AngryBSOD

Платный доступ к SCADA-системам предлагают не только организации, но и отдельные хакеры.

Вредоносное ПО и сервисы, предоставляющие платный доступ к элементам SCADA-систем, становятся серьезной угрозой для операторов автоматизированных промышленных систем управления, предупреждает аналитическая компания Booz Allen Hamilton.

По данным Министерства внутренней безопасности США, в 2015 году было зафиксировано в общей сложности 295 атак на промышленные системы. Из них 46 (или 16%) атак затронули энергетический сектор, 97 (33%) – пришлись на производственную сферу. Чаще всего целевыми для атакующих были компании, специализирующиеся на производстве транспортного и электрооборудования, и металлургические предприятия. Как отмечается, большая часть этих инцидентов была связана с масштабной фишинговой кампанией, в ходе которой злоумышленники распространяли вредоносное ПО.

Аналитики Booz Allen Hamilton отмечают существенный рост числа фишинговых кампаний, направленных на операторов промышленных систем управления – всего за 12 месяцев их количество увеличилось на 160%. Кроме того, эксперты фиксируют рост числа атак с применением вымогательского ПО.

За последнее время появилось немало сервисов, предоставляющих платный доступ к компонентам SCADA-систем. Booz Allen Hamilton определяет данные сервисы как организации, которые занимаются поиском уязвимостей в промышленных сетях и разработкой эксплоитов с последующей их продажей лицам, заинтересованным в получении несанкционированного доступа к промышленным системам управления.

Данной деятельностью занимаются компании, специализирующиеся в области информационной безопасности, такие как итальянская Hacking Team или французская Vupen Security. Как утверждают специалисты Booz Allen Hamilton, платный доступ к SCADA-системам предлагают не только организации, но и отдельные хакеры. К примеру, в использовании данной бизнес-модели был замечен хакер под псевдонимом Bonito, связанный с масштабными утечками данных.

Оригинал: http://www.securitylab.ru/news/482898.php

Опубликованные материалы также включают документы по предвыборной стратегии Хиллари Клинтон.

В среду, 15 июня стало известно о кибератаке, осуществленной на серверы Национального комитета Демократической партии США. По словам экспертов компании CrowdStrike, к инциденту причастны две отдельные группировки Cozy Bear и Fancy Bear, предположительно связанные с правительством РФ. Однако хакер под псевдонимом Guccifer 2.0 утверждает, что взлом серверов – исключительно его заслуга. В доказательство своих слов он опубликовал часть похищенных документов. Остальные файлы хакер предоставил ресурсу Wikileaks для последующей публикации.

Опубликованные Guccifer 2.0 документы включают досье, которое содержит 231 страницу с информацией о кандидате в президенты США миллиардере Дональде Трампе, материалы по предвыборной стратегии второго кандидата на пост президента Хиллари Клинтон, документы, касающиеся внешней политики США, а также список спонсоров Демократической партии.

По словам хакера, в результате взлома ему удалось похитить тысячи документов и на достигнутом он останавливаться не собирается. Отметим, псевдоним Guccifer принадлежит румынскому хакеру Марселю Лехелю Лазару (Marcel Lehel Lazar) в 2013 году взломавшему персональный почтовый сервер Хиллари Клинтон. В 2016 году он был экстрадирован в США, где предстал перед судом по обвинению во взломе учетных записей семьи Джорджа Буша-старшего (George Bush) и Колина Пауэлла (Colin Powell).

«Guccifer был первым, кто получил доступ к почтовым серверам Хиллари Клинтон и других демократов, но он однозначно не будет последним», - написал преемник румынского хакера на своем сайте.

Компания CrowdStrike, привлеченная к расследованию взлома сети Национального комитета Демократической партии, продолжает настаивать на причастности российских хакеров к инциденту. В настоящее время исследователи проверяют достоверность опубликованных Guccifer 2.0 документов. По их мнению, данный шаг может быть частью кампании по дезинформации.

Оригинал: http://www.securitylab.ru/news/482884.php

Слитые файлы: https://guccifer2.wordpress.com/2016/06/15/dnc/

Атака возможна даже при наличии защитных механизмов, таких как межсетевой экран и NAT-устройства.

Исследователь команды Tencent Xuanwu Lab Янг Ю обнаружил серьезную ошибку дизайна в реализации протокола NetBIOS, затрагивающую все версии Windows, включая последнюю редакцию ОС. Проэксплуатировав ошибку, получившую название BadTunnel, злоумышленник может сымитировать WPAD- или ISATAP-сервер и перехватить весь сетевой трафик, в том числе HTTP- и HTTPS-трафик, обновления ОС и ПО, обновления списка отозванных сертификатов, а также другие операции техобслуживания операционной системы.

По словам Янг Ю, для осуществления атаки злоумышленнику необязательно находиться внутри компьютерной сети жертвы. Более того, атака возможна даже при наличии защитных механизмов, таких как межсетевой экран и NAT-устройства. Как пояснил исследователь в беседе с журналистом ресурса DarkReading, уязвимость BadTunnel – не типичная конфигурационная ошибка, а, скорее, совокупность нескольких факторов. Уязвимость вызвана спецификой использования операционной системой, а также межсетевыми экранами и NAT-устройствами протоколов транспортного уровня и уровня приложений.

Злоумышленник может проэксплуатировать BadTunnel, используя все версии интернет-обозревателей Microsoft Edge, Internet Explorer, а также сторонние приложения, установленные в Windows.

Эксперт описал примерный сценарий атаки: используя методы социальной инженерии преступник может заставить жертву посетить вредоносную интернет-страницу или открыть вредоносный документ, что позволяет ему перехватить трафик жертвы. Более полную презентацию атаки Янг Ю пообещал представить в рамках конференции Black Hat USA, которая пройдет с 30 июля по 4 августа.

В рамках планового «вторника исправлений» компания Microsoft выпустила 16 бюллетеней безопасности, устраняющих ряд уязвимостей в программных продуктах, в том числе ошибку BadTunnel. Отметим, для устранения данной уязвимости требуется установить два патча - MS16-077 и MS16-063. Однако проблема остается актуальной для версий ОС, поддержка которых уже прекращена (Windows XP, Windows Server 2003 и пр.). Янг Ю рекомендует как можно скорее установить корректирующие обновления или отключить NetBIOS.

Оригинал: http://www.securitylab.ru/news/482884.php