Обзор инцидентов киберпреступлений и кибербезопасности за период с 3 по 9 сентября 2018г.
Нихау, киберсталкеры! Привет, случайный подписчик. Как и обещал вчера, вот полный обзор воскресного дайджеста. Смотрим и проникаемся, учимся и приходим к мысли о том, что пора бы и самому хорошенько так подзаработать, ибо рынок киберпреступлений только будет расти ещё ближайшие лет так 25. А с нашими схемами и методологией заработать можно быстрее и качественнее. Как раз на этом самом рынке.
Поехали:
ТЫСЯЧИ ВЗЛОМАННЫХ МАРШРУТИЗАТОРОВ MIKROTIK ОТПРАВЛЯЮТ ТРАФИК ХАКЕРАМ
Наибольшее число скомпрометированных устройств находится в России.
Исследователи безопасности из компании Qihoo 360Netlab сообщили об обнаружении новой вредоносной кампании, в ходе которой было инфицировано более 7,5 тыс. маршрутизаторов MikroTik по всему миру. Атака осуществлена с использованием уязвимости CVE-2018-14847 в компоненте управления Winbox, позволяющей удаленному злоумышленнику обойти аутентификацию и читать произвольные файлы. Проблема была исправлена производителем в апреле текущего года. По данным экспертов, в сети насчитывается порядка 370 тыс. маршрутизаторов MikroTik, уязвимых к атакам с использованием данной проблемы.
По словам исследователей, злоумышленники изменили настройки устройств таким образом, чтобы перенаправлять весь трафик на 9 принадлежащих им внешних IP-адресов.
«Самым используемым является адрес 37.1.207.114. Значительное количество устройств перенаправляет свой трафик именно на него», - отметили эксперты.
Как выяснилось в ходе анализа, злоумышленники проявляют усиленный интерес к портам 20, 21, 25, 110 и 144, которые предназначены для FTP, SMTP, POP3 и IMAP-трафика. Необычным является хищения трафика с портов SNMP (Simple Network Management Protocol) 161 и 162, которые, как правило, игнорируются в ходе подобных кампаний.
Наибольшее количество скомпрометированных устройств зафиксировано в России (1628), Иране (637), Бразилии (615), Индии (594) и Украине (544).
Данная атака направлена на заражение устройств с помощью скрипта для майнинга криптовалют Coinhive.
«Злоумышленники пытались майнить криптовалюту с помощью прокси-трафика с устройств пользователей», - отметили исследователи.
Однако, злоумышленники допустили ошибку и неправильно настроили списки контроля доступа к прокси, заблокировав таким образом все внешние web-ресурсы, в том числе необходимые для майнинга.
УЯЗВИМОСТЬ ALPC В ОС WINDOWS АКТИВНО ЭКСПЛУАТИРУЕТСЯ КИБЕРПРЕСТУПНИКАМИ
Злоумышленники начали эксплуатировать проблему спустя два дня после публикации PoC-кода.
Исследователи безопасности из компании ESET сообщили, что киберпреступная группировка PowerPool активно эксплуатирует недавно раскрытую уязвимость в ALPC-интерфейсе планировщика задач в ОС Windows.
Злоумышленники начали эксплуатировать проблему спустя два дня после публикации PoC-кода. Код был внедрен в цепочку эксплоитов одного из вредоносов, используемых группировкой для заражения систем пользователей по всему миру и хищения их конфиденциальных данных.
Данная уязвимость позволяет злоумышленнику повысить права с уровня Guest или User до уровня SYSTEM. По словам специалистов ESET, проблема активно эксплуатируется киберпреступниками в течение последней недели. Группировка под названием PowerPool отправляет содержащий вредоносное вложение спам выбранным жертвам по всему миру. В частности, сообщается о случаях инфицирования устройств пользователей в Чили, Германии, Индии, Филиппинах, Польше, России, Великобритании, США и Украине.
Когда злоумышленники определяют, что зараженный компьютер может содержать конфиденциальные данные, они загружают второй, более мощный бэкдор. Затем группа использует уязвимость в ALPC-интерфейсе для получения прав администратора.
Напомним, ранее компания по кибербезопасности Acros Security выпустила временное исправление, предотвращающее эксплуатацию данной проблемы.
IOT-БОТНЕТ HAKAI АТАКУЕТ МАРШРУТИЗАТОРЫ D-LINK, HUAWEI И REALTEK
Всплеск активности нового ботнета произошел в начале августа текущего года.
Исследователи безопасности обнаружили новое вредоносное ПО Hakai, которое тайно инфицирует все больше и больше маршрутизаторов от известных производителей, включая их в одноименный ботнет. Впервые вредонос был обнаружен специалистами по кибербезопасности из NewSky Security.
Первая версия Hakai была основана на вредоносном ПО Qbot (также известном как Gafgyt, Bashlite, Lizkebab, Torlus и LizardStresser). Первая версия ПО была сравнительно простой и проявляла редкую активность, сообщил изданию ZDNet эксперт по безопасности Анкит Анубхав (Ankit Anubhav).
По словам эксперта, создатель ботнета изначально искал внимания и огласки.
«Он попросил меня популяризировать его ботнет. Он даже поместил мою фотографию на главную страницу C&C-сервера с адресом hakaiboatnet [.] pw», - сообщил Анубхав.
Ботнет начал активно инфицировать пользовательские устройства на постоянной основе примерно месяц спустя после обнаружения в июне 2018 года. В ходе атак была проэксплуатирована уязвимость CVE-2017-17215 в маршрутизаторах Huawei HG352.
С тех пор активность Hakai неуклонно растет. К середине августа другие исследователи также начали обращать внимание на новый ботнет, наблюдая, как все больше устройств от различных производителей подключается к нему.
СБУ ОБЕЗВРЕДИЛА КИБЕРГРУППУ, ВОРОВАВШУЮ ДЕНЬГИ СО СЧЕТОВ 20 БАНКОВ МИРА
Легализация похищенных средств осуществлялась через сеть фиктивных организаций.
Сотрудники Службы безопасности Украины пресекли деятельность международной киберпреступной группировки, специализировавшейся на хищении и легализации средств, снятых со счетов клиентов банковских организаций в 20 странах мира.
С помощью специального программного обеспечения злоумышленники получали доступ к персональным данным клиентов банков из стран Евросоюза, Южной Азии и постсоветского пространства. Затем они формировали в банковских системах фальшивые платежные документы и выводили средства со счетов коммерсантов. Легализация похищенных денег осуществлялась через сеть фиктивных организаций с фирмами-посредницами.
В ходе следственных действий на местах проживания подозреваемых правоохранители изъяли финансовую документацию, подтверждающую факты подделки банковских гарантий и незаконный перевод украденных средств через популярные банковские системы.
Сотрудники спецслужбы задержали организато��а группировки - гражданина одной из стран Ближнего Востока и его сообщника, отвечавшего за техническую поддержку операции.
В настоящее время следственные действия продолжаются.
КЛИЕНТЫ BRITISH AIRWAYS СТАЛИ ЖЕРТВАМИ УТЕЧКИ ДАННЫХ
Неизвестные похитили банковские данных пользователей, заказывавших авиабилеты через сайт или приложение British Airways.
Авиакомпания British Airways расследует похищение данных пользователей со своего сайта и приложения, продолжавшееся в течение двух недель. Согласно уведомлению компании, утечка затронула данные порядка 380 тыс. платежных карт. British Airways обратилась в полицию и попросила пострадавших пользователей связаться со своими банками.
Злоумышленники похитили персональные и банковские данные пользователей, заказывавших авиабилеты на сайте ba.com или в приложении с 21 августа по 5 сентября 2018 года. Паспортные данные и сведения о полетах скомпрометированы не были.
Как сообщает The Guardian, Национальному агентству по борьбе с преступностью Великобритании известно о случившемся, и в настоящее время ведомство «работает с партнерами для выбора наилучшего курса действий». В Управлении комиссара по информации также знают об утечке, и British Airways будут направлены соответствующие запросы.
РАЗРАБОТЧИКИ ШПИОНСКОГО ПРИЛОЖЕНИЯ MSPY ДОПУСТИЛИ УТЕЧКУ ДАННЫХ ВСЕХ СВОИХ ПОЛЬЗОВАТЕЛЕЙ
Жертвой утечки стали как клиенты mSpy, так и те, за кем шпионили.
Разработчики приложения mSpy, предназначенного для слежки за телефонами, по ошибке раскрыли информацию своих пользователей, а также данные полученные из телефонов, на которых программа запущена. В Сети в открытом доступе была обнаружена незащищенная база данных mSpy, сообщает эксперт по кибербезопасности Брайан Кребс.
Таким образом, жертвой утечки стали как клиенты mSpy, так и те, за кем шпионили. По словам Кребса, инцидент затронул более миллиона пользователей.
Помимо информации, позволяющей войти в учетные записи клиентов и просмотреть все данные, доступные с отслеживаемых телефонов, mSpy раскрыла личную контактную информацию, такую как имена и почтовые адреса, использовавшиеся клиентами для приобретения программного обеспечения.
Данные включали имена и учетные данные пользователей компании, информацию об учетной записи в iCloud, а также сообщениях в WhatsApp и Facebook на телефонах. Как сообщил Кребс, база данных стала недоступна, после того как он уведомил компанию о проблеме.
Как то так, киберсталкеры. Как видите, во всём мире народу есть чем заняться - не скучает никто. Мы постараемся и дальше держать вас в курсе всех интересных и стоящих новостей из кибермира. Ведь кибермир уже давно стал неотъемлемой частью мира реального... Но, главное, помните - безопасность, сука, решает.