Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

24 сентября 2016 г.

[уязвимость] Экспертам удалось получить контроль над Tesla Model S на расстоянии 20 км

Исследователи проэксплуатировали ранее неизвестную уязвимость в ПО электромобилей.

Исследователи из Keen Security Lab (подразделение китайского интернет-гиганта Tencent) продемонстрировали атаку на электромобили Tesla Model S. Проэксплуатировав неизвестную ранее уязвимость в программном обеспечении машин, эксперты смогли активировать тормоза, открыть двери и сложить зеркала, находясь на расстоянии 20 км от автомобилей. Исследователи опубликовали видео, демонстрирующее атаку, однако не будут раскрывать подробности об уязвимости до тех пор, пока производитель ее не исправит.

Keen Security Lab осуществили атаку на Tesla Model S P85 и 75D, однако, по их словам, она работает и для других моделей Tesla. Эксперты работали над эксплоитом в течение нескольких месяцев и в итоге получили доступ к механизму, отвечающему за движение водительского сидения, включили индикаторы, открыли люк и активировали дворники. Кроме того, им удалось скомпрометировать сенсорный экран, контролирующий целый ряд функций автомобиля.

Как пояснили исследователи, атака осуществляется бесконтактным путем без какого-либо физического взаимодействия с транспортным средством. Эксперты получили доступ к системам как припаркованных, так и движущихся электромобилей.

Обновлено: Во вторник, 20 сентября, на следующий день после публикации видео с атакой Tesla исправила уязвимости. Как сообщил производитель, реакция компании последовала незамедлительно, несмотря на то, что, по ее оценкам, "риск для клиентов был очень невелик". 


Источник: Securitylab.ru

16 сентября 2016 г.

Эксперты продемонстрировали новый способ эксплуатации ПЛК

В отличие от червя Stuxnet, новый руткит не детектируется решениями безопасности.

Исследователи Али Аббаси (Ali Abbasi) и Маджид Хашеми (Majid Hashemi) разработали новый метод атаки на промышленные контроллеры, использующиеся для управления индустриальными процессами. В отличие от червя Stuxnet, созданным ими руткит не детектируется средствами обеспечения безопасности, сообщает Darkreading.

Руткит атакует непосредственно ПЛК, в то время как Stuxnet был нацелен на SCADA-системы промышленных предприятий, пояснил Аббаси. Вредонос работает на нижнем уровне АСУ, поэтому обнаружить его гораздо сложнее. Руткит способен функционировать на контроллерах любых торговых марок.

В ходе атаки специалисты внедрили вредоносный код в динамическую память устройства, что позволило им манипулировать процессами контроллера I/O, например, повысить температуру бойлера до взрывоопасной. Более подробную информацию об исследовании Аббаси и Хашеми представят в рамках конференции Black Hat Europe, которая пройдет в Лондоне в ноябре нынешнего года.

Напомним, в минувшем мае немецкие хакеры Ральф Спеннеберг (Ralf Spenneberg) и Майк Брюггеман (Maik Brüggeman) продемонстрировали первого червя для программируемых логических контроллеров. Вредонос способен распространяться по ПЛК, не заражая компьютер.


Источник: Securitylab.ru

[уязвимость] General Motors отзывает свыше 3 млн автомобилей из-за ошибки в ПО

Ошибка в ПО модуля датчиков и диагностики может привести к тому, что в случае аварии не сработают подушки безопасности.

В прошлую пятницу, 9 сентября, компания General Motors уведомила владельцев порядка 3,64 млн автомобилей своего производства о необходимости перепрошить программное обеспечение модуля датчиков и диагностики (SDM). Причиной является ошибка в ПО, из-за которой в случае аварии не срабатывают подушки безопасности и преднатяжители ремней безопасности.

Согласно уведомлению компании, проблема возникает «при определенных редких обстоятельствах, если столкновению предшествовало событие, повлиявшее на динамику транспортного средства». Что подразумевается под «редкими обстоятельствами», в General Motors не уточняют, однако, по данным Reuters, из-за ошибки в ПО один человек уже погиб и еще трое получили серьезные травмы.

Проблема затрагивает следующие марки автомобилей производства General Motors:

  • Buick LaCrosse, Chevrolet SS и Spark EV 2014-2016 годов выпуска;

  • Chevrolet Corvette, Trax, Caprice PPV и Silverado 1500; Buick Encore и GMC Sierra 1500 2014-2017 годов выпуска;

  • Chevrolet Tahoe, Suburban и Silverado HD; GMC Yukon, Yukon XL и Sierra HD; Cadillac Escalade и Escalade ESV 2015-2017 годов выпуска. 


Источник: Securitylab.ru

13 сентября 2016 г.

Исследователи разработали метод атаки на 3D-принтеры при помощи смартфона

Атакующему потребуется запрограммировать датчики смартфона на считывание звуковых и электромагнитных волн, исходящих от 3D-принтера.

Команда исследователей из Университета штата Нью-Йорк в Буффало разработала метод извлечения данных с 3D-принтера при помощи обычного смартфона. Для этого атакующему потребуется всего лишь запрограммировать встроенные датчики смартфона на считывание звуковых и электромагнитных волн, исходящих от 3D-принтера во время печати.

Расположив смартфон рядом с устройством ученым удалось считать информацию о печатаемом объекте и использовать ее для создания 3D-модели на другом принтере. По словам экспертов, для обеспечения высокой точности распознавания формы печатаемого объекта смартфон должен находиться в непосредственной близости от принтера. Разместив телефон в 20 см от печатной машины, авторы смогли обеспечить 94%-ю точность распознавания формы объектов невысокой сложности, например, ограничителя для дверей. Для более сложных объектов, таких как автозапчасти или медицинские устройства, точность снижалась, но не опускалась ниже 90%.

Большая часть данных (80%) поступает из электромагнитных волн, остальные – из звуковых. Как пояснили эксперты, смартфоны позволяют извлечь достаточный объем данных, что ставит под угрозу сохранность конфиденциальной информации. Воспользовавшись вышеуказанным методом, злоумышленники могут незаметно похищать объекты интеллектуальной собственности, реализуемые в печатном объекте.


Источник: Securitylab.ru

Слишком громкий звук на 10 часов вывел из строя дата-центр европейского банка

Использовавшийся в ходе тестирования системы пожаротушения газ издавал звук, повредивший десятки жестких дисков.

Дата-центр финансовой организации ING Bank в Бухаресте (Румыния) вышел из строя на 10 часов в результате пожарных учений. Причиной инцидента послужил редкий феномен – десятки жестких дисков были повреждены из-за слишком громкого звука, издаваемого использовавшимся в ходе учений инертным газом.

Целью учений было протестировать работу установленной в дата-центре системы пожаротушения. Как правило, для тушения пожара в центрах обработки данных используется инертный газ, поскольку он не оказывает на оборудование химического воздействия и лишь немного повышает температуру.

Газ хранится в баллонах и при необходимости с большой скоростью высвобождается из распылителей, равномерно распределяясь о всему помещению. Давление в дата-центре ING Bank оказалось выше, чем предполагалось, и в процессе распыления газ издавал громкий звук, превышающий 130 дБ. Акустические волны вызвали вибрацию, которая и вывела из строя жесткие диски. Вибрация с корпусов передалась на головки чтения/записи, что вызвало их смещение.  

Источник: Securitylab.ru

10 сентября 2016 г.

Принтеры оказались самыми уязвимыми устройствами в сфере «Интернета вещей»

Многие современные принтеры, поддерживающие протокол печати через интернет, предлагают общий доступ к файлам.

Маршрутизаторы более не являются самыми уязвимыми устройствами в интернете, уступив пальму первенства принтерам, утверждает исследователь компании BitDefender Богдан Ботезату (Bogdan Botezatu).

«Мы получаем огромное количество данных телеметрии в нашей лаборатории. Маршрутизатор уже не является самым худшим устройством в интернете. Теперь это принтер», - приводит издание The Register слова эксперта.

Это довольно громкое утверждение, учитывая, что в последнее время появилось немало сообщений об уязвимостях в маршрутизаторах того или иного производителя. К примеру, в конце августа нынешнего года в маршрутизаторе производства китайской компании BHU были обнаружены множественные уязвимости, позволяющие злоумышленникам осуществлять различные действия. В частности, обойти механизм аутентификации, просмотреть системный журнал, перехватить трафик, внедрить бэкдор и даже выполнить команды с правами суперпользователя.

По словам исследователя, многие современные принтеры, поддерживающие протокол печати через интернет, предлагают общий доступ к файлам. При этом значительное количество пользователей не считают нужным менять заводские настройки и отключить данную опцию. Соответственно, злоумышленнику не составит труда получить доступ к важным конфиденциальным документам.

Ранее исследователи из Нью-Йоркского университета предупредили о том, что подключенные к интернету 3D-принтеры могут использоваться не только для создания трехмерных объектов, но и для промышленного шпионажа. К примеру, преступники могут удаленно получить контроль над устройством и внести изменения в процесс производства.


Источник: Securitylab.ru

[инцидент] Турецкие хакеры атаковали аэропорт в Вене

Атака является акцией протеста против проявленного руководством аэропорта «расизма».

Министерство внутренних дел Австрии расследует неудавшуюся попытку кибератаки на аэропорт Вены, предположительно осуществленную турецкими хакерами из Aslan Neferler Tim. Группировка, также известная как Lion Soldiers Team, сообщила в Twitter об атаке на аэропорт Вены в прошлые выходные.

По словам хакеров, их действия являются ответом на «расизм», проявленный руководством аэропорта. Вероятно, имеется в виду произошедший недавно случай, когда турецким гражданам было отказано в предоставлении временной визы. Пассажиры летели рейсом, совершившим вынужденную посадку в Вене по техническим причинам. Из-за отказа выдать визы они не смогли выйти из здания аэропорта, снять номер в отеле и были вынуждены ночевать в зале ожидания.

Как заявляют хакеры, они выступают против нападок на «мусульман и турков». Полиция отказалась комментировать инцидент.  

Источник: Securitylab.ru

Минобороны РФ испытывает новую систему взлома вражеских беспилотников

Комплекс может глушить сигнал управления дроном, взламывать бортовой компьютер и перехватывать управление устройством.

Министерство обороны России проводит испытания нового радиоэлектронного комплекса «Шиповник-АЭРО», который может глушить сигнал управления беспилотным летательным аппаратом, взламывать бортовой компьютер и перехватывать управление устройством.

Как сообщают «Известия» со ссылкой на осведомленный источник в ведомстве, разработка уже включена в список перспективных систем борьбы с беспилотниками, которые планируется взять на вооружение. По словам создателя «Шиповник-АЭРО» ВНИИ «Эталон», решение способно идентифицировать и глушить сигналы управления неприятельскими дронами в радиусе порядка 10 км, выбирая тип помехи на основе параметров цели. Комплекс может перехватить сигнал управления беспилотником, расшифровать его и получить полный контроль над устройством.

Ознакомившись с проектом, Минобороны подготовило свои замечания, которые будут направлены разработчику комплекса. После доработки за испытание системы возьмутся военные специалисты. По оценкам ведомства, первые поставки «Шиповник-АЭРО» начнутся в ближайшие два-три года. 


Источник: Securitylab.ru

5 сентября 2016 г.

Индийская компания продает уязвимости нулевого дня в АСУ ТП Siemens за €2 млн

Aglaya предлагает целый спектр разнообразных услуг, от заказных DDoS-атак до «кибероружия».

Летом 2014 года малоизвестный подрядчик из Нью-Дели (Индия) вознамерился прорваться на многомиллиардный рынок правительственных эксплоитов и шпионского ПО. С целью привлечь потенциальных клиентов компания Aglaya выпустила весьма впечатляющую рекламную брошюру. В 20-страничном документе представлены инструменты для шпионажа и криминалистической экспертизы, как правило предлагаемые производителями на закрытых конференциях с участием правительств стран мира.

Брошюра, полученная журналистами Motherboard и никогда ранее не публиковавшаяся, проливает свет на рынок весьма спорных инструментов из арсенала правоохранительных органов и спецслужб. Данный документ, а также опубликованный недавно увесистый каталог продуктов британской компании Cobham являются наглядным примером растущей популярности коммерческих инструментов для слежения.

Согласно брошюре, всего за €3 тыс. Aglaya предлагает покупателям шпионское ПО для Android- и iOS-устройств, а за €250 тыс. компания берется отследить любой смартфон в мире. По существу, Aglaya предлагает стандартный набор услуг, предоставляемый такими компаниями как Hacking TeamFinFisher и NSO Group, продававшей не имеющий аналогов инструмент для взлома iOS-устройств Pegagus.

Помимо стандартного пакета услуг, у Aglaya есть еще козыри в рукаве. Компания готова в течение 8-12 недель модифицировать результаты выдачи в поисковых системах и новостную ленту в таких соцсетях, как Facebook и Twitter, с целью «манипуляции текущими событиями». Данная услуга получила название «Weaponized Information» («Информационное оружие»).  В рамках услуги компания готова проводить операции «infiltration» («фильтрация»), «ruse» («уловка») и «жало» («sting»), направленные на «дискредитацию цели», будь то «отдельное лицо или компания». Длительность операции составляет 8-12 недель и стоит €2,5 тыс.  

Помимо прочего, Aglaya предлагает сервис «DDoS-атака как услуга» за €600 в день. За $1 млн компания продает «кибероружие» для атак на электростанции и другие объекты критической инфраструктуры. За €2 млн желающие могут приобрести уязвимости нулевого дня в промышленном оборудовании производства Siemens.         

Источник: Securitylab.ru

2 сентября 2016 г.

[ZLONOV.ru] Travelata: если ведёшь себя как мошенник, тебя за него и примут

ZLONOV.ru
Пост Travelata: если ведёшь себя как мошенник, тебя за него и примут опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

Уже более миллиона IoT устройств входят в состав различных ботнетов

Исследователи Level 3, совместно с коллегами из компании Flashpoint, представили отчет, который наглядно демонстрирует: ботнеты, состоящие из различных IoT-устройств, эффективны и пользуются большой популярностью в киберкриминальных кругах. Семейство малвари, известное под названиями Gafgyt, Lizkebab, BASHLITE и Torlus, заразило уже более миллиона устройств, и исследователи сообщают, что в состав одного из IoT-ботнетов входят более 120 000 ботов.

В начале июля 2016 года специалисты компании Arbor Networks рассказали о том, что ботнеты, состоящие из различных IoT-девайсов и построенные на базе LizardStresser и его форков, множатся день ото дня. Тогда специалисты сообщали об обнаружении более ста активных командных серверов.

Согласно данным Level 3 и Flashpoint, ситуация продолжает ухудшаться. Инструменты, созданные на базе исходных кодов LizardStresser, которые были опубликованы в открытом доступе еще в 2015 году, позволяют с легкостью заражать IoT-устройства и использовать их для осуществления DDoS-атак. Особенно уязвимы девайсы, работающие на базе x86, ARM и MIPS. Так как LizardStresser был изначально написан на C и ориентирован на Linux-архитектуры, IoT-устройства стали для хакеров настоящей золотой жилой. Исследователи пишут, что уже более миллиона подключенных к интернету устройств стали чьими-то ботами. К примеру, 96% ботов Gafgyt — это различные IoT-гаджеты. Подавляющее большинство зараженных устройств находится на территории Тайваня, Бразилии и Колумбии.

Исследователи пишут, что самыми популярными мишенями злоумышленников по-прежнему являются IP-камеры и цифровые видеорегистраторы (DVR). Именно они составляют основу подобных ботнетов — на них приходится 95% всех ботов. Только 4% заражений приходятся на домашние роутеры и веб-серверы Linux.

О том, что камеры видеонаблюдения и DVR-системы стали одной из главных целей хакеров, еще в июне 2016 года писали специалисты компании Sucuri. Тогда им удалось обнаружить ботнет, состоящий из 25 000 камер. Хотя обнаруженный аналитиками Sucuri ботнет был создан на базе другой, куда более сложной малвари, в его состав входили CCTV-системы, принадлежащие H.264 DVR бренду. Похожую картину обнаружили и исследователи Level 3: чаще всего заражению подвергаются устройства Dahua Technology и H.264 DVR.

Совместно эксперты Level 3 и Flashpoint изучили деятельность более чем 200 управляющих серверов Gafgyt, Lizkebab, BASHLITE и Torlus. Данное семейство вредоносов достаточно примитивно. Малварь написана на C и позволяет осуществлять UDP или TCP флуд, но «не умеет» использовать техники усиления и отражения трафика.

Кроме того, адреса командных серверов жестко прописаны в коде малвари, так что если серверы, к примеру, были арестованы правоохранительными органами, операторы ботнета не имеют возможности просто поднять новый командный сервер и вернуть себе контроль над ботами. После подобных инцидентов злоумышленникам нужна новая малварь, а также приходится повторно заражать всех ботов. К сожалению, по словам исследователей, эти неудобства не останавливают атакующих, особенно в свете того, что «дырявых» IoT-устройств становится больше с каждым днем, а для их взлома, как правило, нужна лишь простейшая автоматизированная брутфорс-атака.

Согласно отчету, в среднем ботнеты на базе Gafgyt «живут» около 13 дней. Самый крупный замеченный специалистами ботнет насчитывал более 120 000 устройств, а самый маленький — всего 74 девайса. Исследователи полагают, что операторы IoT-ботнетов не стремятся наращивать мощности, так как им вполне хватает нескольких тысяч зараженных гаджетов. Дело в том, что большинство зараженных устройств — это DVR и камеры наблюдения, а значит, они имеют огромную полосу пропускания для работы с видео, и вполне пригодны для организации DDoS-атак, мощностью в сотни Гбит/с.

Правоту экспертов хорошо иллюстрирует новый отчет, представленный 1 сентября 2016 года их коллегами из Arbor Networks. По данными компании, мощность DDoS-атак, осуществленных во время Олимпийский игр в Рио на различные организации, связанные с проведением Олимпиады, доходила до 540 Гбит/с (см. иллюстрацию выше). При этом исследователи утверждают, что основным инструментом для организации атак до начала Олимпиады выступал один единственный ботнет из IoT-устройств, при поддержке нескольких менее мощных ботнетов. Хотя злоумышленники в данном случае все же пользовались отражением и усилением UDP-трафика, а также подключали к делу NS, chargen, ntp и SSDP, обычный UPD и SYN флуд сыграл важную роль в ходе этой кампании.


Источник: «Хакер»

31 августа 2016 г.

[инцидент] Более 1 млн веб-камер заражены вредоносным ПО BASHLITE

96% от 1 млн зараженных устройств являются частью «интернета вещей».

Свыше миллиона веб-камер и видеорегистраторов потребительского класса являются частью ботнета, используемого злоумышленниками для осуществления DDoS-атак. По словам экспертов из Level 3 Threat Research Labs, устройства инфицированы вредоносным ПО семейства Lizkebab, (также известно как BASHLITE, Torlus, и Gafgyt).

«Мы были поражены результатами исследования. Выбрав довольно известные среднестатистические ботнеты, мы решили испытать себя и узнать о них как можно больше. Результаты оказались весьма неожиданными. Во время исследования вредоносного ПО BASHLITE обнаружилось, что оно связано с ботнетами, гораздо более организованными и структурированными, чем мы предполагали», - сообщил Дэйл Дрю (Dale Drew) из Level 3 Threat Research Labs.

За короткий промежуток времени количество устройств, входящих в ботнеты BASHLITE, увеличилось в разы. В июле текущего года исследователи обнаружили только 74 бота, подключенных к подконтрольным злоумышленникам C&C-серверам. Спустя некоторое время их число возросло до 120 тыс. Более подробное исследование BASHLITE вывело экспертов на 100 C&C-серверов. С некоторых из них осуществлялось до 100 DDoS-атак в день, 75% из которых продолжались не более пяти минут.

По словам экспертов, 96% от 1 млн зараженных устройств являются частью «интернета вещей», почти 4% составляют маршрутизаторы и менее 1% - Linux-серверы. Больше всего ботов исследователи зафиксировали на Тайване, в Колумбии и Бразилии. 


Источник: Securitylab.ru

30 августа 2016 г.

В системах предприятий нефтегазового комплекса Ирана обнаружено вредоносное ПО

Вредоносы находились в неактивном состоянии и никак не связаны со взрывами и пожарами, произошедшими в июле нынешнего года.

Эксперты Высшего национального совета по контролю над киберпространством Ирана выявили вредоносное ПО в системах двух предприятий нефтегазовой промышленности страны. Согласно информации агентства Reuters, вредоносы находились в неактивном состоянии и никак не связаны со взрывами и пожарами, произошедшими в июле нынешнего года.

Напомним, речь идет об инцидентах на нефтехимическом заводе Bou-Ali-Sina Petrochemical Company в Персидском заливе. Как предполагалось, взрывы могли быть вызваны кибератаками, в связи с чем к расследованию были привлечены специально созданные команды экспертов.

По словам начальника иранского управления обороны Голамреза Джалали, при периодической проверке нефтехимических установок было обнаружено и обезврежено вредоносное программное обеспечение. Чиновник отметил, что вредоносное ПО не играло роли при возгораниях.

Как отмечает агентство, Иран опасается угрозы кибератак со стороны зарубежных стран, в частности, США и Израиля. В прошлом предприятия нефтяной промышленности Ирана уже подвергались кибертакам. В 2010 году иранские заводы по обогащению урана стали жертвами вредоносного ПО Stuxnet, а два года спустя системы предприятий страны были атакованы червем Flame, разработанным для кибершпионажа.


Источник: Securitylab.ru

[ZLONOV.ru] Основные виновники инцидентов по мнению владельцев АСУ ТП

ZLONOV.ru
Пост Основные виновники инцидентов по мнению владельцев АСУ ТП опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

29 августа 2016 г.

Число атак китайских хакеров на российский ВПК выросло в 2,5 раза

Число хакерских атак из Китая на российские объекты в сфере обороны, ядерной энергетики и авиации увеличилось за первые семь месяцев 2016 года более чем в два с половиной раза – почти до двухсот, рассказал агентству Блумберг эксперт "Лаборатории Касперского" Александр Гостев.

За весь 2015 год были зафиксированы только 72 атаки, отметил специалист. Коллеги российского эксперта из калифорнийской компании Proofpoint также отмечают рост интереса китайских киберпреступников к России, передает агентство.

По оценкам "Лаборатории Касперского", китайские программы, используемые против России, включают более 50 семейств троянских вирусов, жертвами которых в 2016 году стали 35 компаний и ведомств. Гостев сообщил, что среди них семь оборонных предприятий, специализирующихся на производстве ракет, радаров и навигационных технологий, пять министерств, четыре авиационные компании и две организации из сферы ядерной энергетики, пишет ria.ru.

При этом эксперт полагает, что число нападений может быть намного выше, поскольку только десять процентов корпоративных клиентов "Касперского" делятся данными о хакерских атаках.

"Практически все объекты российского ВПК так или иначе за последние годы становились объектами атак со стороны китайских группировок" и "очевидно" теряли информацию, добавил Гостев.

По словам специалиста, в экспертной среде считают, что кибератаки либо спонсируются, либо одобряются государственными органами Китая, а в некоторых случаях к ним причастны военные хакеры. Гостев отметил при этом огромный объем похищенной информации, которую затем могут анализировать сотни специалистов.

"Они работают как пылесос, скачивая все без разбора. Потом кто-то анализирует похищенные данные", — считает Гостев.

По его мнению, атаки на Россию усилились после того, как лидеры Китая и США подписали в сентябре 2015 года соглашение, пообещав не заниматься экономическим шпионажем. Между тем, Москва и Пекин еще в мае 2015-го подписали документ об информационной безопасности, обязавшись не атаковать друг друга.


Источник: Anti-Malware.ru