Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Хакер взломал сотни компаний через уязвимости на сайтах служб техподдержки

Хакер обнаружил уязвимость, позволяющую получить доступ к внутренним коммуникациям компаний.

Независимый исследователь безопасности Инти Де Кекелайре (Inti De Ceukelaire) обнаружил уязвимость, позволяющую получить доступ к внутренним коммуникациям компаний. Эксплуатируя данную уязвимость, злоумышленники могут получить доступ к внутренним сетям организации, учетным записям в соцсетях и службам поддержки в корпоративных сетях Yammer и Slack. Об этом исследователь сообщил в своем блоге .

Популярные инструменты бизнес-коммуникации, такие как Slack, Yammer и Facebook Workplace осуществляют авторизацию сотрудников компании через адрес корпоративной электронной почты (например, "@имя_компании"). Как только сотрудник нажимает ссылку подтверждения, отправленную на внутренний адрес электронной почты, он получает доступ к внутренним коммуникациям компании.

Сотрудник может получить приглашение для авторизации в корпоротивной учетной записи двумя способами. Администратор может вручную отправить приглашение по электронной почте или разрешить пользователю, у которого есть адрес электронной почты с одобренным доменным именем, создавать собственные учетные записи. В первом случае, злоумышленник может получить доступ к рабочему пространству Slack, получив доступ к учетной записи администратора, либо в результате ошибки администратора. Во втором случае преступнику потребуется создать учетную запись электронной почты с доменным именем компании.

Как выяснилось, получить корпоративную почту не так сложно, как кажется. Де Кекелайре создал проект на Gitlab и получил уникальный электронный адрес @gitlab.com. Заметив, что Slack автоматически проверяет только доменное имя, он использовал электронный адрес, чтобы успешно зарегистрироваться в учетной записи Slack, принадлежащей одной из компаний-разработчиков. В службах поддержки наподобие Slack и Yammer отсутствуют механизмы проверки пользователя, то есть, если компания использует свое доменное имя для авторизации, но не проверяет пользователя, служба поддержки будет считать, что это подтвержденный электронный адрес сотрудника компании.

Подобным образом хакеру также удалось получить доступ к порталу Vimeo и создать учетную запись на странице поддержки команды Slack Vimeo. Исследователь сообщил Vimeo о проблеме, и компания выплатила ему вознаграждение в размере $2 тыс.

Ранее Де Кекелайре выявил новый метод, позволяющий получить доступ к скрытым мобильным номерам пользователей Facebook.

Slack — корпоративный мессенджер, который по состоянию на июнь 2015 года ежедневно использовали 1,1 миллиона пользователей.

Yammer — компания, занимающаяся поддержкой и развитием одноименной службы корпоративных социальных сетей на основе условно-бесплатной модели, выкуплена Microsoft в 2012 году.

Дата: 2017-09-22 10:26:00

Источник: http://www.securitylab.ru/news/488681.php



Уязвимость в Slack грозит новой эпидемией шифровальщиков

Уязвимость в механизме обновлений мессенджера Slack грозит новой эпидемией зловредов-шифровальщиков. Распространение Linux-дистрибутивов без электронной подписи позволяет злоумышленникам отправить миллионам пользователей скомпрометированное приложение и получить доступ к их компьютерам и сетевым ресурсам.

Обычно при распространении ПО дистрибутивы шифруются с использованием PGP-ключа. Это дает пользователям уверенность, что устанавливаемые программы поступили от настоящего разработчика. Slack не использует электронную подпись, и любой злоумышленник может взломать механизмы обновления и разослать пользователям зараженный софт под видом очередной версии программы.

Наихудший сценарий в этом случае будет напоминать июньскую эпидемию вируса Petya, который поначалу маскировался под обновление украинской системы электронного документооборота MeDoc. Тогда от зловреда пострадало украинское правительство, банки, киевский аэропорт, метро и государственные энергетические компании. Сотрудникам Чернобыльской АЭС пришлось отключиться от сети и перейти на ручное управление. При этом, в отличие от Wannacry, который прогремел по миру месяцем ранее, Petya не шифровал файлы пользователей, а безвозвратно их уничтожал, лишая смысла любые попытки откупиться.

Можно только гадать о целях злоумышленников, которые решат воспользоваться уязвимостью Slack. Среди платных подписчиков мессенджера — компании в более чем 100 странах по всему миру, включая 43 организации из списка Fortune 100. Подобная атака может остановить деловую активность в передовых отраслях мировой экономики. Ущерб в виде упущенной выгоды и прямых материальных потерь поставит ее в один ряд с крупнейшими террористическими атаками наподобие событий 11 сентября 2001 года.

Недоработку еще в августе обнаружил пользователь по имени Тревор Хэмсли (Trevor Hemsley). Он сообщил об уязвимости разработчикам мессенджера, однако те так и не выпустили обещанный патч. Не дождавшись ответа, Хэмсли связался с британским онлайн-изданием The Register (ElReg), которое следит за событиями в IT-мире. Журналисты отправили запрос в PR-службу Slack, которая прислала следующий ответ: «Мы очень серьезно относимся к безопасности и постоянно ищем пути улучшения, и сейчас работаем над этой проблемой [отсутствием электронной подписи под Linux-дистрибутивами]. Этот вопрос уже достаточно долго стоит в наших планах, и решение поступит очень скоро».

Пользователей, которые вспомнили, что в феврале 2015 года Slack уже попадал под прицел киберпреступников, такое заявление не удовлетворило. Тогда на протяжении четырех дней хакеры имели доступ к базе данных с именами 500 тысяч пользователей, адресами электронной почты и хэшированными паролями. Никаких серьезных последствий атака не имела, и после нее Slack ввел двухфакторную аутентификацию. Стоит отметить, что официальное сообщение о взломе тогда последовало лишь через месяц после свершившегося преступления. Хэмсли обратился к разработчикам полтора месяца назад, и все это время уязвимость остается незакрытой.
Slack запустился в 2013 году и стал самым быстрорастущим стартапом в истории. В 2015 году его аудитория увеличивалась на 10 тысяч в неделю, достигнув к настоящему моменту пяти миллионов ежедневных пользователей. В ходе последнего инвестиционного раунда, который состоялся в конце сентября 2017 года, стоимость компании превысила 5 млрд долларов.

Дата: 2017-09-22 10:05:50

Источник: https://threatpost.ru/unsigned-slack-for-linux-is-a-threat/22421/



Раскрыты подробности новой кампании по распространению шпионского ПО FinFisher

География кампании охватывает семь стран и в двух из них к атакам предположительно причастны интернет-провайдеры.

Эксперты компании ESET обнаружили кампанию по распространению новой версии вредоносного ПО FinFisher, также известного как FinSpy. География кампании охватывает семь стран и, как полагают исследователи, в двух из них к атакам причастны крупные интернет-провайдеры.

По словам экспертов, помимо усовершенствованного функционала, ряд вариантов FinFisher «используют ранее неизвестный вектор атаки с четкими свидетельствами причастности интернет-провайдеров». В связи с соображениями безопасности специалисты не раскрывают страны, которые затрагивает кампания.

FinFisher представляет собой мощный инструмент для кибершпионажа, разработанный компанией Gamma Group, и предназначенный для использования правоохранительными органами. Функционал программы включает возможность перехвата коммуникаций, записи нажатий клавиш, наблюдения через web-камеры и микрофоны.

Основная особенность новой кампании в аспекте распространения FinFisher заключается в использовании злоумышленниками атак «человек посередине» (MitM) на уровне интернет-провайдера. При попытке жертвы скачать с официального сайта одно из популярных приложений (WhatsApp, Skype, Avast, WinRAR, VLC Player и пр.) происходит перенаправление на сервер атакующих. В результате на компьютер объекта загружается инфицированная FinFisher версия легитимного ПО.

Эксперты привели ряд фактов в подтверждение предположения о причастности интернет-провайдеров к данной кампании. Во-первых, согласно документам, обнародованным WikiLeaks, производитель FinFisher также предлагает решение FinFly ISP, предназначенное для использования в сетях провайдеров и обладающее возможностями для проведения MitM-атак. Во-вторых, применяемый метод инфицирования (с использованием временного редиректа HTTP 307) в двух затронутых странах реализован одним и тем же способом, в-третьих, все владельцы скомпрометированных устройств в одной из стран пользовались услугами одного провайдера. Наконец, в одной из стран тот же метод редиректа использовался провайдерами для фильтрации интернет-контента.

Gamma Group - международная компания, специализирующаяся на производстве систем для наблюдения и мониторинга, с представительствами в Европе, Африке, Азии и на Ближнем Востоке.

Дата: 2017-09-22 08:49:15

Источник: http://www.securitylab.ru/news/488676.php



В 1 квартале 2017 года Россия стала лидером по числу заражений вредоносным ПО

Microsoft зафиксировала рост количества атак на облачные сервисы.

С января по март 2017 года количество кибератак в мире выросло в 4 раза. Такие данные содержатся в отчете по киберугрозам за первый квартал 2017 года, опубликованном компанией Microsoft. В отчете Microsoft разделила данные по киберугрозам в облачной среде и на пользовательских устройствах.

Для сбора данных использовалась система Windows Defender Security Intelligence (WDSI). Согласно исследованию, в первом квартале 2017 года 14,8% компьютеров в России столкнулись с вредоносным ПО, в то время как средний показатель по миру составил 9%. Тем не менее, исследователи отмечают тенденцию к снижению количества киберугроз в России с 17,2% в феврале до 12% в марте текущего года.

С ростом популярности облачных сервисов число атак на них также возросло. В частности, компания зафиксировала рост несанкционированных попыток входа в учетную запись Microsoft с вредоносных IP-адресов на 44%, став главной причиной заражения облачных сервисов (51%). Также в числе наиболее распространенных оказались: атаки через протоколы удаленного доступа (23%) и SSH (1,7%), распространение спама (19%), сканирование портов (3,7%) и пр.

По словам исследователей Microsoft, самым распространенным типом угроз в указанный период стали трояны (10,26%), инсталляторы нежелательного ПО (1,5%), вредоносные модификаторы браузеров (2,14%), дропперы (0,64%) и рекламное ПО (0,25%).


Дата: 2017-09-22 08:01:00

Источник: http://www.securitylab.ru/news/488675.php



Популярная Android-клавиатура шпионит за пользователями

Сразу же после установки приложение GO Keyboard отправляет данные пользователя на удаленный сервер.

Как сообщают исследователи из Adguard, популярная клавиатура GO Keyboard шпионит за пользователями. Созданное китайскими разработчиками GOMO Dev Team приложение передает персональные данные пользователей на удаленный сервер, а также «использует запрещенную технику для загрузки опасного исполняемого кода», заявили эксперты.

Исследователи сделали свое открытие в ходе анализа потребления трафика и нежелательного поведения различных клавиатур для Android. С помощью инструмента AdGuard for Android app, позволяющего видеть, какой именно трафик генерируется приложением, эксперты обнаружили, что GO Keyboard осуществляет подозрительные подключения, использует трекеры и передает персональную информацию.

Согласно описанию GO Keyboard в Google Play, приложение не собирает персональные данные. Тем не менее, по словам исследователей, клавиатура начинает отправлять данные пользователя сразу же после инсталляции, подключается к десяткам отслеживающих сервисов и имеет доступ к хранящейся на устройстве конфиденциальной информации. Подобное поведение весьма распространено среди современных мобильных приложений, однако оно нарушает политику конфиденциальности Google Play.

«Без явного согласия пользователя GO Keyboard передает на свои серверы электронный адрес, привязанный к вашей учетной записи Google, а также выбранный язык, IMSI, местоположение, тип сети, размер экрана, версию Android, модель устройства и т.д.», – сообщили исследователи.

Помимо всего вышеперечисленного, GO Keyboard загружает со своих серверов код, идентифицируемый многими антивирусными решениями как рекламное или потенциально нежелательное ПО.

Дата: 2017-09-22 07:39:48

Источник: http://www.securitylab.ru/news/488674.php



Решения для контроля над энергопотреблением могут использоваться для атак на чипсеты

Представлена атака на чипсеты в современной электронике с использованием системы контроля над энергопотреблением.

Команда ученых Колумбийского университета (США) разработала метод атаки на аппаратное и программное обеспечение большинства современных электронных устройств, позволяющий получить контроль над атакуемой системой. Атака, получившая название CLKSCREW, базируется на использовании решений для управления энергопотреблением.

В настоящее время практически все производители чипсетов оснащают свои продукты системами контроля над энергопотреблением. Объектом для своего исследования ученые Колумбийского университета выбрали систему Dynamic Voltage and Frequency Scaling (DVFS), позволяющую производителям устройств контролировать напряжение и частоту потребляемого процессорами электрического тока. Представленная еще в 1994 году система в наши дни используется практически везде. Именно DVFS применяется для охлаждения процессоров и предотвращения их нагревания.

CLKSCREW представляет собой классическую дифференциальную атаку на основе наведения аппаратных ошибок (Differential Fault Attack, DFA). Данный класс атак предполагает использование аппаратного обеспечения на пределе с целью сопоставления полученных результатов с результатами во время нормальной работы. Для обхода систем безопасности достаточно модифицировать лишь один байт в данных, собранных посредством DFA.

Раньше для осуществления DFA был необходим физический доступ к устройству и наличие специального оборудования для его перевода из обычного режима работы в стрессовый. Тем не менее, с появлением систем контроля над энергопотреблением, в частности DVFS, осуществить такую атаку стало гораздо проще.

Используемое в подобных системах ПО позволяет удаленному злоумышленнику атаковать устройство, заставив его прочитать из интернета вредоносный контент. Программа способна взаимодействовать с драйверами устройства и модифицировать настройки напряжения и частоты, тем самым обеспечивая необходимые для DFA стрессовые условия работы устройства.

В своем исследовании ученые атаковали чип TrustZone, использующийся в центральных процессорах Android-устройств для выполнения криптографических операций от имени главной ОС. В ходе атаки CLKSCREW с помощью вредоносного кода ученые максимально разогнали процессор. Поскольку TrustZone и центральный процессор используют одну и ту же систему управления энергопотреблением, чипсет также перешел в режим сверхнагрузки.

Используя недостатки в архитектуре, исследователи зафиксировали, как TrustZone работает в нормальном и стрессовом режимах. Благодаря этому ученым удалось вызвать и обнаружить однобайтные ошибки, с помощью которых они получили закрытый ключ шифрования TrustZone – основной ключ, используемый для шифрования и защиты всех осуществляемых чипсетом вычислений. С его помощью исследователи смогли загрузить самоподписанный код в компонент TrustZone тестируемого смартфона Nexus 6.

DFA – класс атак, базирующихся на генерации случайных аппаратных ошибок во время исполнения криптоалгоритма и последующего их анализа.

Дата: 2017-09-22 06:46:49

Источник: http://www.securitylab.ru/news/488665.php



Американец осужден за саботаж базы данных вооруженных сил США

Злоумышленник внедрил в БД «логическую бомбу», запрограммированную на активизацию и уничтожение базы данных.

Федеральный окружной суд Восточного округа штата Северная Каролина вынес приговор 48-летнему подрядчику сухопутных войск США Миттешу Дасу (Mittesh Das), внедрившему «логическую бомбу» в базы данных по зарплате военнослужащих.

Инцидент произошел в декабре 2014 года после того, как руководство армии приняло решение передать контракт на поддержку и управление базами данных другой компании. Согласно документам суда, предыдущий подрядчик передал управление БД на аутсорсинг Миттешу Дасу – эксперту по управлению базами данных. БД находилась в ведении Даса с 2012 года по 2014 год. В ноябре 2014 года он передал контроль над ней новому подрядчику. Как выяснилось, Дас внедрил в базу данных «логическую бомбу», запрограммированную на активизацию и уничтожение БД спустя некоторое время после увольнения эксперта.

Поврежденная БД содержала информацию о заработной плате и персональных заказах Армии США для 200 тыс. резервистов. Позже специалисты восстановили базу данных, но по заявлению Министерства юстиции США, весь процесс обошелся американской армии в $2,6 млн.

Правоохранительные органы арестовали Даса в апреле 2016 года. Суд приговорил злоумышленника к 10 годам тюремного заключения и штрафу в размере $250 тыс.

Напомним, ранее житель Техаса был приговорен к 27 месяцам лишения свободы за взлом сетей своего бывшего работодателя с целью незаконной покупки за его счет 11 планшетов iPad Air.

Логическая бомба - программа, которая запускается при определенных временных или информационных условиях для осуществления вредоносных действий (как правило, несанкционированного доступа к информации, искажения или уничтожения данных).

Дата: 2017-09-22 06:30:53

Источник: http://www.securitylab.ru/news/488666.php



Национальный банк Канады предупредил о возможной утечке данных клиентов

Сбой в работе сайта мог привести к раскрытию персональных данных 400 клиентов.

В ходе сбоя в работе web-сайта Национального банка Канады (The National Bank of Canada) банка могли быть раскрыты персональные данные 400 клиентов, сообщает информагентство Reuters.

Из-за ошибки часть пользователей могла видеть данные других клиентов при заполнении электронной формы на сайте финорганизации, сообщили представители банка.

Причиной проблемы стала ошибка, допущенная при разработке электронной формы. Финансовая и персональная информация, такая как адреса и номера социального страхования клиентов не пострадали, отметили представители банка.

Напомним, ранее хакеры взломали базу данных бюро кредитных историй Equifax и получили доступ к конфиденциальной информации (номерам социального страхования, датам рождения и домашним адресам) порядка 143 млн клиентов компании. В ходе атаки на Equifax киберпреступники проэксплуатировали уязвимость в Apache Struts. По словам представителей бюро, компания заметила подозрительную активность спустя четыре месяца после компрометации базы данных.

Национальный банк Канады - шестой по величине коммерческий банк в Канаде. Количество клиентов банка составляет порядка 2,4 млн человек. Штаб-квартира банка находится в Монреале.

Дата: 2017-09-22 06:12:00

Источник: http://www.securitylab.ru/news/488664.php



Троян Svpeng использует функции Android для людей с ограниченными возможностями

Новая версия известного банковского трояна обзавелась рядом интересных функций.

Исследователи «Лаборатории Касперского» сообщили о появлении новой модификации известного банковского Android-трояна Svpeng. Теперь вредонос работает еще и как кейлоггер и для записи нажатий клавиш на клавиатуре использует функционал ОС для людей с ограниченными возможностями.

Жертвами новой версии Svpeng стали пользователи в 23 странах. Большая часть пострадавших приходится на Россию – 29%, однако троян не работает на устройствах с русскоязычным интерфейсом. Как правило, подобная практика характерна для российских киберпреступников, пытающихся избежать проблем с законом в РФ. 27% жертв находятся в Германии, 15% – в Турции, 6% – в Польше и 3% – во Франции, но о широкомасштабной вредоносной кампании пока говорить рано.

Svpeng распространяется под видом Flash Player через вредоносные сайты. После попадания на устройство троян проверяет язык интерфейса, и, если таковой не является русским, запрашивает права на получение доступа к спецвозможностям. С их помощью вредонос получает для себя привилегии администратора на устройстве и целый ряд возможностей. К примеру, теперь он способен делать снимки экрана при вводе каждого символа на виртуальной клавиатуре.

Помимо прочего, троян может отображать свои окна поверх других приложений – очень полезная функция, учитывая, что многие банковские программы не разрешают делать скриншоты во время работы с ними. Svpeng открывает фишинговое окно, куда жертва вводит свои данные, отправляющиеся прямиком в руки киберпреступникам. Исследователи обнаружили целый список фишинговых адресов, используемых трояном для маскировки под приложения крупных европейских банков.

Среди других функций Svpeng исследователи также отмечают способность устанавливать себя в качестве SMS-приложения по умолчанию, получать и отправлять SMS-сообщения, осуществлять вызовы и просматривать список контактов. Примечательно, троян блокирует попытки лишить его прав администратора, а значит, деинсталлировать его крайне сложно.

Дата: 2017-09-22 04:58:32

Источник: http://www.securitylab.ru/news/488662.php



Hardening BYOD: Implementing Critical Security Control 3 in a Bring Your Own Device (BYOD) Architecture

The increasing prevalence of Bring Your Own Device (BYOD) architecture poses many challenges to information security professionals. These include, but are not limited to: the risk of loss or theft, unauthorized access to sensitive corporate data, and lack of standardization and control. This last challenge can be particularly troublesome for an enterprise trying to implement the Center for Internet Security (CIS) Critical Security Controls for Effective Cyber Defense (CSCs). CSC 3, Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations and Servers, calls for hardened operating systems and applications. Even in traditional enterprise environments, this requires a certain amount of effort, but it is much more difficult in a BYOD architecture where computer hardware and software is unique to each employee and company control of that hardware and software is constrained. Still, it is possible to implement CSC 3 in a BYOD environment. This paper will examine options for managing a standard, secure Windows 10 laptop as part of a BYOD program, and will also discuss the policies, standards, and guidelines necessary to ensure the implementation of this Critical Security Control is as seamless as possible.

Дата: 2017-09-22 00:00:00

Источник: https://www.sans.org/reading-room/whitepapers/critical/hardening-byod-implementing-critical-security-control-3-bring-device-byod-architecture-38055