+38 (044) 361-14-80 +38 (0482) 428-755      Пн - Пт, с 11.00 до 18.00

 Новости информационной безопасности

Птн, 10 Авг 2018 18:30:17


В прошлом месяце компания Nintendo начала юридически бороться с сайтами, распространяющими ROM’ы старых игр. Это привело к тому, что одни из крупнейших ресурсов такого рода, EmuParadise, был вынужден объявить о том, что прекращает распространение ретро-игр.
Подробнее...

В прошлом месяце компания Nintendo начала юридически бороться с сайтами, распространяющими ROM’ы старых игр. Представители компании обратились в Федеральный суд Аризоны с жалобой на ресурсы LoveROMS.com и LoveRETRO.co, обвинив их в нарушении авторских прав и незаконном использовании торговых марок. В заявлении сказано, что эти сайты являются одними из самых известных источников игрового пиратства в онлайне. Считается, что данные сайты принадлежат некоему Джейкобу Матиасу (Jacob Mathias) и его компании Mathias Designs LLC. В настоящее время оба ресурса уже ушли в оффлайн и вряд ли когда-либо вернутся.

Любители ретро-игр были крайне огорчены происходящим, а теперь, вслед за LoveROMS.com и LoveRETRO.co о решении прекратить распространять старые игры объявил и известный сайт EmuParadise.

Основатель ресурса, MasJ, сообщил, что скачать старые ROM’ы с EmuParadise более будет нельзя. Он пишет, что сайт прошел долгий путь за 18 лет своего существования, и его администрация успела повидать всякое:

«От писем с угрозами, которые присылали нам на заре работы, до внезапного отключения хостингов и наших серверов из-за жалоб. Мы повидали все. Мы всегда подчинялись требованиям удаления контента, но, как видите, это уже ничего не гарантирует».

И хотя правообладатели называют подобные ресурсы рассадниками пиратства, на деле многие из них давно заброшены и почти забыты. Более того, зачастую у ностальгирующих пользователей попросту нет других легальных альтернатив, так как оригинальные железо и картриджи достать порой попросту невозможно, и остаются лишь эмуляторы и пиратские сайты.

«Мы получали тысячи писем от людей, которые рассказывали нам, как счастливы они были снова открыть для себя и поделиться с новыми поколениями своих семей играми своего детства. Нам писали солдаты из горячих точек, которые рассказывали, что ретро-игры, в которые они играли в детстве, это единственное, что помогло им пройти через эти дни. Нам писали братья, чьи родственники скончались о рака, и они нашли утешение в играх, в которые играли вместе в детстве. У нас было бессчетное число таких историй», — пишет MasJ.

MasJ с сожалением признает, что он не готов и далее поддерживать распространение ROM’ и рисковать будущим своей команды и посетителей. Тем не менее, сообщается, что EmuParadise не закрывается: сайт продолжит работу и по-прежнему будет посвящен ретро-играм. В какой именно форме это будет реализовано, пока неясно.

Увы, происходящее сейчас предсказывали уже давно. Так, в 2016 году основатель Video Game History Foundation Френк Сифолди (Frank Cifaldi) выступал на Game Developers Conference и еще тогда он предупреждал:

«Мы демонизируем эмуляцию и обесцениваем собственное наследие. Мы низводим до пиратства огромную часть нашего прошлого».

Птн, 10 Авг 2018 17:00:04


Дубайская компания Crowdfense, чьим основным конкурентом является известный брокер уязвимостей Zerodium, анонсировала запуск Vulnerability Research Platform — Платформы исследования уязвимостей. Площадка позволит специалистам продавать эксплоиты для различных багов, в том числе анонимно.
Подробнее...

Дубайская компания Crowdfense, чьим основным конкурентом является известный брокер уязвимостей Zerodium, анонсировала запуск Vulnerability Research Platform (VRP) — Платформы исследования уязвимостей.

Ожидается, что новая площадка предоставит исследователям удобный веб-интерфейс, через который можно будет продавать Crowdfense эксплоиты для различных багов, в том числе и анонимно. Отдельно подчеркивается, что на продажу можно будет выставить отдельные эксплоиты, которых недостаточно для полной компрометации продукта. Большинство компаний на этом рынке обычно заинтересованы в покупке полной «цепочки» уязвимостей.

Представители Crowdfense заявляют, что им интересно поработать со специалистами, которые обычно не представлены на рынке уязвимостей. По мнению представителей компании, существует целый пласт таких исследователей.

Vulnerability Research Platform будет запущена 3 сентября 2018 года. Платформа будет оснащена end-to-end шифрованием и построена на модели zero-trust, то есть должна предоставлять участникам максимальную защиту. VRP позволит Crowdfense взаимодействовать с исследователями в реальном времени. При этом участники смогут видеть только информацию о своих эксплоитах и багах, то есть подсмотреть и украсть что-либо у других, не выйдет. Также интересно и то, что при желании исследователи могут сохранять анонимность.

Фото: Motherboard

Птн, 10 Авг 2018 15:30:03


Совсем недавно Джон Макафи предложил ИБ-специалистам взломать криптовалютный кошелек Bitfi, называя устройство «невзламываемым» и предлагая 250 000 долларов тому, кто сумеет доказать обратное. Ранее эксперты обнаружили, что Bitfi представляет собой примитивный Android-смартфон, а теперь на кошельке удалось запустить Doom.
Подробнее...

Недавно Джон Макафи предложил ИБ-специалистам взломать криптовалютный кошелек Bitfi, называя устройство «невзламываемым» и предлагая 250 000 долларов любому, кто сумеет доказать обратное.

Мы уже рассказывали о том, что ИБ-сообщество подвергло Макафи критике. Дело в том, что Макафи поставил очень странные «условия задачи», из-за которых он может утверждать, что Bitfi до сих пор не взломали. Так, исследователям предлагается приобрести кошелек уже содержащий криптовалюту и с неизвестной парольной фразой. Требуется извлечь токены с устройства, и лишь тогда оно будет считаться взломанным. При этом ключ, использующийся для доступа к криптовалюте, не хранится на самом устройстве.

При этом специалисты уже выяснили, «невзламываемое» устройство стоимостью 120 долларов оказалось примитивным смартфоном на Android, из которого были удалены некоторые компоненты (в основном отвечающие непосредственно за сотовую связь). Специалистам удалось получить к девайсу root-доступ, удалось обнаружить, что тачскрин сообщается с чипсетом посредством незашифрованного протокола I2C. То есть в теории злоумышленники могут «прослушивать» эти коммуникации и извлечь парольную фразу сразу же после того, как она была набрана на экране.

Хуже того, кошельки оказались практически никак не защищены от несанкционированного вмешательства. То есть Bitfi можно вскрыть и исследовать, а он продолжит работать, как ни в чем не бывало. В итоге злоумышленники могут делать с железом и прошивкой гаджета все, что заблагорассудится, а потом могут собрать его обратно и вернуть вредоносную версию жертве.

И хотя Bitfi по-прежнему «не взломан», и никому не удалось похитить токены (хотя эксперты работают и над этим), исследование аппаратных кошельков продолжается.

На этот раз пользователю Twitter, известному под ником Abe Snowman, удалось запустить на устройстве Doom. СМИ сообщают, за что этим псевдонимам скрывается 15-летний исследователь Салим Рашид (Saleem Rashid).

И хотя Doom на Bitfi может показаться кому-то пустяком, исследователь объясняет, что для запуска игры на кошельке необходимо установить и выполнить произвольный код, а также реализовать чтение и запись из хранилища и RAM, запись в кадровый буфер и чтение данных с тачскрина.

Птн, 10 Авг 2018 13:30:00


Для подписчиков
Работая над переводом статьи о том, как можно превратить переходник с USB на VGA в передающее программно определяемое радио, я наткнулся на схожий и не менее интересный проект — Nexmon SDR. Это кастомная прошивка чипсета Wi-Fi, которая наделяет «Малинку» новыми интересными возможностями.
Подробнее...

Работая над переводом статьи о том, как можно превратить переходник с USB на VGA в передающее программно определяемое радио, я наткнулся на схожий и не менее интересный проект — Nexmon SDR. Это кастомная прошивка чипсета Wi-Fi, которая наделяет «Малинку» новыми интересными возможностями.

Авторы утилиты обнаружили, что чипы Broadcom BCM4339 и BCM43455c0 можно при желании заставить передавать любой сигнал на частотах от 2,4 до 5 ГГц. Чип BCM4339 преимущественно используется в телефонах Nexus 5, а BCM43455c0 — в Raspberry Pi 3B+ (в модели B без плюса стоит другой чип, с которым Nexmon SDR не заработает).


Nexmon SDR предполагается использовать вместе с основным проектом — Nexmon. Он представляет собой фреймворк для патчинга прошивки чипа Wi-Fi с целью, например, наделить его возможностью перехвата пакетов и инжекта фреймов. Он, кстати, поддерживает гораздо большее число устройств, включая Huawei P9 и некоторые Samsung Galaxy.

Что до Raspberry Pi, то ее можно превратить в радиопередатчик и при помощи другой утилиты — rpitx. Она подает сигнал от 5 кГц до 1500 МГц на пины GPIO, к которым можно подключить антенну.

Экспериментируя со всем этим, не забывай, что вещание без лицензии за пределами экранированного помещения может быть незаконным.

Птн, 10 Авг 2018 11:30:58


Для подписчиков
Может показаться, что всякие виджеты и гаджеты — это удел развесистых графических интерфейсов, авторы которых уже не знают, что бы еще приделать к операционной системе. Однако некоторые поклонники командной строки Linux тоже не чужды легкомысленных развлечений. Впрочем, красиво оформленную приборную панель можно считать и практичной — смотря что на нее поставить.
Подробнее...

Может показаться, что всякие виджеты и гаджеты — это удел развесистых графических интерфейсов, авторы которых уже не знают, что бы еще приделать к операционной системе. Однако некоторые поклонники командной строки Linux тоже не чужды легкомысленных развлечений. Впрочем, красиво оформленную приборную панель можно считать и практичной — смотря что на нее поставить.

Как должно быть
Как должно быть

Предмет разговора — утилита под названием WTF. Это модульный дашборд, элементы которого ты выбираешь сам — в соответствии с твоими нуждами и размерами монитора. Например, можешь вывесить себе статистику по проекту в GitHub или GitLab, показывать таски из Jira и Trello, добавить информацию о заряде батареи, поставить красивый прогноз погоды, курсы криптовалют и даже добавить ту-ду-лист и заполнять его прямо на месте.

Помимо этого, WTF можно интегрировать с другими программами — например, через текстовый файл (модуль Textfile) или через стандартный вывод (модуль CmdRunner). Для облачной интеграции можно использовать ячейки в таблицах Google Spreadsheets: при помощи IFTTT в них удобно складывать информацию, полученную от других cервисов через API.

Однако, когда я принялся с энтузиазмом настраивать свой дашборд, меня ждало некоторое разочарование.

WTF?!
WTF?!

Нормально отобразился только вывод из текстового файла, куда специальный скрипт складывает курсы доллара и евро. А вот прекрасный прогноз погоды из wttr.in отображается битым. С Google Spreadsheets тоже не задалось: после подключения модуля WTF стал предлагать мне вставить из буфера обмена ключ разработчика, но потом жаловался, что ключ не подходит.

Придется теперь не забыть вернуться к этой штуке через годик и посмотреть, как продвигается разработка!

Птн, 10 Авг 2018 10:30:03


На конференции Black Hat,прошедшей на этой неделе в Лас-Вегасе, специалисты Грацского технического университета рассказали о том, что смартфоны Samsung Galaxy S7 были уязвимы перед «процессорным» багом Meltdown.
Подробнее...

На конференции Black Hat, прошедшей на этой неделе в Лас-Вегасе, специалисты Грацского технического университета рассказали о том, что смартфоны Samsung Galaxy S7 были уязвимы перед «процессорным» багом Meltdown.

Напомню,  что уязвимости Meltdown и Spectre были выявлены еще в прошлом году, но широкой публике известно о них стало лишь в начале 2018 года. Эти фундаментальные баги представляют опасность для всех современных процессоров. Хотя все производители давно выпустили патчи и обновленные микрокоды для своих продуктов,  ИБ-специалисты находят новые способы их эксплуатации едва ли не каждый месяц.

Однако ранее считалось, что уязвимость Meltdown не представляет угрозы для устройств компании Samsung, включая смартфоны, но теперь специалисты сообщили, что это не так. Как выяснилось теперь, уязвимость перед багом продемонстрировали смартфоны Samsung Galaxy S7.

Представители Samsung уже подтвердили данные исследователей и сообщили, что первые патчи были выпущены еще в январе текущего года, а летом компания представила еще одно, дополнительное обновление, «защищающее устройства на уровне чипсета». Пользователям традиционно напомнили о необходимости своевременного обновления ПО.

Однако аналитики из Грацского технического университета полагают, что проблема не ограничивается лишь некоторыми смартфонами Samsung. По их мнению, точно так же уязвимы перед Meltdown могут оказаться и сотни миллионов других мобильных устройств, о чем пока никому не известно, и патчей для них попросту нет.

Птн, 10 Авг 2018 09:30:57


Для подписчиков
Современные браузеры без проблем отображают трехмерную графику в формате WebGL, хотя на обычных сайтах такое развлечение пока что встречается и очень редко (да что там, почти никогда). Восполнить нехватку крутого 3D в организме, а также оценить мощь современных технологий и попробовать самостоятельно поиграться с шейдерами поможет сервис Shadertoy.
Подробнее...
Современные браузеры без проблем отображают трехмерную графику в формате WebGL, хотя на обычных сайтах такое развлечение пока что встречается и очень редко (да что там, почти никогда). Восполнить нехватку крутого 3D в организме, а также оценить мощь современных технологий и попробовать самостоятельно поиграться с шейдерами поможет сервис Shadertoy.

Смысл Shadertoy довольно прост: пользователи могут писать шейдеры на языке GLSL и тут же видеть, как будет выглядеть результат работы программы. А затем выставить свое творение на суд общественности, чтобы собрать лайки и комментарии. Лучшие работы попадают в топы.


Смотреть их, кстати, одно удовольствие. Чего только не делают при помощи шейдеров! Рисуют примитивы и даже целые сцены, генерируют приятные спецэффекты и завораживающие ландшафты. Кто-то даже написал подобие игры Wolfenstein 3D — всего на каких-то 440 строк.

Если захочешь разобраться, как все это работает, то можешь изучать и пробовать менять чужой код прямо на месте. Ну а более фундаментальные знания можешь почерпнуть, например, на сайте WebGLFundamentals, там есть неплохая статья о шейдерах и GLSL.

Птн, 10 Авг 2018 08:30:03


Недавно обнаруженная специалистами группировка DarkHydrus использует для атак преимущественно опенсорсные инструменты. Специалисты Palo Alto Networks предупреждают, одним из последних решений, принятых на вооружение злоумышленниками, стал инструмент Phishery.
Подробнее...

Специалисты Palo Alto Networks предупредили, что обнаруженная недавно хакерская группа DarkHydrus продолжает использовать для своих атак опенсорсные инструменты. Так, ранее участники DarkHydrus задействовали в своих операциях Meterpreter, Cobalt Strike, Invoke-Obfuscation, Mimikatz, PowerShellEmpire, Veil и PowerShell пейлоад RogueRobin, а теперь стали использовать Phishery.

Атаки группы направлены на сбор учетных данных пользователей, для чего злоумышленники прибегают к таргетированному фишингу. К своим письмами группировка прикладывает вредоносные документы Office, в которых используется техника attachedTemplate, то есть загрузка шаблона происходит с удаленного сервера атакующих.

Будучи открыт, такой документ запрашивает логин и пароль пользователя. К примеру, в ходе атаки на образовательное учреждение на Ближнем востоке, произошедшей в конце июля текущего года, в диалоговом окне можно было увидеть имя домена (0utl00k[.]net), относительно напоминающее легитимный аналог (outlook.com). Зачастую такой простой уловки оказывается достаточно, чтобы обмануть неискушенного пользователя. Разумеется, введенные в таком диалоговом окне учетные данные попадают прямиком в руки злоумышленников.

Специалистам Palo Alto Networks удалось обнаружить два вредоносных документа, распространяемых хакерской группой. Изучив их, эксперты пришли к выводу, что DarkHydrus использовали для их создания и «обслуживания» вышеупомянутый инструмент Phishery.

Ранее, среди других доменов, используемых данной группой во время атак, были обнаружены: anyconnect[.]stream, Bigip[.]stream, Fortiweb[.]download, Kaspersky[.]science, microtik[.]stream, owa365[.]bid, symanteclive[.]download, and windowsdefender[.]win.

Специалисты отмечают, что в настоящее время основными целями злоумышленников из DarkHydrus  являются  образовательные и правительственные учреждения в странах Ближнего востока стран.

Чтв, 09 Авг 2018 10:30:48


Для подписчиков
Следы большинства таргетированных атак в последние годы приводят в азиатский регион, где ярким пятном выделяются шанхайские серверы. В ходе расследований аналитики отмечают такие маркеры, как китайские IP-адреса, временные штампы, языковые настройки и софт, специфичные для Китая. Кто же устраивает кибератаки из-за «Великого китайского файрвола»?
Подробнее...

Содержание статьи

Следы большинства таргетированных атак в последние годы приводят в азиатский регион, где ярким пятном выделяются шанхайские серверы. В ходе расследований аналитики отмечают такие маркеры, как китайские IP-адреса, временные штампы, языковые настройки и софт, специфичные для Китая. Кто же устраивает кибератаки из-за «Великого китайского файрвола»?

Расследование масштабных целенаправленных атак порой занимает годы, поэтому подробности их проведения становятся известны далеко не сразу. Обычно к моменту их публикации все использованные уязвимости закрыты патчами, вредоносные компоненты добавлены в антивирусные базы, а C&C-серверы заблокированы. Однако в таких отчетах интересны методы, которые с небольшими изменениями продолжают использовать в новых атаках.

Эта хакерская группа получила идентификатор за номером один и во многом способствовала популяризации термина Advanced Persistent Threat. Она установила своеобразный рекорд по количеству данных, украденных у одной организации: за десять месяцев APT1 выкачала 6,5 Тбайт документов со взломанных серверов.

Есть много свидетельств тому, что APT1 создана Минобороны КНР на базе подразделения 61398 Народно-освободительной армии Китая (НОАК). По мнению специалистов FireEye, она действует с 2006 года как отдельная структура Третьего управления Генштаба НОАК. За это время APT1 выполнила как минимум 141 таргетированную атаку. Назвать точное число сложно, поскольку часть инцидентов в сфере информационной безопасности замалчивается, а для известных атак не всегда удается доказать их принадлежность конкретной группе.

Активность APT1 по регионам, изображение: fireeye.com
Активность APT1 по регионам, изображение: fireeye.com

В соответствии с доктриной политического руководства страны «побеждать в информационных войнах» APT1 была реформирована и усилена в 2016 году.

Сейчас она насчитывает в своем штате несколько тысяч людей. В основном состоит из выпускников Чжэцзянского университета и Харбинского политехнического университета с хорошим знанием английского.

Географически штаб-квартира APT1 располагается в Пудуне (новый район Шанхая), где она владеет большим комплексом зданий. Входы в них охраняются, а на всем периметре действует контрольно-пропускной режим, как на военной базе.

КПП на базе APT1, фото: city8.com
КПП на базе APT1, фото: city8.com

Чтобы ускорить активную фазу атаки и замести следы, APT1 использовала «аэродромы подскока» — зараженные компьютеры, управляемые через RDP, и FTP-серверы, на которых размещалась боевая нагрузка. Все они географически располагались в том же регионе, где находились цели.

За двухлетний период наблюдений специалисты FireEye обнаружили 1905 случаев использования таких промежуточных узлов с 832 разных IP-адресов, причем 817 из них вели в шанхайские сети China Unicom и China Telecom, а регистрационные записи Whois прямо указывали на Пудун, где, кроме штаб-квартиры APT1, нет организаций сравнимого масштаба.

Управляли этими промежуточными узлами обычно при помощи прокси HTRAN (HUC Packet Transmit Tool) с 937 разных серверов, контролируемых APT1.

В своих атаках APT1 использовала 42 бэкдора из разных семейств. Часть из них была написана давно, распространялась в даркнете или модифицировалась на заказ (Poison Ivy, Gh0st RAT и другие), но среди этого набора выделяется Backdoor.Wualess и его более поздние модификации. Похоже, это собственная разработка APT1.

Как и в других таргетированных атаках, в сценариях APT1 боевая нагрузка доставлялась на компьютеры жертв методами социального инжиниринга (в частности, spear phishing). Основная функциональность бэкдора Wualess содержалась в библиотеке wuauclt.dll, которую троян-дроппер из зараженного письма помещал на целевых компьютерах под управлением Windows в системный каталог (%SYSTEMROOT%\wuauclt.dll).

Затем бэкдор выполнял проверку на предшествующее заражение и при необходимости прописывал себя в реестре как сервис:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv "Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters "ServiceDll" = "%SystemRoot%\wuauclt.dll"

Далее бэкдор соединялся с одним из управляющих серверов через IRC:

  • NameLess.3322.org, TCP-порт 5202;
  • sb.hugesoft.org, TCP-порт 443.

Последний порт по умолчанию используется браузерами для соединения по HTTPS, поэтому обычно он не блокируется файрволами.

Получив команду, бэкдор выполнял одно из следующих действий:

  • проверял скорость подключения;
  • собирал и отправлял данные о системе и пользователях;
  • делал скриншот и отсылал его;
  • очищал DNS-кеш и подменял записи в нем;
  • скачивал и запускал на выполнение очередной зловред;
  • завершал указанные процессы в памяти;
  • искал и отправлял файлы, соответствующие указанным критериям (в основном документы офисных форматов и архивы);
  • обновлял свою версию;
  • сохранял свою копию в точке восстановления (System Volume Information)

Последняя особенность затрудняла полное удаление бэкдора, поскольку ОС обычно блокировала доступ к каталогу \System Volume Information\.

Продолжение доступно только подписчикам

Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.

Подпишись на «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Уже подписан?
Чтв, 09 Авг 2018 10:30:36


Аналитики ESET представили отчет о вредоносных программах для мобильных устройств. По данным компании, Россия вошла в топ-3 стран с максимальным количеством обнаружений Android-угроз.
Подробнее...

Аналитики ESET представили отчет о вредоносных программах для мобильных устройств. По данным компании, Россия вошла в топ-3 стран с максимальным количеством обнаружений Android-угроз.

В ESET изучили статистику срабатываний антивирусных продуктов ESET NOD32 при обнаружении малвари для Android. В первом полугодии 2018 года большинство «пойманных» угроз пришлось на Иран (16%), Россию (14%) и Уганду (8%).

Общее количество обнаружений вредоносов сократилось на 27,48% по сравнению с аналогичным периодом прошлого года и на 12,87% по сравнению со второй половиной 2017 года. Но аналитики отмечают, что несмотря на снижение количества попыток заражения, ежемесячно появляется около 300 новых образцов вредоносного кода для Android.

Среди наиболее активных угроз полугодия исследователи отмечают различные модификации Satori и троян Exobot. К тому же, новые вредоносные программы продолжают проникать в каталог Google Play. Также в первой половине 2018 года была зафиксирована атака на смарт-телевизоры на базе Android TV (с целью распространения майнеров).

В первые шесть месяцев 2018 года было обнаружено 348 уязвимостей для Android — 41% от общего числа уязвимостей для данной платформы, найденных в 2017 году. По мнению специалистов ESET, прошлогодний рекорд (842 уязвимости) не будет повторен. Только четверть Android-уязвимостей 2018 года являются критическими. Фактически, ситуация даже улучшается в сравнении с прошлыми годами.

По данным ESET, число известных вредоносных программ для iOS в первом полугодии снизилось на 15% в сравнении с аналогичным периодом 2017 года. При этом количество новых образцов малвари остается стабильно низким. Большинство угроз для iOS было зафиксировано в Китае (61%), Тайване (13%) и Гонконге (3%).

Ссылка на источник