Сесилия Тестарт.

Немного поясним, как работают хакеры. И как вообще происходит захват IP-адресов. При захвате BGP злоумышленник, грубо говоря, «убеждает» близлежащие сети, что лучший путь для достижения определенного IP-адреса — через их хакерскую сеть. Пропуская через свою сеть эти данные, хакеры могут перехватывать и перенаправлять трафик в своих целях. Сами разработчики алгоритма приводят такую аналогию: это как пытаться позвонить кому-то по стационарному телефону. Вам могут сказать, что записаться в ближайшее к вам заведение можно по определенному номеру. При этом вы не знаете о том, что подобные заведения есть и куда ближе к вашему местоположению.

Чтобы лучше определить тактику атак, группа ученых сначала извлекла данные по работе сетевых операторов за последние несколько лет. Исходя из этого, они смогли вывести корреляцию между взломом адресов и всплесками интернет-активности хакеров. После этого оставалось лишь «скормить» эти данные системе машинного обучения и «натаскать» ИИ.

Работа команды ученых — это первый шаг в создании автоматической системы предотвращения киберпреступлений. В будущем алгоритм будет лишь совершенствоваться. Полный отчет о проделанной работе и демонстрацию функционирующего ИИ по поиску хакеров ученые планирую представить уже в этом октябре на Международной IT-конференции в Амстердаме. Чуть позже они также обещают выложить на портал GitHub список обнаруженных ими подозрительных сетей.
Здесь надо быть своим. Или не быть совсем
Аватара пользователя

mr.distryanov
Администратор
Администратор
 
Сообщения: 7305
Зарегистрирован: 14 авг 2016, 21:33
Points: 8025436.00
Bank: 0 Points
Откуда: Николаевская обл. Украина
Медали: 4
Администратор (1) Зам админа (1) Veteran STSAT (1)
Друзья (1)
Cпасибо сказано: 8319
Спасибо получено: 7653 раз в 4659 сообщениях

Пол: Мужской
Ваш Знак зодиака: Овен
Ваша страна: Украина
Баллы репутации: 4568

За это сообщение пользователю mr.distryanov "Спасибо" сказали
студент

Re: Хакеры, взломы, вирусы

Сообщение студент » 13 окт 2019, 19:30

Установка шпионского чипа обходится злоумышленникам всего в $200

Атака может предоставить злоумышленнику удаленный доступ к устройству и отключить функции безопасности.

Исследователь безопасности Монта Элкинс (Monta Elkins) из фирмы FoxGuard продемонстрировал на примере прототипа, как можно собрать рабочий шпионский чип с помощью оборудования стоимостью всего $200. Исследователь решил показать, насколько легко и дешево можно внедрить крошечный шпионский чип в цепочку поставок оборудования компании, сообщает издание Wired.

Имея в распоряжении только инструмент для пайки горячим воздухом за $150, микроскопом за $40 и несколько микросхемам за $2, Элкинс смог перенастроить межсетевой экран от Cisco таким образом, что большинство IT-специалистов, вероятно, не заметят вмешательство. Элкинс использовал чип ATtiny85 размером около 5 мм с платы Digispark Arduino за 2$. После записи своего кода на чип исследователь снял его с платы Digispark и припаял к материнской плате межсетевого экрана ASA 5505 от Cisco. Он выбрал незаметное место, которое не требовало дополнительной проводки и дало чипу доступ к последовательному порту брандмауэра.

Элкинс запрограммировал крошечный чип на атаку, как только межсетевой экран загрузится в дата-центр жертвы. Он выполняет роль администратора, который обращается к настройкам межсетевого экрана, подключая компьютер напрямую к последовательному порту. Затем чип запускает функцию восстановления пароля, создает новую учетную запись администратора и получает доступ к настройкам межсетевого экрана. По словам Элкинса, в данном эксперименте межсетевой экран ASA 5505 от Cisco был самым дешевым вариантом, однако то же самое можно сделать с любым межсетевым экраном от Cisco с функцией восстановление пароля.

Данная атака может изменить настройки межсетевого экрана и предоставить злоумышленнику удаленный доступ к устройству, логам всех видимых соединений и отключить функции безопасности.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 14151
Зарегистрирован: 14 авг 2016, 17:08
Points: 16597890.00
Bank: 0 Points
Медали: 3
Администратор (1) Veteran STSAT (1) Друзья (1)
Cпасибо сказано: 7838
Спасибо получено: 7726 раз в 5720 сообщениях
Баллы репутации: 5557

За это сообщение пользователю студент "Спасибо" сказали
mr.distryanov

Re: Хакеры, взломы, вирусы

Сообщение студент » 14 окт 2019, 19:29

Воровство под видом трейдинга

Исследователь под ником MalwareHunterTeam сообщил об обнаружении очередной преступной схемы, нацеленной на активных пользователей криптовалют. Неизвестные злоумышленники основательно подошли к вопросу, объявив о создании ни много ни мало бесплатной трейдинговой платформы JMT Trader, позволяющей совершать операции с криптовалютами на ведущих биржах. Они также запустили весьма качественно сделанный сайт JMT Trader и аккаунт платформы в Twitter (последний, впрочем, не подает признаков жизни уже с июня).

Ссылка на загрузку самой программы JMT Trader ведет в GitHub-репозиторий, откуда можно скачать файлы для установки Windows- и macOS-версий, а также исходный код для компиляции платформы под Linux-системы. При этом файлы не являются вредоносными, более того, JMT Trader действительно позволяет выполнять все те операции, которые рекламирует. Это не должно удивлять, поскольку в реальности программа является всего лишь клоном легитимного ПО QT Bitcoin Trader. Однако в процессе установки запускается еще и загрузка программы CrashReporter.exe, которая является зловредом, хотя и не слишком известным: в настоящий момент она детектируется как вредоносная лишь 5 из 69 защитных решений в базе VirusTotal.

CrashReporter.exe – бэкдор, запускающийся при каждой авторизации пользователя в системе. Он устанавливает связь с командными серверами киберпреступников, похищает криптовалютные кошельки, логины и пароли, а также может использоваться для загрузки дополнительного вредоносного ПО. Исследователи отмечают, что нынешние атаки JMT Trader имеют немало общего с киберпреступной операцией AppleJeus, раскрытой специалистами «Лаборатории Касперского» в 2018 году. Предполагается, что за атаками AppleJeus стояли хакеры северокорейской группировки Lazarus.
Аватара пользователя

студент
Администратор
Администратор
 
Сообщения: 14151
Зарегистрирован: 14 авг 2016, 17:08
Points: 16597890.00
Bank: 0 Points
Медали: 3
Администратор (1) Veteran STSAT (1) Друзья (1)
Cпасибо сказано: 7838
Спасибо получено: 7726 раз в 5720 сообщениях
Баллы репутации: 5557

За это сообщение пользователю студент "Спасибо" сказали
mr.distryanov

Пред.

Вернуться в Новости интернета

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

В обязанности Администрации не входит контроль легальности или нелегальности передаваемой информации (любой, включая, но не ограничиваясь, информацией передаваемой между пользователями, внутренней пересылки информации в виде различных ссылок, текстов или архивов), определение прав собственности или законности передачи, приема или использования этой информации. Администрация не несёт никакой ответственности за пользователей данного форума!
cron