31 июля 2017

В Китае арестованы создатели малвари Fireball, заразившей более 250 млн устройств

В июне 2017 года специалисты компании Check Point рассказали о масштабной adware-кампании Fireball, от которой пострадали более 250 млн устройств по всему миру (впрочем, специалисты Microsoft решили оспорить выводы коллег и сообщали лишь о 5 млн зараженных устройств).

Тогда сообщалось, что Fireball поражает браузеры пользователей и имеет две основные функции: одна заключается в способности запускать любой код и скачивать любые файлы на компьютер жертвы, а другая позволяет управлять трафиком пользователя, чтобы генерировать прибыль от рекламы. Хотя эксперты писали, что Fireball лишь устанавливает плагины и дополнительные конфигурации для увеличения рекламного трафика, они подчеркивали, что так же легко угроза может превратиться в распространителя любого другого вредоносного ПО.

Обычно Fireball попадает на компьютер жертвы в связке с другим ПО (вместе с Deal Wifi и Mustang Browser компании Rafotech, или совместно с такими решениями как Soso Desktop, FVP Imageviewer), которое скачивает пользователь, а часто даже без его согласия.

Интересно, что аналитикам Check Point удалось выяснить, что вредоносной кампанией управляет крупнейшее маркетинговое агентство Rafotech, расположенное в Пекине. Rafotech использует Fireball, чтобы управлять браузерами жертв и подменять поисковые системы и стартовые страницы, установленные по умолчанию, на фейковые поисковики, которые просто перенаправляют запросы на yahoo.com или google.com. Хуже того, поддельные поисковики способны собирать персональную информацию пользователей.

По данным прессы, которая цитирует источники в правоохранительных органах, среди 14 арестованных числятся три менеджера Rafotech и руководители компании, включая CEO, CTO и CFO. Также сообщается, что девять подозреваемых пытались спешно уничтожить информацию на своих компьютерах во время задержания. Все задержанные уже признали свою вину.

Полиция Пекина, в свою очередь, сообщает, что компания Rafotech была основана в 2015 году тремя студентами, которые оказались ответственны за разработку различных семейств adware: Youndoo, Trotux, Startpageing123, Luckysearch123, Hohosearch, Yessearches, теперь известных под общим названием Fireball. По подсчетам правоохранительных органов, этот бизнес принес Rafotech более 80 млн юаней (11, 8 млн долларов).


Источник: «Хакер»

29 июля 2017

Настоящие мотивы авторов Wannacry и ExPetr

Если считать что два — это совпадение, а три — тренд, то возможно пока рано считать WannaCry и ExPetr новым веянием среди APT атак. Но вообще, похоже.

Исследователи пытаются определить реальные мотивы, стоящие за каждой из этих глобальных эпидемий, и понять, в действительности ли эти инциденты являются признаком изменения тактики целевых атак на уровне государств.

«Лаборатория Касперского» провела сравнительный анализ WannaCry и ExPetr (оба зловреда использовали для распространения эксплойт EternalBlue). В результате эксперты пришли к выводу, что эти атаки «шифровальщиков-вымогателей» были эффективным прикрытием для актов саботажа.

«Первая APT-атака была стремительной, спонтанной и не столь технически грамотной, в то время как вторая оказалась сугубо практичной, гибкой и сфокусированной на цели», заключает «Лаборатория Касперского» в своем сравнительном обзоре. «Мы видим самое начало нового тренда — это необычная тактика, заключающаяся в маскировке APT-атаки, уничтожающей информацию, под действия вымогателя».

Именно такой подход использовали авторы ExPetr, распространяя шифровальщик-вымогатель, истинной целью которого было вовсе не получение выкупа. Ошибки в коде делали восстановление данных невозможным. Кроме того, немецкий провайдер сразу же заблокировал адреса электронной почты злоумышленников, так что данные жертв были обречены.

Исследователям не потребовалось много времени чтобы понять, что ExPetr изначально был замаскированной атакой вайпера (зловреда, уничтожающего информацию), целью которого были, в первую очередь, компании на Украине. Исследователи утверждают, что на зараженных компьютерах была перезаписана загрузочная запись жесткого диска (MBR), что уничтожило данные навсегда. Так что это была чистой воды диверсия. А сбор с жертв нескольких сотен долларов в биткойнах — последнее, что интересовало нападавших.

По мнению специалистов «Лаборатории Касперского», вся разница между ExPetr и такими атаками как Shamoon, Destover и Black Energy состоит в том, что они были более агрессивными и очевидными.

«Все они служили для уничтожения данных, и были совершенно явно доставлены жертвам для нанесения максимального ущерба. Что интересно, по времени они совпадали с масштабными политическими событиями», отмечают исследователи «Лаборатории Касперского». «Таким образом, действия, предпринимаемые для сокрытия саботажа можно считать интересным изменением тактики злоумышленников».

Авторы атаки WannaCry использовали целевые фишинговые письма со ссылками на файлы, размещенные в различных сервисах. Они были замаскированы под документы (резюме и опросники) а на самом деле были исполняемыми файлами, которые служили для заражения компьютеров. Атакующие не пытались забрать биткойны, заплаченные жертвами за восстановление информации, а также не были замечены за попытками усовершенствовать свой зловред, чтобы он начал приносить доход.

«Такой образ действий тоже может кое-что рассказать о злоумышленниках, их возможностях и интересах — они никуда не спешат, практичны и прячут свои настоящие цели достаточно странными способами», — говорят эксперты «Лаборатории Касперского».


Источник: Threatpost | Новости информационной безопасности

Кофемашина заразила компьютеры нефтехимического завода вымогательским ПО

Компьютеры одного из европейских нефтехимических заводов оказались заражены вымогательским ПО из-за кофемашины, которая была подключена к сети локального диспетчерского пункта предприятия. Об этом случае рассказал один из пользователей форума Reddit под псевдонимом C10H15N1.

По словам C10H15N1, инцидент произошел месяц назад. Сам он занимает должность инженера-химика в компании, которой принадлежит ряд нефтехимических заводов в Европе. На каждом заводе существует локальный диспетчерский пункт, где операторы наблюдают за работой систем. Мониторинг всех заводов осуществляется удаленно из центрального диспетчерского пункта. При возникновении проблемы операторы локального диспетчерского пункта обращаются в центральный и неполадка устраняется удаленно либо оператору передаются инструкции по решению проблемы.

Как рассказал C10H15N1, в один из дней на центральный диспетчерский пункт поступил звонок от одного из операторов, который сообщил о выходе из строя всех компьютеров локального диспетчерского пункта. При этом все системы завода работали нормально, пострадала только система мониторинга. Как оказалось, компьютеры были заражены вымогательским ПО (по всей видимости, речь идет о вымогателе WannaCry - прим. ред.), что довольно странно, поскольку они физически изолированы от внешней среды и находятся во внутренней сети.

После переустановки операционной системы на пострадавших компьютерах, работающих под управлением Windows XP, инфицирование происходило повторно. Выяснилось, что причина заключалась в зараженной кофемашине, которую сотрудники компании по сервисному обслуживанию подключили к изолированной сети Wi-Fi и внутренней сети диспетчерского пункта.


Источник: Securitylab.ru

20 июля 2017

Уязвимости в Segway Ninebot miniPRO позволяют получить контроль над гироскутером

Эксперт компании IOActive Томас Килбрайд (Thomas Kilbride) обнаружил ряд серьезных уязвимостей в Segway Ninebot miniPRO, которые позволяют удаленно получить полный контроль над транспортным средством.

Segway Ninebot miniPRO предлагает возможность дистанционного управления через сопутствующее приложение для смартфона. С его помощью пользователи могут обновлять ПО устройства, управлять подсветкой, провести диагностику, установить противоугонную сигнализацию и пр. Вместе с тем, безопасность Segway Ninebot miniPRO оказалась на столь низком уровне, что Килбрайду понадобилось всего 20 секунд на взлом и перехват управления электроскутером.

Одна из уязвимостей, выявленных исследователем, заключается в отсутствии механизмов защиты от взлома, в частности PIN-кода. Используя модифицированную версию приложения Nordic UART злоумышленник может подключиться к Segway Ninebot miniPRO по Bluetooth без необходимости ввода PIN-кода.

Вторая проблема состоит в отсутствии шифрования канала связи между приложением Ninebot и самим скутером. В результате злоумышленник может осуществить атаку «человек посередине» и внедрить вредоносный код.

Также отказалось, что производителем не предусмотрена проверка целостности файла прошивки. Таким образом атакующий может загрузить вредоносное обновление прошивки.

Наконец, GPS функция Rider Nearby в приложении Ninebot раскрывает местоположение скутера потенциальным хакерам и ворам.

Проэксплуатировав вышеописанные проблемы, злоумышленник может изменить настройки, скорость и направление движения скутера. Исследователь проинформировал производителя об уязвимостях, который устранил их в апреле нынешнего года.



Источник: Новости - SecurityLab.ru

19 июля 2017

«Дьявольская» уязвимость ставит под угрозу тысячи IoT-устройств

Исследователи компании Senrio обнаружили уязвимость в библиотеке gSOAP, ставящую под угрозу тысячи устройств «Интернета вещей» (IoT). Уязвимость CVE-2017-9765, получившая название Devil's Ivy, позволяет вызвать переполнение буфера, однако экспертам удалось с ее помощью выполнить код на уязвимой камере безопасности.

Проблема была обнаружена во время анализа прошивки камер безопасности Axis M3004. Когда исследователи уведомили о ней производителя, представители Axis сообщили, что уязвимость затрагивает 249 из 252 выпускаемых компанией моделей камер безопасности. Производитель уже выпустил обновления для своих продуктов. Разработчик библиотеки Genivia исправил уязвимость в версии gSOAP 2.8.48, вышедшей 21 июня текущего года.

По данным, указанным на сайте gSOAP, библиотека была загружена более 1 млн раз. Согласно подсчетам Senrio, Devil's Ivy затрагивает тысячи устройств.

gSOAP – библиотека с двойным лицензированием (бесплатная и коммерческая), широко используемая в разработке прошивки для встроенных устройств. Библиотека разработана компанией Genivia и позволяет производить продукты в соответствии с новейшими промышленными стандартами XML, XML Web services, WSDL и SOAP, REST, JSON, WS-Security, WS-Trust с SAML, WS-ReliableMessaging, WS-Discovery, TR-069, ONVIF, AWS, WCF и пр.


Источник: Новости - SecurityLab.ru

18 июля 2017

ФБР предупредило родителей об опасности IoT-игрушек

В понедельник, 17 июля, ФБР опубликовало уведомление для родителей, чьи дети играют с «умными» игрушками. Бюро рекомендовало внимательно проверить подключенных к интернету кукол, медведей и пр. на предмет угрозы конфиденциальности персональных данных.

Согласно уведомлению, многие игрушки с функционалом, базирующимся на облачных технологиях (например, распознавание речи), «могут представлять угрозу конфиденциальности и безопасности детей в связи с большим объемом персональной информации, которая может быть непреднамеренно раскрыта». Безопасности таких игрушек уделяется недостаточно внимания, поскольку производители прежде всего стремятся сделать их как можно более удобными в использовании и привлекательным для покупателей, считают специалисты ФБР.

«Потребители должны найти в интернете информацию обо всех известных проблемах в этих игрушках, обнаруженных исследователями или упомянутых в отзывах покупателей», - говорится в уведомлении. Кроме того, бюро рекомендовало родителям внимательно ознакомиться с положениями о защите конфиденциальных данных, которыми руководствуется производитель.

Напомним , ранее в этом году произошла утечка данных свыше 800 тыс. клиентов компании Spiral Toys, занимающейся производством «умных» плюшевых игрушек. Кроме того, в связи с угрозой безопасности данных в феврале нынешнего года Федеральное сетевое агентство Германии (Bundesnetzagentur) запретило линейку «умных» кукол «Моя подруга Кайла» (My Friend Cayla), назвав игрушку шпионским устройством.


Источник: Новости - SecurityLab.ru

Siemens пропатчила обход аутентификации в SiPass

Siemens выпустила несколько патчей для интегрированного сервера SiPass, в том числе закрыла возможность обхода аутентификации.

Данный продукт предназначен для управления физическим доступом на разных предприятиях, он поддерживает устройства чтения кредитных карт и встраивается в оборудование для видеонаблюдения. Siemens рекомендует использовать SiPass в больницах, аэропортах и на производстве.

В минувший четверг Группа быстрого реагирования на киберинциденты в сфере управления производственными процессами (ICS-CERT) выпустила информационный бюллетень, рекомендуя пользователям незамедлительно обновиться до SiPass v2.70, так как все предыдущие версии уязвимы. «В случае успешной эксплуатации эти уязвимости позволяют без аутентификации воспользоваться сетевым доступом к серверу для выполнения административных функций», – сказано в этом бюллетене.

Баг некорректной аутентификации CVE-2017-9939 оценен в 9,8 балла шкале CVSS (при максимуме 10), остальные три не столь критичны. Уязвимость CVE-2017-9940 возникла из-за неадекватного управления привилегиями и позволяет без соответствующих прав читать и записывать данные в файлах на SiPass-сервере из той же сети. CVE-2017-9941 провоцирует MitM-атаку: если злоумышленник находится в положении между сервером и встроенными клиентами, он сможет перехватывать их коммуникации. CVE-2017-9942 связана с неправильным хранением паролей, что открывает возможность для их восстановления локально.

Две бреши, закрываемые в Android-приложении SIMATIC Sm@rtClient, позволяют удаленно оперировать и управлять HMI-системами SIMATIC. По данным Siemens, эти проблемы актуальны для Android-клиентов SIMATIC WinCC Sm@rtClient и Sm@rtClient Lite выпусков ниже 1.0.2.2. «Успешная эксплуатация этих уязвимостей позволяет атакующему с привилегированным положением в сети читать и модифицировать данные в пределах TLS-сессии», – гласит соответствующий бюллетень ICS-CERT.

Брешь CVE-2017-6870 связана с ошибкой в реализации протокола TLS, грозит MitM-атакой и, согласно ICS-CERT, присутствует лишь в WinCC Sm@rtClient для Android. CVE-2017-6871, свойственная Sm@rtClient Lite, представляет собой обход аутентификации и допускает эксплойт лишь при наличии физического доступа к разлоченному Android-устройству.


Источник: Threatpost | Новости информационной безопасности

Google постепенно отказывается от двухэтапной аутентификации через SMS

Эксперты давно говорят о том, что в современных реалиях SMS-сообщения нельзя считать надежным «вторым фактором» для осуществления двухфакторной аутентификации. В 2016 году Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное».

Также ИБ-специалисты уже доказали, что для обхода двухфакторной аутентификации может использоваться и набор сигнальных телефонных протоколов SS7 (или ОКС-7, Система сигнализации № 7), разработанный в далеком 1975 году. Хуже того, примеры таких атак уже были зафиксированы в реальности.

Словом, перехватить SMS-сообщение, содержащее секретный код, можно целым рядом способов, поэтому такую защиту вряд ли можно считать по-настоящему надежной. Похоже, инженеры Google согласны с выводами специалистов, так как в конце прошлой недели  в официальном блоге компании появилась интересная запись.

Google предлагает пользователям Android и iOS альтернативу SMS-сообщениям с 2016 года: тогда компания впервые представила двухэтапную аутентификацию через мобильные уведомления. В феврале текущего года эта система была улучшена, на экране уведомления стала отображаться дополнительная информация, к примеру, данные о местоположении и устройстве, с которого осуществлялась попытка входа в аккаунт Google.

Начиная с этой недели, Google будет предлагать всем, кто уже пользуется двухэтапной верификацей посредством SMS, перейти на использование уведомлений, что, как утверждают разработчики, будет не только безопаснее, но и удобнее. Тогда как для использования уведомлений пользователям Android не придется совершать каких-либо дополнительных действий, пользователям iOS, которые пожелают воспользоваться новой функцией, придется установить приложение Google Search.

Разумеется, пока речь не идет об отказе от использования SMS-сообщений вообще. У пользователей будет возможность отказаться от предложения и продолжить использовать тестовые сообщения с одноразовыми кодами. Однако разработчики Google пишут, что через полгода отказавшимся пользователям будут вновь разосланы сообщения с предложением перейти на более прогрессивный метод аутентификации.


Источник: «Хакер»

Связанные с РФ хакеры атаковали энергосети Великобритании

Хакеры, предположительно поддерживаемые правительством РФ, осуществили кибератаки на энергетические сети в составе национальной энергосистемы Великобритании. Злоумышленники атаковали ирландское Управление по поставкам электроэнергии (Ireland’s Electricity Supply Board, ESB) с целью получить контроль над системами управления сетями. Об этом сообщила британская газета The Times.

По информации издания, в июне нынешнего года ведущие инженеры ESB получили вредоносные электронные письма от киберпреступников, которые, по всей видимости, были связаны с Главным управлением Генштаба ВС РФ.

С помощью электронных писем предполагалось заразить компьютерные системы вредоносным ПО и установить наблюдение за ESB. Задача хакеров заключалась в том, чтобы получить доступ к системам управления компании и вывести из строя часть систем, обеспечивающих электроэнергией Северную Ирландию.

Издание отмечает, что сбоев в работе энергосетей зафиксировано не было, но, как полагают эксперты, хакеры могли похитить пароли к системам безопасности, отвечающим за поддержание работы британского энергосектора.

Тем временем, диппредставительство РФ в Лондоне заявило, что считает бездоказательным материал The Times. «Журналистика избавляется от старых концепций, таких как доказательства. Она прибегает к памфлетам», - отмечается в сообщении на официальной странице посольства в Twitter.

Напомним, в конце июня текущего года британский парламент подвергся кибератаке. Неизвестные киберпреступники атаковали учетные записи электронной почты парламентариев. Им удалось скомпрометировать порядка 90 почтовых ящиков с ненадежными паролями. В числе главных подозреваемы х британские спецслужбы называют РФ.


Источник: Новости - SecurityLab.ru

13 июля 2017

[ZLONOV.ru] [майндкарта] Детальная диаграмма связей ФЗ о безопасности КИИ

ZLONOV.ru
Пост [майндкарта] Детальная диаграмма связей ФЗ о безопасности КИИ опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

11 июля 2017

[ZLONOV.ru] Как я свой сайт сканером PT BlackBox Scanner проверял

ZLONOV.ru
Пост Как я свой сайт сканером PT BlackBox Scanner проверял опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

10 июля 2017

РФ подозревается во взломе десятка электростанций в США

Работающие на иностранное правительство хакеры взломали по крайней мере десяток американских электростанций. Об этом в четверг, 6 июля, заявило издание Bloomberg со ссылкой на бывших и действующих должностных лиц США.

По мнению американских властей, вражеские государства могут быть заинтересованы в отключении электроснабжения на территории США. В связи с этим, на прошлой неделе компаниям электроэнергетического сектора были разосланы соответствующие уведомления.

Опасения властей небезосновательны. Как сообщает Bloomberg, недавно хакерам удалось проникнуть в сети одного из производителей АСУ ТП для предприятий электроэнергетического сектора (название компании не уточняется). По словам троих источников, близких к расследованию атак, главным подозреваемым в их осуществлении является Россия. В частности в числе жертв хакеров значится электростанция Wolf Creek в Канзасе, принадлежащая компаниям Westar Energy, Great Plains Energy и Kansas Electric Power Cooperative.

Тот факт, что к атакам может быть причастна Россия, вызывает большие опасения у властей. По их словам РФ уже доказала свою способность выводить из строя некоторое оборудование электростанций, когда атаковала электроэнергетические компании Украины. Напомним , ранее «русские хакеры» также обвинялись в атаках на электростанции в Прибалтике. Вероятно, сейчас они тестируют мощные инструменты для выведения из строя сетей энергоснабжения, полагают эксперты.


Источник: Новости - SecurityLab.ru

Комитет Госдумы одобрил поправки в законопроект о безопасности КИИ

Комитет Госдумы по информационной политике, информационным технологиям и связи рекомендовал принять во втором чтении законопроект о безопасности критической информационной инфраструктуры РФ (КИИ) с учетом 17 рекомендованных к принятию поправок из предложенных 26.

В первом чтении законопроект, подготовленный в рамках Доктрины информационной безопасности, был одобрен в январе 2017 года. Документ предлагает установить основные принципы обеспечения безопасности КИИ, полномочия госорганов в данной области, права и обязанности владельцев объектов КИИ, а также операторов связи и информационных систем, обеспечивающих взаимодействие объектов.

Кроме прочего, рекомендованные к принятию поправки предусматривают, что собственниками или арендаторами объектов КИИ могут быть только российские юрлица или индивидуальные предприниматели.

Каждому объекту КИИ будет присвоена категория значимости, а сами они включены в специальный реестр. В новой редакции проекта закона уточняется перечень данных, предоставляемых в реестр. В случае нарушения правил субъекту КИИ уполномоченным органом будет направлено требование о необходимости соблюдения норм закона.

Перечень объектов критической информационной среды был дополнен организациями в сфере науки. В первоначальной версии документа к объектам критической инфраструктуры относились инфосистемы и телекоммуникационные сети госорганов, автоматизированные системы управления технологическими процессами в оборонной промышленности, области здравоохранения, транспорта, связи, кредитно-финансовой сферы, энергетики, топливной, атомной и других видов промышленности.

Также уточняется, что в случае реагирования на компьютерные инциденты в банковской и финансовой сферах потребуется согласование с Центробанком РФ.

Кроме того, комитет предложил уточнить, что к информации, составляющей государственную тайну, относятся сведения о мерах по обеспечению безопасности КИИ РФ и о степени ее защищенности от кибератак.

Если закон будет принят, он вступит в силу 1 января 2018 года. Поправка о переносе срока вступления закона в силу на 1 января 2019 года была отклонена. Ее сочли «неприемлемой в сложившихся условиях необходимости укрепления информационной безопасности государства».


Источник: Новости - SecurityLab.ru

Госдума одобрила во втором чтении пакет законопроектов о безопасности критической инфраструктуры

Законопроекты были подготовлены ФСБ и внесены в Госдуму 6 декабря 2016 года. В первом чтении пакет был принят 27 января 2017 года. Он предлагает установить основные принципы обеспечения безопасности КИИ, полномочия госорганов в этой области, а также права, обязанности и ответственность лиц, владеющих объектами КИИ, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов. Владельцы объектов КИИ должны будут информировать власти о компьютерных инцидентах, предотвращать неправомерные попытки доступа к информации, обеспечивать возможность восстановления объекта за счет создания резервных копий информации.

Из 26 поправок, подготовленных ко второму чтению, думский комитет по информационной политике, информационным технологиям и связи рекомендовал к принятию 17.

В частности, не было учтено предложение Российской ассоциации электронных коммуникаций о введении уголовной ответственности за DDoS-атаки. Рассмотрение проекта продолжалось десять минут, он был одобрен единогласно, пишет «Коммерсант».

В поправках устанавливается, что быть собственниками или использовать объекты критической инфраструктуры на праве аренды (или на другом законном основании) могут только российские юрлица или индивидуальные предприниматели, сообщает пресс-служба комитета. Также во втором чтении уточнён перечень сведений, предоставляемых субъектами критической информационной инфраструктуры в Реестр значимых объектов критической информационной инфраструктуры

Кроме того, комитет рекомендовал принять во втором чтении документ-спутник, вносящий изменения в законы «О государственной тайне», «О связи» и «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», а также к УК РФ — с учетом пяти поправок из поступивших шести. Поправки, внесенные ко второму чтению, уточняют, что к сведениям, составляющим гостайну, относится информация о мерах обеспечения безопасности КИИ и о состоянии ее защищенности от компьютерных атак.

Планируется, что в третьем чтении законопроекты будут рассмотрены 12 июля. В случае принятия закон вступит в силу с 1 января 2018 года. [rspectr.com, kommersant.ru]


Источник: Цифровая подстанция

03 июля 2017

Обнаружена связь между NotPetya и атаками на энергосеть Украины

Недавняя кампания по распространению вымогательского ПО NotPetya (также известного как Petya.A) и атаки на энергосеть Украины в декабре 2015 года могут быть делом рук одной и той же хакерской группировки. О возможной связи между этими операциями сообщили специалисты компаний ESET и «Лаборатория Касперского».

Группа, ответственная за данные атаки, активна с 2007 года и известна под именами Sandworm, BlackEnergy, TeleBots, Electrum, TEMP.Noble и Quedagh. Несмотря на то, что группировка приобрела известность в 2014 году после атак на НАТО и правительственные организации, в ходе которых эксплуатировалась уязвимость нулевого дня (CVE-2014-4114) в Windows, в основном она знаменита атаками на промышленную инфраструктуру (в частности Украины).

Обычно целью хакеров являются SCADA-системы, в атаках используется вредоносное ПО BlackEnergy. Еще одним вредоносным инструментом, который ассоциируется с деятельностью группировки, является KillDisk - программа, предназначенная для промышленного саботажа или используемая для сокрытия следов кибератаки. Группировка уже довольно долгое время применяет данный инструмент в атаках на различные объекты, однако в минувшую зиму эксперты зафиксировали рост вредоносных кампаний с использованием KillDisk. В частности в декабре прошлого года были выявлены новые версии вредоносного ПО с функциональностью шифровальщика. Позже появился вариант KillDisk для Linux. В основном атаки были направлены на украинские банки и компании, предоставляющие услуги по морским перевозкам.

По словам специалиста ESET Антона Черепанова, выявлены свидетельства, указывающие на причастность TeleBots/BlackEnergy/Sandworm к кампаниям по распространению вымогательского ПО Win32/Filecoder.NKH (март 2017), XData (май 2017) и NotPetya (июнь 2017). По словам Черепанова, все три вредоносные кампании, включая недавние атаки NotPetya, были направлены на объекты в Украине и являются частью крупной кампании по саботажу украинского бизнес-сектора. Эксперты «Лаборатории Касперского» также указали на связь между прошлыми атаками TeleBots/BlackEnergy/Sandworm и кампанией NotPetya. При этом они отметили, что их находки пока нельзя назвать четкими доказательствами.

Ранее правительство США предупредило промышленные предприятия о киберпреступной кампании, направленной против представителей электроэнергетического и ядерного комплекса. Согласно докладу Министерства внутренней безопасности США и ФБР, с мая текущего года с помощью фишинга злоумышленники похищают учетные данные для доступа к сетям интересующих их компаний.

Напомним, 27 июня украинские банки, энергетические компании, государственные интернет-ресурсы и локальные сети, украинские медиа и ряд других крупных предприятий подверглись крупнейшей атаке с использованием шифровальщика NotPetya.


Источник: Новости - SecurityLab.ru

Власти США предупредили о кибератаках на АЭС

Правительство США предупредило промышленные предприятия о киберпреступной кампании, направленной против представителей электроэнергетического и ядреного комплекса. Как сообщает Reuters со ссылкой на отчет Министерства внутренней безопасности США и ФБР, с мая текущего года с помощью фишинга злоумышленники похищают учетные данные для доступа к сетям интересующих их предприятий.

В отчете, датированном 28 июня 2017 года, сказано, что некоторые атаки были успешными, однако кто именно стал их жертвой, не уточняется. «Как сложилось исторически, киберпреступники атакуют предприятия энергетического сектора с различными целями, начиная от кибершпионажа и заканчивая возможностью отключить энергетические системы в случае конфликта», - говорится в отчете.

Публикация документа совпадает с появлением на новостном сайте E&E News, освещающем события в сфере электроэнергетики, информации о проводящемся расследовании попыток взлома целого ряда ядерных реакторов. Согласно статье на E&E News, никаких свидетельств того, что попытки хакеров увенчались успехом, обнаружено не было. Тем не менее, журналистам Reuters не удалось подтвердить эту информацию.

Как сообщили американские компании ядерного сектора PSEG, SCANA Corp и Entergy Corp, недавние кибератаки их не затронули. Тем не менее, в прошлый четверг принадлежащая SCANA атомная электростанция «Ви-Си Саммер» в Южной Каролине остановила работу. Согласно заявлению пресс-службы компании, проблема была связана с работой клапана, незадействованного в процессе производства атомной электроэнергии. Остальные предприятия отказались комментировать вопрос кибербезопасности.


Источник: Новости - SecurityLab.ru

Siemens начала исправлять опасную уязвимость в Intel AMT

Не надо быть «правительственным хакером», чтобы взломать АСУ ТП на предприятии. Достаточно лишь проэксплуатировать уязвимость в Intel AMT (CVE-2017-5689), о которой стало известно в мае текущего года, и которую Siemens начала исправлять в своих продуктах на прошлой неделе. Проблема затрагивает чипы, выпускаемые Intel с 2010 года, и позволяет злоупотреблять функциями Intel AMT с помощью пустой строки логина.

«Чипсеты Intel Core i5, Intel Core i7 и Intel XEON содержат уязвимость, позволяющую удаленно выполнить код (CVE-2017-5689). Поскольку технология Intel используется в нескольких продуктах Siemens промышленного класса, они также уязвимы», - говорится в уведомлении Siemens.

В случае с Siemens уязвимые процессоры используются в 38 сериях продуктов, в том числе в промышленных ПК SIMATIC, панелях управления SINUMERIK и ПК SIMOTION P320 (полный список уязвимых продуктов доступен здесь). Производитель уже выпустил обновления безопасности для SIMATIC и работает над обновлениями для панелей управления.

Intel Active Management Technology(Intel AMT) – аппаратная технология, предоставляющая удаленный, и внеполосный (по независимому вспомогательному каналу TCP/IP) доступ для управления настройками и безопасностью компьютера независимо от состояния питания (удаленное включение / выключение компьютера) и состояния ОС.


Источник: Новости - SecurityLab.ru