Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты
BOMBERuss

BOMBERuss

https://www.bomberuss.ru/
Пикабушник
поставил 14254 плюса и 4227 минусов
отредактировал 192 поста
проголосовал за 218 редактирований
Награды:
С Днем рождения, Пикабу!5 лет на Пикабу редактирование тегов в 100 и более постах самый сохраняемый пост недели
159К рейтинг 326 подписчиков 93 подписки 640 постов 143 в горячем
По времени  По рейтингу  [моё]  Поиск

Троян "Прикормка" шпионит за ДНР, ЛНР и "правым сектором"

Специалисты компании ESET обнаружили вредоносную программу, предназначенную для слежки за участниками боевых действий на востоке Украины, а также за некоторыми украинскими общественными деятелями, чиновниками и журналистами. Троян получил название «Прикормка».
Троян "Прикормка" шпионит за ДНР, ЛНР и "правым сектором" Длиннопост, Троян, Политика, Шпионаж, Чиновники, Прикорм, Вирус

Все признаки указывают на то, что распространители «Прикормки» действуют по меньшей мере с 2008 года. Троян оставался незамеченным по единственной причине: его используют очень избирательно. Несмотря на почтенный возраст, он поразил всего несколько сотен машин. В 2015 году ESET обнаружил «Прикормку» на 178 компьютерах. В этом году компания заметила ещё 44 экземпляра вредоносной программы.

Троян состоит из нескольких модулей. Они дают злоумышленникам доступ к файлам жертвы, позволяют записывать нажатия на клавиши, красть пароли, делать скриншоты, перехватывать переговоры по Skype, включать микрофон и многое другое.

Троян "Прикормка" шпионит за ДНР, ЛНР и "правым сектором" Длиннопост, Троян, Политика, Шпионаж, Чиновники, Прикорм, Вирус

«Прикормка» распространяется методами прицельного фишинга. Потенциальные жертвы получают по электронной почте исполняемые файлы под видом документов, которые способны их заинтересовать. Если клюнуть на приманку, вредоносный аттач отобразит обещанный документ и установит троян.


Первый экземпляр трояна, попавшийся исследователям ESET, был замаскирован под прайс-лист с ценами на рыболовную прикормку. Именно этим объясняется его название. В последнее время, впрочем, в темах поддельных документов больше политики.


Версии «Прикормки», замеченные в Луганской и Донецкой областях, распространяются под видом информации, которая может быть интересна сторонникам ЛНР и ДНР. В качестве примера ESET приводит файлы c названиями «Нацгвардейцы со шприцами сделали из донецкого мальчика мишень для ракет.exe» и «Места дислокации ВСУ в зоне проведения АТО.scr».


Поддельные документы, выдаваемые трояном:

Троян "Прикормка" шпионит за ДНР, ЛНР и "правым сектором" Длиннопост, Троян, Политика, Шпионаж, Чиновники, Прикорм, Вирус

На западе Украины встречается украиноязычная «Прикормка». Один из заражённых файлов, замеченных ESET, называется «План ДНР на 21 липня, щодо відводу військ.exe». Судя по идентификатору «Psek» в исполняемом файле, эта версия предназначена для слежки за «Правым сектором» (в России эта организация признана экстремистской и запрещена).

Подавляющее большинство заражений, зарегистрированных специалистами ESET, сконцентрированы на востоке Украины. Кроме того, известно, что «Прикормка» следит за некоторыми украинскими чиновниками, политиками и журналистами. Около 12% жертв вредоносной программы располагаются на территории России.


ESET обнаружил несколько командных серверов «Прикормки». Почти все они размещены на территории Украины. Один из старейших серверов действует с 2008 года. Это, а также многие другие признаки, указывают на то, что троян создан в Украине.


Один из командных серверов восемь лет маскировался под сайт о Киеве:

Троян "Прикормка" шпионит за ДНР, ЛНР и "правым сектором" Длиннопост, Троян, Политика, Шпионаж, Чиновники, Прикорм, Вирус

Eset (PDF) http://www.welivesecurity.com/wp-content/uploads/2016/05/Ope...

Пост https://xakep.ru/2016/05/21/prikormka/

Показать полностью 4
Длиннопост Троян Политика Шпионаж Чиновники Прикорм Вирус
8

На PHDays VI нарушена работа ГЭС и затоплен город.

На прошедшем 17−18 мая 2016 года форуме по практической информационной безопасности Positive Hack Days, в рамках конкурса Critical Infrastructure Attack: Blackout, хакеры должны были атаковать модель системы электроснабжения небольшого района. В ходе соревнования удалось нарушить работу входящей в комплекс гидроэлектростанции, что привело к затоплению города.
На PHDays VI нарушена работа ГЭС и затоплен город. Длиннопост, Хакеры, Форум, Безопасность, Уязвимость, ГЭС, Модели
Модель системы, подготовленная для конкурса, была максимально приближена к реальности как технически, так и функционально. Она разделялась на отдельные части: генерация, передача, распределение и управление электроснабжением. Атакующим удалось нарушить работу подстанций и гидроэлектростанции, которые отвечают за генерацию и распределение энергии.
На PHDays VI нарушена работа ГЭС и затоплен город. Длиннопост, Хакеры, Форум, Безопасность, Уязвимость, ГЭС, Модели
За счет успешных атак, проведенных в ночь с 17 на 18 мая, хакеры устроили аварийную ситуацию на подстанции напряжением 500кВ, вследствие чего произошло частичное повреждение оборудования. Возникла необходимость в отключении генераторов на ГЭС и сбросе воды в условиях сильных паводков.
На PHDays VI нарушена работа ГЭС и затоплен город. Длиннопост, Хакеры, Форум, Безопасность, Уязвимость, ГЭС, Модели
«При отключенных генераторах персоналу ГЭС придется активировать сброс лишней воды из хранилища. В условиях весенних паводков сброс воды в прилегающие водоемы может привести к затоплению расположенных поблизости населенных пунктов, — рассказывает Илья Карпов, эксперт Positive Technologies. — По легенде соревнования, рядом с ГЭС располагался небольшой город — он и был полностью затоплен.На следующий день, после того как жизнь в городе восстанавливалась, атаки возобновлялись, и затопление повторялось».

Один из участников команды ИБ-исследователей, осуществившей взлом, объяснил, что им удалось обнаружить оборудование, отвечающее за защиту генератора, просканировав сеть ГЭС (по легенде соревнования, злоумышленникам уже удалось проникнуть на ее территорию или действовать удаленно за счет внедренного ранее оборудования). По его словам, также был обнаружен терминал, отвечающий за защиту трансформатора, который был неоднократно атакован. Через открытый TCP-порт 102, по которому оборудование осуществляет обмен MMS-сообщениями, с помощью стандартного MMS-клиента была отправлена команда на отключение оборудования. По аналогичной схеме исследователям удалось захватить управление подстанцией на 500 кВ.

На PHDays VI нарушена работа ГЭС и затоплен город. Длиннопост, Хакеры, Форум, Безопасность, Уязвимость, ГЭС, Модели
В первый день конкурса московский школьник сумел спровоцировать короткое замыкание на входящей в модель магистральной подстанции высокого напряжения, проэксплуатировав уязвимости промышленных протоколов с помощью свободно распространяемого инженерного ПО. Он смог отключить блокировку и опустить заземляющие ножи. Во второй день школьник повторил простую атаку с отключением оборудования защиты использовав известную уязвимость. Все это ему удалось сделать благодаря прямому подключению к сети с технологическим оборудованием.
Показать полностью 4
Длиннопост Хакеры Форум Безопасность Уязвимость ГЭС Модели
1

Червь MotherFucker атакует непропатченное сетевое оборудование!

ЧЕРВЬ С НЕЦЕНЗУРНЫМ ИМЕНЕМ АТАКУЕТ НЕПРОПАТЧЕННОЕ СЕТЕВОЕ ОБОРУДОВАНИЕ
Червь MotherFucker атакует непропатченное сетевое оборудование! Червь, Вирус, Патч, Сети
Производитель сетевого оборудования Ubiquiti Networks сообщает о появлении червя, который поражает выпускаемые компанией устройства. Хотя уязвимость, которую эксплуатирует вредоносная программа, была устранена ещё прошлым летом, большинство пользователей до сих пор не установили обновление. Теперь они расплачиваются за собственную беспечность.
Червь MotherFucker атакует непропатченное сетевое оборудование! Червь, Вирус, Патч, Сети

В число поражаемых червём устройств входят сетевые мосты airMAX M и airMAX AC, коммутатор ToughSwitch, точка доступа airGateway и радиомодем airFiber. Все они используют основанную на Linux прошивку AirOS 5.6.2 или более поздней версии.


В прошлом году в AirOS нашли уязвимость, которая позволяла получить доступ к устройству по HTTP или HTTPS, избежав обязательной аутентификации. В июле Ubiquiti Networks выпустила обновление, которое исправляет ошибку, но уязвимые версии прошивки по-прежнему широко распространены.


Во время атаки на устройство Ubiquiti Networks червь пытается заменить файл с паролями на новый. Если трюк удаётся, то логином становится «mother», а паролем — «fucker» (вместе эти слова образуют название червя). После этого вредоносная программа сканирует сеть в поисках уязвимого оборудования и пытается перекинуться на него. Затем она сбрасывает настройки заражённого устройства и удаляет следы своего пребывания, оставляя за собой только нецензурные логин с паролем.


По оценке специалистов, особенно широкое распространение червь получил в Аргентине, Бразилии, Испании и Соединённых Штатах.

Показать полностью 1
Червь Вирус Патч Сети
13

Скамеры, выдающие себя за техподдержку взяли на вооружение вымогательское ПО

Так называемая тактика «scareware» используется мошенниками очень давно. Жертве демонстрируют пугающие сообщения о том, что на устройство проник вирус, или уверяют, что возникла проблема с аппаратной частью (аккумулятором, жестким диском и так далее). Пользователя вынуждают связаться с фальшивым экспертом из не менее фальшивой технической поддержки, чтобы «решить проблему». Но теперь злоумышленники перешли от запугивания к действию и подкрепляют свои угрозы делом, переняв тактику у вымогательского ПО.
Скамеры, выдающие себя за техподдержку взяли на вооружение вымогательское ПО Длиннопост, Вирус, Мошенничество, Служба поддержки, Блокировка

Исследователи компании Malwarebytes рассказали об очередном витке эволюции малвари. Если раньше скамеры из фейковой технической поддержки уже применяли JavaScript-трюки, чтобы заблокировать пользователя на определенном сайте, в конкретной вкладке браузера, или даже показывали пользователям фальшивый BSOD, теперь они пошли еще дальше.


Раньше, до появления шифровальщиков, большой популярностью в криминальной середе пользовались блокировщики. Такая малварь не зашифровывала файлы жертвы, но блокировала компьютер, отключала клавиатуру и мышь и не давала использовать устройство, пока пользователь не заплатит выкуп. Теперь эту тактику переняли фальшивые операторы технической поддержки.


Malwarebytes сообщает, что в комплекте с неназванным легитимным ПО, под видом рекламных приложений, распространяются интересные трояны. Как только пользователь установил нужную ему программу, в нагрузку устанавливаются и рекламные приложения, которые на самом деле, являются вредоносами. Такой троянец срабатывает не сразу, он активируется только после перезагрузки компьютера. При следующем включении ПК, жертва увидит фальшивый экран обновления Windows. Когда «процедура обновления» подойдет к концу, на экране появится сообщение, гласящее, что срок действия данного ключа продукта (Windows) истек, и теперь пользователю нужно связаться с сотрудниками поддержки Microsoft по указанному телефону.

Скамеры, выдающие себя за техподдержку взяли на вооружение вымогательское ПО Длиннопост, Вирус, Мошенничество, Служба поддержки, Блокировка

Исследователи Malwarebytes позвонили по указанному в сообщении номеру и пообщались с оператором. Тот проинструктировал их, что нужно нажать CTRL+SHIFT+T. Это сочетание клавиш запускает TeamViewer, через который оператор фальшивого колл-центра сможет войти в систему жертвы и, предположительно, удалит троян. Довести эксперимент до конца исследователям не удалось, так как оператор отказался продолжать разговор, пока жертва не заплатит $250.


Независимый исследователь slipstream/RoL тоже наткнулся на новую малварь и провел свой эксперимент. Он утверждает, что колл-центр мошенников располагается где-то в Индии, а нажатие CTRL+SHIFT+S позволит жертве отключить блокировку экрана, но не всю блокировку системы.


Также исследователь покопался в коде вредоноса и нашел жестко закодированные «серийные номера». По данным slipstream/RoL, с их помощью можно запустить окно Windows Explorer, а затем удалить троян с устройства: «h7c9-7c67-jb», «g6r-qrp6-h2» и «yt-mq-6w». Аналитики Malwarebytes с сожалением отмечают, что эти коды срабатывают далеко не для всех версий локеров.

Показать полностью 2
Длиннопост Вирус Мошенничество Служба поддержки Блокировка
0

Криптовалютная биржа GATECOIN лишилась 2000000$ в результате ограбления!

На заметку...

Представители гонконгской криптовалютной биржи Gatecoin, работающей с Bitcoin и платформой Ethereum, официально сообщили, что сервис стал жертвой кибератаки. Суммарный ущерб компании составил 250 биткоинов ($114 500) и 185 000 токенов Ether ($1 850 000), то есть около двух миллионов долларов.

Криптовалютная биржа GATECOIN лишилась 2000000$ в результате ограбления! Длиннопост, Криптовалюта, Биткоины, Ограбление, Кража, BTC, Сервис, Кибератака
Согласно официальному сообщению, администрация Gatecoin полагает, что проникновение в систему имело место 9 мая 2016 года, именно тогда один из серверов обменника самопроизвольно перезагрузился. Расследование, проведенное совместно с киберкриминалистами из Tehtri Security, выявило, что злоумышленники обрабатывали сеть Gatecoin вплоть до 12 мая 2016 года.
Криптовалютная биржа GATECOIN лишилась 2000000$ в результате ограбления! Длиннопост, Криптовалюта, Биткоины, Ограбление, Кража, BTC, Сервис, Кибератака

Очевидно, подготовка к атаке была завершена в пятницу, 13 мая, ведь именно тогда злоумышленники приступили к активным действиям. Администрация биржи быстро обратила внимание на подозрительные транзакции и отключила сервис, но, как оказалось, было уже поздно.


Согласно заявлению главы Gatecoin Аурелина Менарта (Aurélien Menant), атакующие добрались до так называемого «hot wallet» — горячего кошелька компании. В этом кошельке хранились средства Gatecoin, при помощи которых транзакции осуществлялись незамедлительно, чтобы клиентам обменника не пришлось ждать, пока реальная транзакция завершится и запишется в блокчейн. Хакеры не тронули средства в «холодных кошельках» биржи, так как получить доступ к ним было гораздо труднее.


Представители Gatecoin пишут, что в ходе расследования уже изолировали адреса, который использовали атакующие, это шесть адресов биткоин и четыре Ethereum:


Ethereum:


0x04786aada9deea2150deab7b3b8911c309f5ed90

0xc062dceed93087c9112ff7b02d53e928e49cec09

0x1342a001544b8b7ae4a5d374e33114c66d78bd5f

0xd4914762f9bd566bd0882b71af5439c0476d2ff6


Bitcoin:


4a1b96b166de37860195af37b6396a0516b009536e0f332006ca61b4fab0cd08

2f41b858712149df089c21d4e1c036e0a465335c5a29be38df8e945a51e4d809

271c51ff2e6c84c565c94d79872a79d77726fccd47192b6c8f6745f7482e281a

435e0cc79372eef5f43d8d81320940165ea1a0828adab3fdb9822a17caffaf2b

d494c7ca3a03f30c121b02f558b068d3597092454ad325bc320383f070d536bc

90622fc9968b79c90a9ac26f11d13d8dd97ba5b7e9c103594873e6306f7357ea


Похищенные 2 млн долларов составляют примерно 15% всех средств Gatecoin. Хотя атака не затронула токены DigixDAO, Augur и проекты DAO, биржа по-прежнему не работает.


Компания сообщает, что уже разработала план по возмещению убытков пострадавшим пользователям и уверяет, что клиенты смогут вывести свои деньги после 28 мая 2016 года. Обо всех обновлениях и дальнейшем ходе расследования администрация Gatecoin продолжит информировать пользователей через официальный аккаунт в Twitter и станицу Reddit.

Показать полностью 2
Длиннопост Криптовалюта Биткоины Ограбление Кража BTC Сервис Кибератака
12

Вирус-параноик FURTIM проверяет ПК на наличие 400 разных антивирусов

Специалисты компании enSilo детально изучили обнаруженное недавно семейство вредоносов Furtim. Малварь действует настолько скрытно, что исследователям так и не удалось понять, как операторы Furtim распространяют своего вредоноса, или как выбирают жертв. Зато эксперты обнаружили, что Furtim уделяет очень много внимания скрытности.
Вирус-параноик FURTIM проверяет ПК на наличие 400 разных антивирусов Вирус, Антивирус, Скрытность, Вредоносное по, Проверка
Исследователи пишут, что Furtim отличается от других образчиков вредоносного ПО. Ни один из известных им вредоносов не уделял столько внимания уходу от различных систем безопасности. Еще во время установки Furtim внимательно проверяет, не запущен ли он на виртуальной машине или в песочнице, а затем педантично обыскивает компьютер жертвы на предмет присутствия более 400 различных антивирусных продуктов. Если Furtim находит хотя бы одну такую программу, установка отменяется и малварь бездействует.
Вирус-параноик FURTIM проверяет ПК на наличие 400 разных антивирусов Вирус, Антивирус, Скрытность, Вредоносное по, Проверка

Если установка все же прошла успешно, Furtim избегает сервисов DNS фильтрации, сканируя сетевые интерфейсы зараженной машины и подменяя известные фильтрующие неймсерверы на публичные неймсерверы Google и Level3 Communications. Также малварь блокирует порядка 250 различных доменов связанных с информационной безопасностью.


Однако «паранойя» зловреда на этом не заканчивается. Furtim также отключает механизм уведомлений и всплывающие окна в Windows, и перехватывает контроль над командной строкой и Диспетчером задач, не давая попасть туда жертве.


Убедившись, что все под контролем, вредонос собирает данные о зараженной машине и отправляет на командный сервер. Управляющий сервер, в свою очередь, использует эту информацию для идентификации жертв, и передает Furtim финальную порцию пейлоадов, так как до этого на компьютере, по сути, работал только загрузчик малвари. Эта операция производится всего один раз, что тоже затрудняет работу экспертов по безопасности.


Костяк вредоноса состоит из трех файлов. Первый отключает на зараженной машине спящий режим и не дает жертве изменить соответственные настройки. Второй файл, это малварь Pony, похищающая данные. Pony ворует все, что плохо лежит, от учетных данных FTP-серверов и почтовых клиентов, до истории браузера и паролей, хранящихся на компьютере. Что делает третий пейлоад, эксперты enSilo пока понять не смогли, так как «разобрать» его им пока не удалось.


Также исследователи enSilo смогли определить, что управляющий сервер малвари расположен на российском домене и связан с несколькими украинскими IP-адресами.

Показать полностью 1
Вирус Антивирус Скрытность Вредоносное по Проверка
149

Найдены баги позволяющие похитить 25 МЛН $ у индийского банка!

Независимый исследователь Сатья Пракаш (Sathya Prakash) рассказал в своем блоге, что осенью 2015 года ему удалось обнаружить ряд критических уязвимостей в приложении одного из крупнейших банков Индии. Благодаря найденным дырам, исследователь имел возможность похитить порядка 25 000 000 долларов.
Найдены баги позволяющие похитить 25 МЛН $ у индийского банка! Длиннопост, Баг, Банк, Уязвимость, iOS, Дыра, Код, Исследования

Похищать чужие миллионы Пракаш не стал, ведь он white hat. Но исследователь коротал долгие осенние вечера в Швеции за изучением iOS приложения одного из крупнейших банков Индии, чье название не раскрывается.


Очень быстро Пракаш обнаружил, что у банковского приложения большие проблемы с certificate pinning. Это позволило реализовать man-in-the-middle атаку, понизить SSL соединение до более примитивного (SSL2.0), а затем перехватить запросы в виде обыкновенного текста, используя поддельные сертификаты.


Затем исследователь обнаружил, что архитектура приложения в принципе далека от идеала. В частности, оказалось, что приложение вообще никак не проверяет, действительно ли использованный в запросе ID клиента принадлежит клиенту, а не мошеннику. Ввод логина и пароля не требуется, PIN-код авторизации транзакции (MTPIN) не проверяется, так что злоумышленник может с легкостью выдаться себя на клиента банка. Все это позволяет получить информацию о балансе текущего счета жертвы и ее депозитах. Затем эти данные можно использовать для выполнения мошеннических операций.


«В случае перевода средств API напрямую работает с CURL, минуя валидацию аккаунта получателя/отправителя. Я мог перевести деньги на счета, которых не было в моем списке получателей», — объясняет Пракаш в блоге.

Фактически кто угодно, установивший мобильное приложение банка и имея банковский счет, мог перевести деньги с аккаунтов других пользователей. Паркаш пишет, что проверил уязвимости на нескольких аккаунтах, принадлежащих членам его семьи. У многих из них даже не был подключен интернет-банкинг или мобильный банкинг. Однако уязвимости исправно работали «как по волшебству».


13 строк кода и простая автоматизация багов готова:

Найдены баги позволяющие похитить 25 МЛН $ у индийского банка! Длиннопост, Баг, Банк, Уязвимость, iOS, Дыра, Код, Исследования
Обо всех найденных проблемах исследователь сообщил представителям банка 13 ноября 2015 года. Ответ пришел лишь двенадцать дней спустя — 25 ноября 2015 года. Пракашу ответил лично заместитель генерального директора банка, уведомив о том, что все уязвимости были устранены. Никакого вознаграждения исследователю не предложили, лишь поблагодарили за бдительность и пожелали хорошего дня. Пракаш пишет, что был ошеломлен, однако он все же поинтересовался у представителей банка, нет ли у них какой-то bug bounty программы, намекнув, что бреши вели к чужим счетам, с которых суммарно можно было похитить порядка 25 млн долларов. Ответа на свой вопрос исследователь так и не получил, больше сотрудники банка на связь не выходили. «Bug Bounty = 0$. Добро пожаловать в Индию!», — шутит Пракаш в конце своего отчета.


Официальный ответ банка:

Найдены баги позволяющие похитить 25 МЛН $ у индийского банка! Длиннопост, Баг, Банк, Уязвимость, iOS, Дыра, Код, Исследования
Показать полностью 2
Длиннопост Баг Банк Уязвимость iOS Дыра Код Исследования
7

Базы: Издание Intercept публикует секретные документы из "Архива Сноудена"

Издание Intercept, уже ставшее своеобразным приемником Wikileaks, начало публикацию секретных документов, полученных от Эдварда Сноудена. В основном это внутренняя документация и отчеты АНБ. Первая партия бумаг уже выложена в открытый доступ, в нее вошли 166 документов, датированных 2003 годом.
Базы: Издание Intercept публикует секретные документы из "Архива Сноудена" Архив, Эдвард Сноуден, Wikileaks, Данные, АНБ, Публикация, Политика

«Архив Сноудена» журналисты получили еще три года назад в Гонконге, из рук самого Сноудена. Однако тогда бывший сотрудник АНБ поставил два условия, которые нужно соблюсти, публикуя эти данные. Во-первых, Сноуден попросил, чтобы документы были обнародованы в удобоваримом виде, с соответственными пояснениями и контекстом. Во-вторых, он настаивал, что из-за публикации архива не должны пострадать невинные люди.

Базы: Издание Intercept публикует секретные документы из "Архива Сноудена" Архив, Эдвард Сноуден, Wikileaks, Данные, АНБ, Публикация, Политика

В частности, именно из-за этих условий Сноудена журналисты не обнародовали данные раньше, а теперь намерены выкладывать их частями, с соблюдением всех формальностей. Согласно официальному сообщению Intercept, первая партия документов содержит данные из внутренней рассылки управления — SIDtoday. Среди бумаг, датированных 2003 годом, можно найти как сверхсекретные отчеты о программах слежения АНБ, так и рутинные данные о поездках сотрудников ведомства.


Теперь «архиву Сноудена» на Intercept посвящен специальный раздел сайта. Файлы можно читать прямо на сайте, можно скачать их единым архивом, или воспользоваться GitHub. Каждый документ сопровождается кратким изложением его содержания.


Журналисты Intercept сообщают, что сами они уже обрабатывают документацию от 2012 года и постепенно разместят на сайте весь «архив Сноудена».

P.S.- Качаем архив- говорим спасибо))))))))))))))

Показать полностью 1
Архив Эдвард Сноуден Wikileaks Данные АНБ Публикация Политика
31
Отличная работа, все прочитано!