Обзор инцидентов кибербезопасности за период с 6 по 12 августа.

Нихау, киберсталкеры! Привет, случайный подписчик. Как и обещал вчера, вот полный обзор вчерашнего дайджеста. Смотрим и проникаемся, учимся и приходим к мысли о том, что пора бы и самому хорошенько так подзаработать, ибо рынок киберпреступлений только будет расти ещё ближайшие лет так 25 (с нашими схемами и методологией заработать можно быстрее и качественнее).

Поехали:

На прошлой неделе не обошлось без утечек данных, атак правительственных хакеров, новых ботнетов и пр. Однако самой громкой стала новость о новом способе деанонимизации Telegram. О самых значительных инцидентах безопасности за период с 6 по 12 августа мы расскажем ниже:

1. Неизвестному злоумышленнику удалось похитить сведения об истребителе стоимостью 9 млн фунтов стерлингов с помощью хитроумной ловушки для служащих Королевских военно-воздушных сил Великобритании (Royal Air Force, RAF). По данным издания Daily Mail, хакер взломал принадлежащую одной из служащих RAF учетную запись в приложении для знакомств Tinder и, выдавая себя за женщину, общался с военными мужского пола. С помощью этой уловки злоумышленник смог убедить как минимум одного служащего RAF выдать ему секретные данные об истребителе следующего поколения F-35 Lightning II. Было ли вовлечено в шпионскую схему иностранное государство, пока неизвестно. Как предполагают в Daily Mail, за инцидентом могут стоять Китай или Россия, заинтересованные в информации о F-35 Lightning II. Согласно служебной записке, отправленной высшему руководству главой безопасности RAF, злоумышленник смог получить лишь небольшую часть информации. Кроме того, служащая, чья учетная запись в Tinder была взломана, сразу же доложила о случившемся, что позволило предпринять соответствующие меры.
2. Специалисты по безопасности из компании Oracle сообщили о кибератаках на DNS-серверы трех крупных фирм, занимающихся обработкой платежей в США. Основной целью злоумышленников было перенаправление трафика и хищение данных о платежах. Как следует из доклада, злоумышленники использовали технику BGP-перехвата для атаки на серверы компаний WorldPay, Datawire и Vantiv. В ходе кратковременной первой атаки, начавшейся 6 июля 2018 года, хакеры попытались перенаправить трафик ряда блоков IP-адресов. 10 июля была проведена еще одна атака, в ходе которой преступники пытались перенаправить трафик тех же самых IP-адресов, однако на этот раз нападение длилось 30 минут. В течение июля атакующие осуществили еще несколько атак длительностью до 3 часов. В атаках, происходивших 10 и 13 июля, трафик выводился из Луганска (Украина) на IP-адреса на острове Кюрасао (Нидерланды). Как полагают специалисты, данные атаки был лишь частью вредоносной кампании. Ранее эксперты зафиксировали нападение на серверы Amazon, в ходе которых злоумышленники действовали аналогичным образом, а трафик также выводился из Луганска.
3. Исследователи компании Checkpoint обнаружили масштабный ботнет под названием Black, созданный операторами банковского трояна Ramnit. Впервые о Ramnit стало известно в 2010 году. В то время вредонос представлял собой сетевого червя, однако в 2011 году он был усовершенствован с помощью утекшего исходного кода трояна Zeus и в настоящее время является одним из популярнейших банковских троянов. В 2014 году Ramnit занял четвертое место среди крупнейших ботнетов. В 2015 году C&C-инфраструктура ботнета была отключена совместными усилиями Интерпола и технологических компаний. Тем не менее, спустя несколько месяцев появился новый вариант трояна. Недавно обнаруженный ботнет Black всего за два месяца успел заразить 100 тыс. систем, и это только начало. По словам исследователей, сейчас идет второй этап кампании, в ходе которого распространяется вредоносное ПО Ngioweb. Как сообщают исследователи, C&C-сервер Ramnit (185.44.75.109) активен с 6 марта текущего года, но в то время он не привлекал внимания из-за небольших масштабов ботнета. Однако в мае-июле была зафиксирована новая вредоносная кампания, в ходе которой были заражены 100 тыс. систем. Ramnit распространяется через спам. Установившись на систему, вредонос загружает вредоносное ПО Ngioweb, представляющее собой многофункциональный прокси-сервер и использующее собственный протокол с двумя уровнями шифрования.
4. Недавно обнаруженная хакерская группировка DarkHydrus использует инструменты с открытым исходным кодом для осуществления фишинговых атак, направленных на хищение удостоверяющих документов от государственных учреждений и учебных заведений на Ближнем Востоке. Группировка была обнаружена исследователями безопасности из команды Palo Alto Networks Unit 42. В предыдущих кампаниях злоумышленники использовали различные вредоносные инструменты, в том числе Meterpreter, Cobalt Strike, Invoke-Obfuscation, Mimikatz, PowerShellEmpire и Veil. Как правило, хакеры используют вредоносные документы Microsoft Office для заражения своих жертв. В ходе недавней атаки DarkHydrus нацелились на одно из ближневосточных образовательных учреждений. Кампания предназначалась для хищения учетных данных жертв с помощью вредоносного ПО с открытым исходным кодом Phishery. По словам специалистов, ранее злоумышленники уже использовали аналогичную тактику для хищения учетных данных жертв.
5. Хакеры атакуют маршрутизаторы D-Link DSL в Бразилии, изменяя настройки DNS таким образом, чтобы устройства подключались к подконтрольному им DNS-серверу. При попытке зайти на сайт своего банка пользователь перенаправляется на фишинговую страницу, с помощью которой злоумышленники похищают его персональные данные. Как сообщают специалисты компании Radware, киберпреступники эксплуатируют уязвимость в определенных моделях D-Link DSL, позволяющую удаленно изменять настройки DNS без какой-либо аутентификации. Они также используют вредоносные DNS-серверы 69.162.89.185 и 198.50.222.136, перенаправляющие жертв на поддельные страницы банков Banco de Brasil и Unibanco, являющиеся почти точными копиями настоящих. «Клоны» запрашивают такую информацию, как номер счета, восьмизначный PIN-код, PIN-код карты, номер телефона и пр. Атака осуществляется без какого-либо участия пользователя, отмечают исследователи. Никаких электронных писем или внесений изменений на компьютере жертвы не требуется. Тем не менее, браузер будет обозначать поддельные страницы как небезопасные, и пользователь может догадаться о мошенничестве.
6. Некоему разработчику удалось заполучить исходный код мессенджера Snapchat и открыто опубликовать его в репозитории на сайте GitHub. На момент написания новости репозиторий уже был удален. Как сообщает издание The Next Web, некто под псевдонимом i5xx создал на GitHub репозиторий, в описании которого значилось «Исходный код Snapchat» (Source Code for SnapChat). Код был написан на используемом Apple языке Objective-C, однако подтвердить, что он действительно имеет отношение к Snapchat, издание затрудняется. Тем не менее, подтверждением подлинности кода может служить запрос компании Snap на удаление репозитория в соответствии с «Законом об авторском праве в цифровую эпоху» (DMCA). Согласно профилю i5xx на GitHub, его настоящее имя Халед Альшери (Khaled Alshehri). Однако подлинность этого имени вызывает сомнения, поскольку при регистрации учетной записи подтверждение личности не требуется, и можно указать любое имя. Профиль i5xx связан с компанией в Саудовской Аравии, предлагающий широкий спектр услуг, начиная от сканирования безопасности и удаления учетных записей iCloud и заканчивая разработкой ПО и продажей подарочных карт iTunes. Несколько дней назад репозиторий i5xx был удален по запросу Snap в соответствии с DMCA. Формулировка запроса отображает панику в компании (вместо юридической терминологии используется разговорный стиль, а большая часть текста напечатана «капслоком»), что может свидетельствовать о подлинности опубликованного кода. Похоже, i5xx не преследовал какие-либо преступные цели. Складывается впечатление, будто исследователь обнаружил что-то, но не смог связаться с производителем. Судя по нескольким «твитам», он честно пытался достучаться до Snap, но остался без ответа. «Я опубликую код еще раз, пока не получу от вас ответ», - говорится в одном из «твитов».
7. Отныне сотрудники правоохранительных органов и спецслужб в России смогут получить номер телефона любого пользователя Telegram по его юзернейму. С помощью телефонного номера правоохранители смогут узнать личность пользователя у оператора связи. Как сообщают «Известия», специалисты Центра исследований легитимности и политического протеста обнаружили в API популярного мессенджера уязвимость, позволяющую деанонимизировать пользователей. Эксперты даже разработали специальное ПО под названием «Криптоскан» для определения номера телефона по имени пользователя, указанному при регистрации учетной записи. Как именно работает «Криптоскан», специалисты не сообщают. Известно, что ПО отправляет мессенджеру запрос с именем пользователя и получает ответ с ID, номером телефона, именем и фамилией. Журналисты решили проверить работу «Криптоскана», запросив данные одного из редакторов. Номер телефона действительно оказался верным, а имя и фамилия нет. Однако пользователи Telegram зачастую пользуются псевдонимами, поэтому имена могут не совпадать. Тем не менее, раскрыть личность пользователя правоохранители могут по одному лишь номеру телефона. По словам представителей Центра исследований легитимности и политического протеста, они уже получили запросы на деанонимизацию от МВД и ФСБ. Предполагается, что «Криптоскан» поможет правоохранителям в поимке преступников.

Вот так, господа будущие хакеры. Прогресс не стоит на месте. И, чтобы мутить бабло и оставаться безнаказанным, нужно идти в ногу с прогрессом и внимательно следить за новостям. Оставайтесь с нами - дальше будет ещё интереснее!