Новости информационной безопасности 29 апреля 2016 года

ФБР не планирует раскрывать Apple метод взлома iPhone террориста

В Интернете появились сообщения о том, что сотрудники американских спецслужб отказываются раскрывать информацию о технологии извлечения конфиденциальной информации с iPhone. Причина заключается в том, что в вопросе взлома гаджета ФБР обратилось к третьей стороне, поэтому данными относительно конечного кода ведомство не обладает. Информация опубликована в Wall Street Journal.

ФБР не планирует раскрывать 
Apple метод взлома iPhone террориста

ФБР не планирует раскрывать Apple метод взлома iPhone террориста

Отмечается, что после выявления прорех в защитных системах смартфонов эти сведения передаются представителям межведомственной комиссии, которая, в свою очередь, сообщает производителю об уязвимости. Однако «яблочная» корпорация данной информации не получит.

Ранее власти США пытались заставить высокотехнологичного гиганта извлечь конфиденциальную информацию из смартфона террориста из Сан-Бернардино. В декабре прошлого года Саид Фарук убил 14 людей в центре помощи лицам с ограниченными возможностями. Далее ФБР хотело взломать смартфон, который проходил по делу о реализации наркотических средств.

Firefox 46 закрыл критические бреши

На прошлой неделе технологи компании Mozilla все же окончили работу над обновлениями браузера Firefox. Теперь критические бреши закрыты.

Firefox 46 закрыл критические бреши

Firefox 46 закрыл критические бреши

Несколько месяцев технологи Mozilla работали над созданием десяти бюллетеней безопасности, которые должны были исправить критические проблемы с Firefox.

Проблемы безопасности были обнаружены в ряде внутренних систем, которые отвечали за прием и передачу данных. Все это совершалось благодаря JavaScript, который служил своеобразным приемником между хакерами и их жертвами.

«Это позволяет атакующему отслеживать действия касания на устройстве в те моменты, когда сигналы датчиков провоцируют генерацию событий ориентации в браузере, что грозит нарушением приватности пользователя вплоть до потенциального раскрытия введенного PIN-кода», – идет речь в бюллетене.

Уже сейчас обновленная версия браузера находится в свободном доступе. Установить ее можно с официального сайта компании, или обновив предыдущую версию.

Обама: компании США могут вести расчеты по сделкам с Ираном в евро

Американским компаниям не обязательно вести расчеты по контрактам с Ираном в долларах, платежи могут быть проведены и в евро, заявил президент США Барак Обама, выступая на вашингтонском саммите по ядерной безопасности в пятницу.

Обама: компании США могут вести расчеты по сделкам с Ираном в евро

Обама: компании США могут вести расчеты по сделкам с Ираном в евро

«Мы не требуем от них безоговорочного расчета в долларах. Они прекрасно могут работать через европейские (финансовые) институты», — сказал Обама.

Пользователей Google Chrome и Facebook атакует новый троян

«Доктор Веб» предупреждает о том, что злоумышленники распространяют вредоносный плагин для браузера Google Chrome, способный рассылать спам в социальной сети Facebook.

Пользователей Google Chrome и Facebook атакует новый троян

Пользователей Google Chrome и Facebook атакует новый троян

Дополнение, по сути, представляет собой троянскую программу, получившую имя BPlug.1074. Если пользователь Chrome, у которого установлен этот плагин, войдёт в Facebook, зловред определяет его идентификатор (UID) и вносит изменения в оформление сайта социальной сети в окне браузера. В частности, удаляется меню «Быстрые настройки конфиденциальности», а также все остальные выпадающие меню, которые могут демонстрироваться в интерфейсе социальной сети.

После этого троян получает перечень друзей жертвы. Далее формируется новая страница сообщества, название которой генерируется автоматически. С использованием ID сообщества, фотографии жертвы, установленной в качестве аватара, и адреса веб-страницы, извлекаемого из конфигурационного файла, зловред формирует пост формата «поделиться ссылкой» и с определённым временным интервалом размещает его в своей ленте. Поскольку троян при создании поста «упоминает» в нём всех друзей текущего пользователя из полученного ранее списка, это сообщение также появляется в их ленте событий.

При переходе по ссылке, указанной в таком сообщении, пользователь попадает на веб-страницу с заголовком «Hello please watch my video», копирующую внешний вид Facebook. Если жертва использует браузер Chrome, то при попытке просмотреть видеоролик появляется диалоговое окно с предложением загрузить и установить плагин для браузера. Данный плагин на деле является копией трояна. На сегодняшний день известно о тысячах пострадавших от зловреда BPlug.1074. Кстати, аналогичным образом троян может распространять и другие плагины для браузера Google Chrome.

Спецслужбам США разрешили взламывать компьютеры по всему миру

Верховный суд США утвердил изменения в национальное законодательство, развязавшие руки американским местным судам: теперь они могут выносить решения о получении доступа к компьютерам и смартфонам по всему миру — в случае, если их владельцы подозреваются в совершении преступлений. Новые поправки еще предстоит одобрить конгрессу, однако, учитывая страстное желание Вашингтона присвоить себе роль мирового хозяина, вряд ли здесь возникнут трудности.

Спецслужбам США разрешили взламывать компьютеры по всему миру

Спецслужбам США разрешили взламывать компьютеры по всему миру

Иными словами, теперь любой из нас, ничего не подозревая, может оказаться подсудимым и нести ответственность по американским законам.

— Сама по себе сфера компетенции местных судов весьма обширна: так, по российскому законодательству районный суд может, например, запретить доступ к какому-либо экстремистскому сайту по всей территории страны, — пояснил «КП» юрист информационной компании «Аналитик-онлайн» Михаил Фрибен. — Однако в связи с решением Верховного суда США возникает крайне сложная правовая коллизия, ведь другие государства находятся вне юрисдикции Вашингтона. По существовавшим ранее нормам даже в случае успешного взлома компьютера или мобильника изъятые спецслужбами доказательства не могли фигурировать в качестве аргументов в суде. Но теперь же, если право на подобные действия сможет давать местный суд в любой оклахомской глубинке, есть опасность, что нужные решения для следственных органов и спецслужб будут штамповаться без разбора.

С ним солидарен эксперт в области корпоративного права Илья Ремесло:

— Все это вполне вписывается в общую доктрину экстерриториальности американского правосудия — то есть США считают себя вправе называть преступными любые действия, угрожающие, по их мнению, национальным интересам. Так, например, было в деле Виктора Бута, который не имел никакого отношения к Штатам, не совершал на территории этой страны никаких правонарушений, но был арестован в Таиланде, экстрадирован в США и приговорен американским судом к 25 годам тюрьмы.

— Что касается правового аспекта этого решения, то оно сводит на нет все декларируемые США «права и свободы», — уверен юрист. — Их спецслужбы, давно следящие за всем миром в рамках секретных программ, о которых рассказал Эдвард Сноуден, теперь получили официальную индульгенцию на вторжение в частную жизнь. Но, разумеется, госдеп и дальше будет составлять доклады о проблемах с правами человека в любых странах, кроме самих США.

Три новых банковских трояна для Android пытаются занять нишу GM Bot

Исследователи IBM X-Force рассказали, что автор популярного мобильного банкера GM Bot недавно был заблокирован на крупнейших торговых площадках даркнета из-за конфликта с покупателем. В отсутствие главного конкурента, авторы трех других троянов для Android выступили вперед и теперь борются за лидерство на черном рынке.

Три новых банковских трояна для Android пытаются занять нишу GM Bot

Три новых банковских трояна для Android пытаются занять нишу GM Bot

Аналитики IBM отслеживают банковский троян GM Bot с 2014 года. Согласно их данным, малварь за эти годы уже успела поменять владельца, пережила не одну учтеку исходных кодов, но продолжает оставаться успешным продуктом, популярным среди киберпреступников.

После того как исходные коды GM Bot в очередной раз стали достоянием общественности в феврале 2016 года, его автор не растерялся и уже в марте представил новую версию банковского трояна. Вместе с релизом новой версии разработчик втрое повысил цену малвари: она возросла с $5000 до $15000.

Исследователи IBM X-Force сообщают, что в апреле 2016 года у автора трояна GM Bot произошел некий конфликт с одним из клиентов, в результате чего разработчика заблокировали почти во всех основных магазинах даркнета. Из-за этого обстоятельства, а также в силу недавнего повышения цены, активизировались авторы конкурентных вредоносов, давно осознавшие, насколько перспективен сегмент Android-малвари. Сейчас за вакантное место топового мобильного банкера борются вредоносы Bilal Bot, Cron Bot и KNL Bot.

KNL Bot

KNL Bot считается наиболее продвинутым решением из перечисленной тройки. Автор малвари хвастается, что его детище обладает практически всеми теми же функциями, что и GM Bot, зато стоит вдвое меньше: тогда как самая дешевая версия GM Bot оценивалась в $8000 в месяц, KNL Bot можно приобрести за $4000 в месяц.

В рекламе вредоноса заявлено, что KNL Bot способен: перехватывать входящие SMS, а также отправлять исходящие сообщения; осуществлять голосовые вызовы или устанавливать их переадресацию; перекрывать экран оверлеем, чтобы заставить жертву поверить, что она по-прежнему работает в легитимном приложении; работать в скрытом режиме (отключив экран, звук и вибрацию). Автор трояна заявляет, что KNL Bot «невозможно удалить», то есть гарантирует устойчивый root-доступ. Также разработчик предоставляет опциональную возможность управления вредоносом посредством SMS-сообщений.

Bilal Bot

Bilal Bot представляет собой чуть более простое решение, но и его цена составляет всего $3000 в месяц (плюс автор предоставляет клиентам бесплатные патчи).

Разработчик Bilal Bot использует наиболее агрессивный маркетинг из всей троицы. Автор трояна не стесняется поносить конкурентов, к примеру, заявляет, что GM Bot уже стал слишком известен и его очень легко обнаружить, а также содержит кучу багов и не может похвастаться хорошей поддержкой.

Согласно заявлением создателя, Bilal Bot уже сегодня является одним из наиболее эффективных банкеров (хотя находится в стадии разработки). Хотя малварь уже сейчас обладает всеми необходимыми функциями, основную фишку автор обещает представить в скором будущем. Разработчик обещает, что вскоре фишинговые оверлеи можно будет редактировать прямо из контрольной панели малвари.

Cron Bot

Cron Bot – совсем новый вредонос, эксперты впервые заметили его в начале апреля 2016 года. Основная отличительная черта Cron Bot — кроссплатформенность. Заявлено, что троян работает как на iOS, так и на Android. Цена вредоноса варьируется от $4000 до $7000 в месяц, в зависимости от набора функций.

Cron Bot комплектуется набором различных модулей: hVNC, stealer, injects, SOCKS5, loader, keylogger, cmd и так далее. Кроме того, троян может похвастаться маленьким размером (всего 400 Кб) и поставляется с билдером.

Автор вредоноса, равно как и его конкуренты, обещает устойчивый root-доступ, перехват SMS-сообщений, перенаправление голосовых вызовов, сбор и хищение любых данных с зараженного устройства, перекрытие окон других приложений фальшивками и так далее.

Как можно заметить, все вредоносы распространяются по подписке, как услуга. Аналитики IBM отмечают, что схема malware-as-a-service на сегодня уже набрала большую популярность. Так авторы вредоносов пытаются обезопасить себя, защищаясь от возможных утечек и копирования кода.

Эксперты IBM X-Force отмечают, что пока не фиксировали крупных вредоносных кампаний с использованием вышеперечисленных троянов и не подвергали вредоносы детальному анализу.

Тверским предпринимателям рассказали, как защитить свой бизнес от киберугроз

Количество киберугроз в современном мире неуклонно увеличивается, однако зачастую предприниматели не уделяют должного внимания соблюдению правил IT-безопасности. О том, как избежать рисков и уберечь предприятие от серьезных проблем, рассказали в рамках стартовавшей в Твери кампании «Защити свой бизнес: лицензия на безопасность», организованной ведущими игроками рынка информационных технологий: BSA | The Software Alliance, Group-IB, Лабораторией Касперского и Microsoft.

Тверским предпринимателям рассказали, как защитить свой бизнес от киберугроз

Тверским предпринимателям рассказали, как защитить свой бизнес от киберугроз

Ассоциация производителей программного обеспечения BSA выяснила: уровень использования нелицензионного ПО в России составляет 62%, в Центральном федеральном округе, в состав которого входит Тверская область этот показатель достигает 63%. Сокращая расходы на покупку лицензионного софта, владельцы компаний не отдают себе отчет в том, каким угрозам они подвергают свое дело.

Экономия на программном обеспечении может привести к существенным финансовым потерям: эксперты подтверждают, что в нелегальном софте уже содержится зловредный код, с помощью которого кибермошенники проникают в компьютеры и используют данные владельцев.

Значительного снижения угроз кибербезопасности предприятиям можно добиться с помощью использования методологии управления программными активами SAM (Software Asset Management). SAM позволяет сократить расходы на ПО и тем самым выстроить понятную, прозрачную и максимально безопасную ИТ- инфраструктуру. Защита достигается за счет использования антивирусного ПО, средств резервного копирования, постоянного обновления систем безопасности от производителей ПО, отказа от старых и неподдерживаемых производителями программных продуктов. Проект SAM дает возможность сэкономить при покупке лицензий на софт, сократив количество излишних лицензий и платить только за те программные продукты, которыми ее сотрудники действительно пользуются. Кроме того, SAM помогает компаниям получить конкурентное преимущество на рынке: постоянное применение правил и процедур Software Asset Management делает бизнес более эффективным и способным своевременно реагировать на изменения рыночной конъюнктуры.

«Уровень использования нелицензионного ПО в регионе превышает средний по стране и составляет 63%. При этом, около 40% компаний Центрального федерального округа регулярно сталкиваются со сбоями в работе своей ИТ-инфраструктуры из-за уязвимостей в системах информационной безопасности. Это приводит к возникновению серьезных угроз кибербезопасности компаний, финансовым и юридическим рискам. Для защиты от злоумышленников и предотвращения сбоев в работе IT систем организаций была инициирована кампания «Защити свой бизнес», — говорит Владимир Ивуть, юридический представитель BSA | The Software Alliance в Тверской области.

На данный момент, согласно исследованию BSA, базовыми принципами управления ПО на предприятии пользуются лишь в одной из шести организаций в России. Все участники кампании «Защити свой бизнес: лицензия на безопасность» готовы помогать предприятиям Центрального федерального округа: им будет оказана поддержка в вопросах кибербезопасности, лицензирования и управления программными активами.

В РФ снизилось число утечек информации

Как выяснил rosvest.com, в России было отмечено снижение числа случаев утечки информации почти на 30% до 118 случаев, о которых сообщалось в средствах массовой информации и других источниках.

В РФ снизилось число утечек информации

В РФ снизилось число утечек информации

Несмотря на это, огласке придается лишь малая часть конфиденциальной информации, поэтому достаточно сложно оценить количественный рост утечек и их динамику с течением времени.

Как считает один из аналитиков InfoWatch, существует прямая связь между снижением количества случаев утечки информации и ростом уровня безопасности конфиденциальной информации.

Всего в 2015 году в мире было зафиксировано более полутора тысяч случаев утечки информации. В 2014 году, к слову, показатель был больше почти на 8%.

Вредоносное ПО использует режим Бога в Windows

Компания McAfee Labs обнаружила новое семейство вредоносного ПО, которое пользуется возможностями «Режима Бога» операционной системы Windows. Этот режим представляет собой код, появившийся в версии Windows Vista. Он позволяет создавать папку, давать ей имя и помещать туда ярлыки настроек из панели управления. Достаточно просто создать папку и дать ей имя GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}, где вместо GodMode можно подставить любые символы.

Вредоносное ПО использует режим Бога в Windows

Вредоносное ПО использует режим Бога в Windows

McAfee обнаружила троян под названием Dynamer, который добавляет в реестр ключ, при каждой загрузке Windows автоматически загружающий вредоносный процесс. Клюсчсодержит видоизменённый режим Бога, который перенаправляет пользователей на объект панели управления «Подключения к удаленным рабочим столам и приложениям RemoteApp».

Microsoft относит Dynamer к троянам-бэкдорам, которые устанавливает соединение между инфицированным компьютером и сервером. Ключ реестра Dynamer выглядит следующим образом.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe

Вместо GodMode в названии папки ставится com4, что даёт хакерам некоторые выгоды. Такие имена обычно запрещены в проводнике и командной строке, в результате Windows относится к папке как к устройству, не давая удалять его. McAfee всё же нашла способ удаления: если троян находится в папке AppData, нужно в командной строке ввести команду

rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q

В случае размещения в другом месте нужно поменять путь до него.