Кибератаки. ИТ-Директору, ИБ - Антивирусы, ИБ - Биометрическая идентификация, ИБ - Межсетевые экраны, ИБ - Предотвращения утечек информации, ИБ - Система обнаружения мошенничества (фрод), ИБ - Средства шифрования
 
ТоварыВалюты, ЦБАкции
18 декабря 08:15
Золото ЦБ
₽2381
11,04
Золото
$1258
-0,01%
Серебро ЦБ
₽30,32
0,68
Серебро
$16,1
-0,09%
Нефть
$63,2
-0,19%

₽2,13
0,00

₽0,18
0,00
Br
₽29,0
0,03

₽69,4
0,03
€ / $
1,17
0,00%
Bitcoin
$18755
-1.74%
Ethereum
$714
-1.08%
Ростелеком
₽64,3
0,31%
Яндекс
₽1895
-1,25%
Mail.ru
$28,6
-0,69%
Luxoft
$54,6
2,06%
Epam
$106,7
1,54%
Мегафон
₽524,0
1,35%
МТС
₽266,0
3,83%
Veon
$3,9
-1,53%
Qiwi
₽847
2,54%
РБК
₽5,9
-1,84%
2017/09/21 19:14:23

Кибератаки

Кибератаки могут воздействовать на информационное пространство компьютера, в котором находятся сведения, хранятся материалы физического или виртуального устройства. Атака, обычно, поражает носитель данных, специально предназначенный для их хранения, обработки и передачи личной информации пользователя.

Содержание

Модели атаки

В феврале 2017 года TAdviser и Sec-Consult составили следующую классификацию моделей кибератак.

Сетевая инфраструктура

Уязвимости протокола канала передачи данных

Проблемы безопасности в слое 2 модели OSI. Модель атаки:

  • Разметка 802.1Q и ISL (расстановка тегов)
  • ARP-фальсификация
  • Взлом шифрования беспроводного соединения
  • Истощение адресов DHCP
  • Атака с двойным инкапсулированием 802.1Q / вложенной VLAN
  • Переполнение MAC
  • Манипуляции STP

Уязвимости слоев сетевого и транспортного протокола

Проблемы безопасности в слое 3, 4 and 5 модели OSI. Модель атаки:

  • Манипуляции BGP
  • Манипуляции EIGRP
  • Манипуляции IGRP
  • Манипуляции OSPF
  • Перехват и анализ сетевых пакетов
  • Манипуляции RIP
  • Предсказание порядкового номера TCP/IP
  • Переполнение SYN

Проблемы с файерволом

Проблемы безопасности, связанные с конфигурацией файервола. Модель атаки:

  • Обход правил файервола
  • Недостаточная фильтрация пакетов

Уровень исправлений

Уровень исправлений сервера

Возможно применение известных багов программного обеспечения, несмотря на то что патч уже имеется

Модель атаки:

  • Использование известных уязвимостей приложений

Конфигурация сервера

Конфигурация сервера / общий тип

Данный класс включает в себя ошибки конфигурации, которые могут быть использованы злоумышленниками, в отношении всех типов серверного программного обеспечения.

Модель атаки:

  • Использование учтенных записей по умолчанию
  • Перечисление учетных записей пользователей
  • Использование опасных методов протоколирования
  • Использование несоответствующих разрешений для доступа
  • Использование незащищенных функциональных возможностей
  • Сбор внутренней информации
  • Угадывание паролей
  • Считывание незашифрованных конфиденциальных данных

Стандартное программное обеспечение и проприетарные приложения

Проблемы аутентификации

Веб-приложение не имеет достаточных средств аутентификации для защиты своих ресурсов.

Модель атаки:

Проблемы авторизации

Неавторизованный или непривилегированный пользователь может получить доступ к ресурсам, которые защищены или должны быть защищены.

Модель атаки:

  • Доступ к защищенным функциям
  • Доступ к защищенным ресурсам

Проблемы бизнес-логики

Злоумышленник может нарушить бизнес-правила приложения

Модель атаки:

  • В зависимости от приложения

Раскрытие информации

Злоумышленник может собирать информацию о внутренних данных приложения или серверном окружении

Модель атаки:

  • Сбор информации из комментариев к коду
  • Сбор информации из системных сообщений и сообщений об ошибках
  • Чтение старых файлов, файлов архивных копий и файлов без внешних ссылок

Способствование атакам со стороны клиента (браузерные атаки)

Этот класс уязвимостей относится к Интернету. В него входят атаки, нацеленные на веб-браузер.

Модель атаки:

  • Фальсификация кросс-сайтовых запросов (XSRF)
  • Подстановка HTML / кросс-сайтовый сценарий (XSS)
  • Расщепление ответа HTTP / подстановка заголовков
  • Имитация фреймов
  • Фиксация сессии

Проблемы подстановки интерпретатора / проверки введенных данных

Приложение передает введенные параметры в базу данных, в API (программные интерфейсы) операционной системы или в другие интерпретаторы без надлежащей проверки данных.

Модель атаки:

  • Доступ к файловой системе
  • Подстановка кода
  • Подстановка команд
  • Подстановка строки форматирования
  • Подстановка IMAP/SMTP
  • Подстановка LDAP
  • Подстановка ORM
  • Переполнение буфера символов
  • Обход пути
  • Подстановка операторов SQL
  • Подстановка SSI
  • Подстановка XML
  • Подстановка Xpath

Проблемы управления состоянием / сессией

Переменные состояния или сессии инициализируются и применяются неверно.

Модель атаки:

  • Перечисление идентификаторов сессии
  • Использование проблем состояния сессии

Небезопасное управление доверенными данными

Злоумышленник может манипулировать доверенными данными и внутренними данными приложения.

Модель атаки:

  • Манипулирование внутренними данными приложения о клиенте
  • Чтение внутренних данных приложения / конфиденциальных данных о клиенте

Функциональность в которой нет необходимости, и небезопасная функциональность

Приложение имеет небезопасную по своей сути функциональность.

Модель атаки:

  • Использование приложений-образцов
  • Загрузка произвольных файлов

Небезопасные алгоритмы

Использование небезопасных алгоритмов позволяет скомпрометировать уязвимые данные.

Модель атаки:

  • Взлом шифрования
  • Использование слабого генератора случайных чисел
  • Использование слабых/небезопасных алгоритмов шифрования

Уязвимость, приводящая к отказу в обслуживании

Служба может быть выведена злоумышленником из строя.

Модель атаки:

  • Использование неограниченного распределения ресурсов
  • Блокировка учетных записей заказчиков

Цели атак

Современная безопасность не имеет границ

Инструменты атак

Хроника событий

2017

PwC: Большинство российских компаний не могут противостоять кибератакам

Большинство российских компаний не могут успешно противостоять кибератакам, говорится в исследовании международной консалтинговой компании PwC, выпущенном в ноябре 2017 года.[1].

В PwC считают, что компании должны инвестировать время и средства в технологии обеспечения кибербезопасности

Половина российских респондентов отмечает, что в их компаниях нет общей стратегии информационной безопасности, а в 48% компаний нет программы обучения, направленной на повышение уровня осведомленности сотрудников в вопросах безопасности.

Кроме того, 56% компаний признались, что у них не отработан процесс реагирования на кибератаки. В способности найти хакеров полностью уверены лишь 19% участников исследования PwC в России и 39% респондентов во всем мире.

Среди основных мер для обнаружения киберрисков российские участники опроса назвали оценку киберугроз (50%), постоянный мониторинг системы информационной безопасности (48%), оценку уровня уязвимости (44%) и тест на проникновение для проверки системы защиты (40%).

Почти четверть российских компаний утверждают, что к проблемам с информационной безопасностью привело использование мобильных устройств. Этот фактор занял второе место после фишинговых атак, которые лидируют среди называемых угроз.

« Киберинциденты происходят каждый день, при этом бренду и репутации компании, ставшей объектом хакерской атаки, наносится серьезный ущерб. Компаниям необходимо защищать доверие со стороны клиентов путем инвестирования времени и средств в работу по внедрению надлежащих систем и технологий, направленных на обеспечение кибербезопасности, — отметил руководитель практики по оказанию услуг в области информационной безопасности PwC в России Роман Чаплыгин. »

По его словам, еще одним эффективным инструментом в борьбе с киберпреступностью может стать регулярный обмен информацией между компаниями.

$1,3 млрд потеряли маркетологи в 2016 году из-за фрода со сбросом DeviceID

20 сентября 2017 года компания AppsFlyer сообщила о выявлении решением Protect360 масштаба фрода (мошенничества) со сбросом DeviceID. Согласно полученным данным, на этот вид фрода приходится свыше 50% всего мошенничества, связанного с установками приложений, что гораздо больше, чем предполагалось. По оценкам AppsFlyer, в 2016 году маркетологи потеряли $1,1–$1,3 млрд из-за фрода со сбросом DeviceID.[2]

Недавно обнаруженный вид мошенничества основан на сбросе идентификатора мобильного устройства. Применяется преступниками, эксплуатирующими высокоорганизованные «фермы» мобильных устройств (также известные как «мобильные фермы» или клик-фермы), для сокрытия своих действий. Такие фермы могут насчитывать тысячи устройств, как результат, скрыть мошенничество такого масштаба нелегко, в следствие чего преступники прибегают к целому ряду приемов, чтобы оставаться в тени. Последовательный сброс уникального идентификатора — один из приемов, который проводится для каждого мобильного устройства. Тогда телефон, входящий в «мобильную ферму», определяется как новый даже после нескольких тысяч установок приложения, что приносит компаниям убытки в размере до нескольких миллиардов долларов ежегодно, пояснили в AppsFlyer.

Согласно данным, полученным с помощью Protect360, мошенничество со сбросом DeviceID:

  • отнимает деньги у маркетологов в 10% случаев — в среднем одна из 10 неорганических установок является мошеннической. Это означает, что из каждого доллара, потраченного на мобильную рекламу, 10 центов уходят прямиком в карманы мошенников;
  • в равной степени затрагивает как iOS, так и Android;
  • наносит ущерб 16 из 100 ведущих рекламных сетей — свыше 20% обеспечиваемых установок приложений являются мошенническими.

Источник: AppsFlyer


Данный тип фрода не ограничивается определённой страной или регионом. Мошенники в основном делают своей мишенью страны с высокими возмещениями CPI (cost-per-install, «цена за установку»). Кроме того, мошенники, занимающиеся сбросами DeviceID, нацеливаются на регионы с большим количеством кампаний и пользователей, чтобы затеряться в ожидаемо большом потоке трафика и остаться незамеченными для рекламодателей и сетей.

По данным исследования, на регион Восточная Европа, в который входит Россия, приходится 4,8% от общего объёма финансовых потерь, вызванных этим видом мошенничества, по всему миру. Компании удалось установить, что самая большая доля мошеннических установок со сбросом DeviceID приходится на Азию, за ней следуют Северная Америка и Европа. При этом наибольший финансовый урон испытывает Северная Америка (33,6% от общемирового уровня), Западная Европа (17,1%) и Юго-Восточная Азия (14,5%).

Eset зафиксировала 15 млн кибератак на пользователей торрентов

Компания Eset 18 августа опубликовала результаты анализа кибератак, выполненных с помощью пиринговых сетей. С начала 2016 года система телеметрии Eset зафиксировала 15 млн инцидентов, в которых загрузка вредоносного кода была связана с популярными торрент-приложениями и файлообменными сервисами. Хакеры используют пиринговые сети для доставки вредоносного ПО двумя способами: компрометируя доверенные торрент-приложения или маскируя вредоносное содержимое в «раздачах».

В частности, в 2016 году злоумышленники атаковали пользователей macOS, взломав сайт торрент-клиента Transmission. Они переработали приложение, включив в его состав вредоносный код.

В апреле 2016 года с сайта Transmission загружался под видом легитимного приложения шифратор KeRanger. Разработчики удалили зараженный дистрибутив уже через несколько часов, но от угрозы пострадали тысячи пользователей. Авторы KeRanger использовали стойкий алгоритм шифрования, что свело к минимуму шансы на восстановление данных.

В августе 2016 года хакеры повторили атаку на сайт Transmission. На этот раз вместе с торрент-клиентом на компьютер устанавливалась вредоносная программа Keydnap, предназначенная для кражи паролей от «Связки ключей iCloud» и удаленного доступа к системе. Команда Transmission удалила троянизированное приложение с сайта в течение нескольких минут после обращения специалистов Eset.

Однако, по данным Eset, не все инциденты связаны с программным обеспечением, существует также риск загрузки вредоносных торрентов. В апреле 2017 года эксперты компании обнаружили троян Sathurbot, который распространялся таким способом — он скрывался в торрентах с пиратским софтом или фильмом, маскируясь под кодек.

Зараженные Sathurbot компьютеры входили в состав ботнета, который на момент исследования насчитывал 20 тыс. устройств. Ботнет искал в сети сайты на базе WordPress и взламывал их путем перебора паролей. Скомпрометированные сайты использовались для дальнейшего распространения вредоносных торрентов.

В феврале 2017 года злоумышленники раздавали через торрент-трекеры новый шифратор, замаскированный под Patcher — приложение для взлома Adobe Premiere Pro, Microsoft Office для Mac и другого платного софта. Восстановить зашифрованные файлы невозможно даже в случае оплаты выкупа — в лже-Patcher не предусмотрена функция связи с командным сервером, поэтому у операторов шифратора нет ключа расшифровки.

« На всякий случай напоминаю об ответственности за нарушение авторского права и использование пиратского контента, — отметил Алексей Оськин, руководитель отдела технического маркетинга Eset Russia. — Тем не менее, экосистема Р2Р — не только и не столько пиратство, у нее есть ряд легитимных путей применения. И, как любая массовая технология, файлообменные сервисы интересны киберпреступникам. Базовые рекомендации: используйте только лицензионное ПО, игнорируйте подозрительные сайты и торренты, защитите компьютер комплексным антивирусным продуктом. »

Глобальная кибератака может обойтись мировой экономике в $53 млрд

Как подсчитали в июле эксперты Lloyd's of London и Cyence, мощная глобальная кибератака может стоить мировой экономике $53 млрд — примерно столько же, во сколько оценивается ущерб от природных катаклизмов, таких как ураган «Сэнди». В своем отчете исследователи описали возможный ущерб экономике от взлома облачного провайдера и кибератаки на операционные системы, под управлением которых работают компьютеры в компаниях по всему миру, передаёт информагентство Reuters.[3]

Потери от глобальной кибератаки сопоставимы с ущербом от природных катаклизмов. Фото: www.segodnya.ua


Согласно предположению экспертов Lloyd's of London и Cyence, злоумышленники могут внедрить в ПО облачного провайдера вредоносный код, запрограммированный на выведение из строя компьютеров через год. После внедрения зловред будет распространяться среди клиентов провайдера, начиная от финансовых организаций и заканчивая отелями, принося им огромные убытки от простоя и починки.

По подсчетам исследователей, размер ущерба от серьезных кибератак может колебаться от $4 млрд до $53 млрд и достигать $121 млрд. Сумма урона от взлома операционных систем варьируется от $9,7 млрд до $28,7 млрд. Для сравнения, ущерб от урагана «Сэнди» — мощного тропического циклона, унесшего в 2012 году жизни 185 человек — составил $50 млрд.

Positive Technologies: Россия заняла второе место по числу киберинцидентов

Каждый десятый киберинцидент происходит в России, количество троянов-вымогателей вырастет благодаря направлению «ransom as a service», а мощность DDoS-атак увеличится за счет уязвимостей в «умных вещах». Такие наблюдения и прогнозы содержатся в новом исследовании актуальных киберугроз компании Positive Technologies по итогам первого квартала 2017 года.

Эксперты Positive Technologies отмечают, что за первые три месяца 2017 года было всего пять дней, в течении которых не поступало сведений о новых киберинцидентах.

Самой атакуемой страной в первом квартале является США (41% всех атак), Россия заняла второе место по количеству киберинцидентов (10%), а на третьем месте оказалась Великобритания (7%). В целом, атакам подвергались не менее 26 стран по всему миру.

Наибольшее число атак было направлено на государственные организации, на них пришлась каждая пятая атака (20%). Предпосылками для этого может служить обостренная как внешняя, так и внутренняя политическая обстановка многих стран. Социальные сети, поисковые системы, интернет-магазины и другие онлайн-сервисы стали мишенью каждого девятого нападения (11%). Немного лучше ситуация в финансовой отрасли — на банки пришлось 9% всех инцидентов. Далее следуют сфера образования (8%), медицинские учреждения и сфера услуг (по 7%), промышленные компании (5%) и оборонные предприятия (3%).

В исследовании эксперты рассмотрели произошедшие инциденты сразу с двух сторон: что атаковали злоумышленники и как они это сделали. Так, большинство атак были нацелены на ИТ-инфраструктуру компаний (40% атак). Преимущественно, злоумышленников интересовала чувствительная информация (например, персональные данные, данные владельцев платежных карт), которую можно продать на черном рынке. Однако эксперты отмечают снижение интереса киберпреступников к персональным данным и, соответственно, снижение их стоимости, что может быть связано с перенасыщением рынка.

Второе место по распространенности заняли атаки на веб-приложения (33%), которые открывают перед злоумышленниками множество возможностей: от получения конфиденциальной информации до проникновения во внутреннюю сеть компании. Большинство веб-атак были реализованы через уязвимые компоненты (устаревшие библиотеки и CMS-системы), хотя уязвимости веб-приложений также эксплуатировались. Специалисты Positive Technologies в начале 2017 года зафиксировали множество атак на сайты государственных организаций и различных коммерческих компаний.

Существенно увеличилось и число атак на POS-терминалы (3% от всех атак), превысив показатели первого квартала 2016 года почти в шесть раз и составив 63% от всех аналогичных нападений за 2016 год. Злоумышленники использовали средства удаленного администрирования и трояны.

Если говорить о наиболее популярных методах атак, то на первом месте по-прежнему использование вредоносного ПО. Эксперты Positive Technologies отмечают появление модели «вымогатели как услуга»: создатели вредоносного ПО все чаще не являются организаторами атак, а зарабатывают на продаже троянов преступным группировкам. Таким образом, разработчики вредоносного ПО, получив прибыль от продажи, могут готовить новый троян в то время, как другие преступники занимаются непосредственно реализацией атаки.

Что касается DDoS-атак, то в первом квартале 2017 года их мощность существенно увеличилась в связи с подключением к ботнетам все большего количества IoT-устройств. Так, в марте 2017 года было обнаружено очередное вредоносное ПО (ELF_IMEIJ.A), направленное на IP-камеры, системы видеонаблюдения и сетевые записывающие устройства производства AVTech. Кроме того, было выявлено свыше 185 тысяч уязвимых IP-камер, которые также могут оказаться частью нового ботнета.

Fortinet: Эффективность отслеживания и управления распределенными инфраструктурами снижается

В июне 2017 года Fortinet обнародовала данные отчета о всемирном исследовании угроз. Предметом исследования стала цепочка внедрения киберугроз. В контексте корпоративных технологий и современных тенденций развития сферы были рассмотрены три основных направления атак — эксплойты-приложения, вредоносное программное обеспечение и ботнеты. Как показывает исследование, несмотря на широкое освещение более резонансных атак, проводником преобладающей части успешных атак, с которыми довелось столкнуться организациям, стала широкомасштабная инфраструктура «Киберпреступление как услуга». Ниже приведены три основных вывода, изложенных в отчете[4].

1) Злоумышленники всегда учитывают прошлый опыт при разработке инструментов атак, готовых к применению в любое время и в любом месте

Благодаря современным инструментам и инфраструктуре «Преступление как услуга» злоумышленники могут оперативно действовать на общемировом уровне. Это означает, что в Интернете не существует расстояний или географических границ, так как большинство угроз функционирует в масштабе всего мира, а не отдельных регионов. Преступники всегда готовы к атаке и постоянно занимаются поисками уязвимостей на международном уровне.

Знание тенденций развития эксплойтов, а также принципов функционирования и распространения программ-вымогателей позволит избежать вредоносных последствий атак, которые придут на смену WannaCry. Вредоносные программы-вымогатели и их разновидности распространились по всему миру и одновременно поражают сотни организаций.

  • Программы-вымогатели. Чуть менее 10% организаций выявили активность программ-вымогателей. В каждый отдельно взятый день 1,2% организаций обнаруживали в своих корпоративных сетях ботнеты-вымогатели. Наибольшая активность наблюдалась в выходные дни: злоумышленники пытались внедрить вредоносный трафик в обход сотрудников службы безопасности, работающих на выходных. По мере роста среднего объема трафика разных ботнетов-вымогателей повысилось и среднее количество организаций, становящихся целями атак.
  • Тенденции развития эксплойтов. 80% организаций сообщили о выявлении в системах эксплойтов, представляющих серьезную и критически серьезную опасность. Большинство этих целевых эксплойтов было разработано в течение последних пяти лет, однако злоумышленники использовали и те уязвимости, которые существовали еще в прошлом веке. Распределение эксплойтов по географическим областям достаточно равномерно. Вероятно, это обусловлено тем, что активность огромного количества эксплойтов полностью автоматизирована при поддержке инструментов, сканирующих сеть Интернет на наличие уязвимостей.

2) Взаимопроникновение инфраструктур и IoT способствуют ускорению распространения вредоносного ПО

По мере роста объемов передачи данных и ресурсов между пользователями и сетями увеличивается и количество атак в разных географических областях и сферах деятельности. Исследование вредоносного ПО позволяет получить представление о стадиях подготовки и внедрения атак. Следует отметить, что задачу обеспечения защиты от мобильного вредоносного ПО усложняют такие факторы, как незащищенность устройств в рамках внутренней сети, частые подключения к публичным сетям и отсутствие корпоративного контроля над устройствами, находящимися во владении пользователей.

  • Мобильное вредоносное ПО. Показатели распространенности мобильного вредоносного ПО за период с 4-го квартала 2016 г. по 1-й квартал 2017 г. оставались стабильными: около 20% организаций выявили мобильное вредоносное ПО. В этом квартале большинство в списке 10 наиболее распространенных угроз составили семейства вредоносного ПО, поражающего устройства Android. Общее соотношение по всем типам вредоносного ПО в 1-м квартале составило 8,7% — в 4-м квартале это значение было равно 1,7%.
  • Распространение по регионам. Мобильное вредоносное ПО все шире распространяется во всех регионах, за исключением Ближнего Востока. Во всех случаях наблюдающийся рост статистически достоверен, его нельзя списать на случайные колебания. При рассмотрении в региональном разрезе тенденции распространения вредоносного ПО, поражающего устройства Android, демонстрируют наиболее очевидную географическую привязку.


3) Наблюдается снижение эффективности отслеживания состояния гибких распределенных инфраструктур

Тенденции развития угроз зависят от среды, поэтому очень важно быть в курсе изменений, которые с течением времени претерпевают информационные технологии, службы, элементы управления и поведение. Возможность доступа к актуальным данным позволяет составить представление о политиках безопасности и моделях управления в целом, а также успешно отслеживать развитие эксплойтов, вредоносного ПО и ботнетов по мере усложнения сетей и повышения степени их распределенности.

По мере увеличения количества потенциальных направлений атак в рамках расширенной сети эффективность отслеживания и управления современными инфраструктурами снижается. Такие тенденции, как повсеместное распространение частных и общедоступных облачных решений, развитие IoT, подключение к сетям большого количества самых разных интеллектуальных устройств и появление внеполосных направлений угроз, таких как теневые ИТ-ресурсы, привели к чрезмерному повышению нагрузки на специалистов по информационной безопасности.

  • Зашифрованный трафик. Среднее значение соотношения между трафиком HTTPS и HTTP достигло рекордного значения — около 55%. Эта тенденция способствует сохранению конфиденциальности, однако создает сложности в ходе отслеживания и выявления угроз. Многие средства безопасности недостаточно эффективны при отслеживании зашифрованных данных. Организации, особенно те, в которых объем трафика HTTPS более высок, могут столкнуться с угрозами, скрытыми в зашифрованных данных.
  • Приложения. В среднем организация использует 62 облачных приложения, что составляет примерно треть от общего числа обнаруженных приложений. При этом количество приложений IaaS достигло нового максимума. Проблема многих организаций заключается в том, что при перемещении данных в облако эффективность отслеживания их состояния может заметно снизиться. Кроме того, наблюдается спорная тенденция к увеличению объема данных, для хранения которых используются подобные приложения и службы.
  • Сферы деятельности. Как показал групповой анализ по отраслям, для большинства сфер опасность представляют одни и те же направления угроз. В числе немногих исключений оказались сферы образования и телекоммуникаций. Это означает, что злоумышленники могут с легкостью использовать схожие направления атак в разных сферах, особенно при наличии автоматизированных инструментов.

Check Point: хакеры могут использовать субтитры для взлома миллионов устройств

Check Point объявил в мае 2017 года об обнаружении нового вектора атак, угрожающего миллионам пользователей популярных медиаплееров, включая VLC, Kodi (XBMC), Popcorn Time и Stremio. Создавая вредоносные субтитры, хакеры могут получить управление любыми девайсами, на которых установлены эти медиаплееры. К ним относятся мобильные устройства, ПК и Smart TV.

«Процесс производства субтитров сложен, в нем используется более 25 различных форматов, каждый из которых обладает уникальными функциями и возможностями. Фрагментированная экосистема наряду с ограниченной безопасностью подразумевает наличие множества уязвимостей, что делает ее чрезвычайно привлекательной целью для злоумышленников, — говорит Омри Хершовичи (Omri Herscovici), руководитель команды исследователей уязвимостей, Check Point Software Technologies. — Мы обнаружили, что вредоносные субтитры могут создаваться и доставляться на миллионы устройств автоматически, минуя системы безопасности. В результате хакеры получают полный контроль над зараженными девайсами и данными, которые на них содержатся».

Команда исследователей Check Point обнаружила уязвимости в четырех наиболее популярных медиаплеерах: VLC, Kodi, Popcorn Time и Stremio, — и сообщает о них в соответствии с инструкцией по разглашению информации. Используя уязвимости данных платформ, хакеры получают возможность захватить контроль над устройствами, на которых они установлены.

Файл:Subtitle vulnerability infographic.jpg

Субтитры к фильмам и телешоу создаются многими авторами и загружаются в общие онлайн-хранилища, такие как OpenSubtitles.org, где их индексируют и классифицируют. Исследователи Check Point выяснили, что, благодаря манипуляции алгоритмом ранжирования, вредоносные субтитры автоматически скачиваются медиаплеером, позволяя хакеру получить полный контроль над всей цепочкой предоставления субтитров без вовлечения пользователей.

Все четыре компании исправили уязвимости на своих платформах. Stremio и VLC также выпустили новые версии ПО, включающие данные изменения. «Чтобы защитить себя и свести к минимуму риск возможных атак, пользователи должны убедиться, что они обновляют свои медиаплееры до последних версий», — заключил Хершовичи.

Охота на государственные базы данных

Отчет NTT Security 2017 Global Threat Intelligence Report, включающий данные опроса более 10 тыс. клиентов на пяти континентах, показывает, что государственные учреждения все чаще становятся целью киберпреступников. Нередко атаки учащаются накануне важных геополитических событий, таких как президентские или парламентские выборы, встречи политиков, голосование по важным вопросам в парламенте и т. д[5].

Опасность состоит в том, что государственные учреждения могут подвергаться как нападению из-за пределов страны, так и атаке местных хакеров. Государственные учреждения являются хранителями большого количества информации разного рода: от личных данных граждан до разведывательных данных. Таким образом, данные из государственного учреждения могут быть интересны как простым вымогателям, так и хорошо организованным преступным и террористическим организациям. Кроме того, сегодня преступники охотятся в том числе и на данные, которые могут повлиять на общественное мнение, содержат компрометирующую информацию о политиках, их расходах и т. д. В результате атаки на госорганы становятся сложнее и масштабнее, и к сожалению, далеко не всегда системы защиты могут противостоять угрозе.

Анализ показал, что около 63% всех кибератак организовано с IP-адресов в США, еще 4% осуществлено из Великобритании и 3% из Китая. Главными угрозами для кибербезопасности являются фишинг, компрометация электронной почты, DDoS-атаки и др. Потенциальным источником и целью атаки являются устройства интернета вещей (ИВ) и облачные серверы. Из обнаруженных в 2016 г. ИВ-атак 66% пытались обнаружить определенные устройства, такие как видеокамера.

Кампании по распространению зловредов на Java

В апреле 2017 года эксперты компании Zscaler отметили резкий рост количества вредоносных инструментов удаленного администрирования на базе Java (jRAT). [6]

Схема выглядит относительно просто: с помощью всевозможных уловок (в первую очередь, социальной инженерии) злоумышленники добиваются, чтобы пользователи открывали вложения к их письмам; эти вложения содержат вредоносные JAR-файлы. Обычно письма выглядят как сообщения от налоговых органов или как заказы каких-либо товаров или услуг. Попав на машину, вредоносный JAR-файл скачивает скрипт на VBS, который сканирует систему на предмет наличия файерволлов и антивирусов. По окончании сканирования JAR-файл записывается в папку Temp и запускается.

В апреле 2017 года эксперты компании Zscaler отметили резкий рост количества вредоносных инструментов удаленного администрирования на базе Java

Код основного зловреда имеет сложную структуру, в которой за отдельные задачи — например, за соединения с контрольным сервером — отвечают отдельные модули. В код зловреда вписан URL сервера, с которого он мог докачивать дополнительные вредоносные модули. Интересно, что этот же сервер, располагающийся в доменной зоне .ru, в прошлом был замечен в распространении зловреда Loki. К 21 апрелю он неактивен. Вредоносные компоненты по большей части скачиваются c файлообменных ресурсов, таких как Dropbox.

Эксперты ZScaler отметили, что у jRAT-зловредов, которые им удалось перехватить, есть ряд нетипичных особенностей. Файл зловреда трижды зашифрован, программный код снабжен мощной обфускацией. Все это сделано для того, чтобы предотвратить автоматическое обнаружение антивирусами и затруднить ручной или автоматизированный анализ. Кроме того, автор зловреда даже учел разрядность операционной системы: для JAR-файлов предусмотрены 32-битные и 64-битные DLL.

« Злоумышленники продолжают совершенствовать свои инструменты. Чем больше денег может принести зловред хотя бы теоретически, тем больше усилий его авторы будут прилагать, чтобы обеспечить его скрытность и воспрепятствовать анализу, — говорит Ксения Шилак, директор по продажам компании SEC-Consult Рус. — Самый верный способ для пользователей обезопасить самих себя — не открывать никакие вложения, если они вызывают минимальные подозрения, и не запускать Java на компьютере без особой надобности. »

Опасные сетевые принтеры

1 февраля 2017 года исследователи университета города Рура в Германии обнаружили в прошивках некоторых моделей сетевых принтеров ряд критических уязвимостей. Согласно их исследованию (официальное представление в мае 2017 года), посредством обнаруженных уязвимостей злоумышленники могут получить копии отправляемых на печать документов и даже захватить контроль над корпоративной сетью.

На 7 февраля 2017 года все принтеры во время печати управляются компьютером с помощью нескольких специальных протоколов и языков. В случае с сетевыми принтерами во время печати компьютер сначала инициализирует принтер через протокол управления устройством, затем устанавливает с ним обмен данным через сетевой протокол, после чего отправляет ему задание для печати сначала на языке управления заданиями, а потом на языке описания страниц [7].

Проще говоря, при старте печати компьютер находит в сети принтер, пробуждает его и сообщает, что нужно напечатать, например, два документа — сначала документ с одним идентификатором, а затем — с другим. При этом для каждого документа отправляется дополнительное описание, как именно его надо напечатать — прокрутить одну строку, по таким-то координатам нанести краску и т.п. Основные языки управления заданиями и описания страниц написаны в 1970-80-х годах и сегодня используются на всех принтерах.

Обнаруженные уязвимости потенциально присутствуют на всех принтерах (из-за общности языков управления ими), но представляют наибольшую угрозу именно на сетевых устройствах, поскольку к ним можно подключиться удаленно, а не по USB, как в случае с домашними устройствами. Самое простое, что может сделать злоумышленник с сетевым принтером — отправить его в замкнутый цикл, заставив выполнять одно и то же действие. При этом устройство перестанет отвечать на все внешние команды.

Протестированные принтеры: красная отметка — уязвимости обнаружены, розовая уязвимости обнаружены частично, белая — уязвимости не найдены, (2017)

По данным исследователей, уязвимости обнаружены на 20 принтерах компаний Dell, HP, Lexmark, Brother, Samsung, Kyocera, Konica и OKI. Ученые полагают, что проблема распространена шире, но не могут проверить это предположение, поскольку проект изучения уязвимостей не финансируется. Отчеты о найденных брешах исследователи отправили производителям, из которых откликнулась только компания Dell - на январь 2017 года найденные уязвимости не устранила.

Исследователи создали собственный инструмент — программу PRET, она позволяет протестировать любой принтер, подключенный по USB, Wi-Fi или LAN, на наличие уязвимостей.

Юный хакер взломал 160 тыс. принтеров по всему миру

Хакер, называющий себя Stackoverflowin, также представляющийся «богом хакинга», утверждает, что написал скрипт, который автоматически ищет в Сети общедоступные принтеры и терминалы продаж, поддерживающие протоколы сетевой печати RAW, Internet Printing Protocol И Line Printer Remote, функционирующие на базе портов 9100, 631 и 515, соответственно[8].

Обнаруженные устройства с открытыми портами скрипт заставлял распечатывать хвастливое «письмо счастья» от хакера, содержащее рекомендацию срочно закрыть порты принтеров.

Уже даже после рассылки этих сообщений издание The Register с помощью поисковика Shodan.io выявило более 143 тысяч принтеров с открытым портом 9100.

Stackoverflowin, утверждающий, что ему нет 18 лет, заявил также, что использовал три уязвимости в веб-интерфейсе оборудования фирмы Xerox; эти уязвимости позволяют удаленно запускать произвольный код на этом оборудовании. По словам хакера, данные об этих брешах еще не раскрывались.

Сообщение от Stackoverflowin, распечатанное тысячами взломанных принтеров

В целом, хакер заметил, что даже несколько расстроен тем, как просто было провернуть всю затею.

В социальных сетях (в первую очередь, в твиттере) по всему миру множатся публикации с фотографиями распечаток хакерских сообщений, так что очевидно, что Stackoverflow хвастается не на пустом месте.

2016

Исследование Fortinet

Киберпреступники устанавливают контроль над устройствами
  • Устройства IoT чрезвычайно привлекательны для киберпреступников по всему миру. Злоумышленники создают собственные «армии» устройств. Дешевизна организации атак, высочайшая скорость и огромные масштабы — вот основы экосистемы современной киберпреступности[9].
  • В 4-м квартале 2016 г. отрасль была дестабилизирована утечкой данных Altaba (ранее Yahoo) и DDoS-атакой на компанию Dyn. В середине квартала рекордные показатели, зафиксированные по результатам обеих атак, были не только превзойдены, но и возросли вдвое.
  • Подключенные к Интернету вещей (IoT) устройства, пораженные ботнетом Mirai, инициировали рекордное количество DDoS-атак. После запуска исходного кода Mirai активность ботнета в течение недели возросла в 25 раз. К концу года активность увеличилась в 125 раз.
  • Исследование связанной с IoT активности эксплойтов в отношении нескольких категорий устройств показало, что наиболее уязвимыми являются домашние маршрутизаторы и принтеры, однако устройства DVR/NVR быстро опередили маршрутизаторы. Количество пораженных устройств этой категории увеличилось более чем на 6 порядков.
  • Большое значение также приобрела проблема вредоносного ПО, поражающего мобильные устройства. Несмотря на то, что этот вид вредоносного ПО занимает лишь 1,7 процента в общем объеме, одна из каждых пяти организаций, сообщивших об атаках с помощью вредоносного ПО, столкнулась с его мобильным вариантом. Практически все эксплойты были разработаны на базе Android. В структуре атак с помощью мобильного вредоносного ПО были выявлены значительные отличия в зависимости от региона: 36 процентов атак приходятся на организации Африки, 23 процента — Азии, 16 процентов — Северной Америки и лишь 8 процентов — Европы. Эти показатели следует учесть при работе с доверенными устройствами в современных корпоративных сетях.

Преобладание крупномасштабных автоматизированных атак
  • Взаимосвязь между количеством и распространенностью эксплойтов свидетельствует о повышении степени автоматизации атак и снижении стоимости вредоносного ПО и инструментов распространения, доступных в глубоком Интернете. Организация атак стала проще и дешевле, чем когда-либо.
  • Первое место в списке выявленных эксплойтов, представляющих значительную опасность, занял SQL Slammer, главным образом поражающий образовательные учреждения.
  • Вторым по распространенности является эксплойт, свидетельствующий о попытках проведения атак на протокол удаленного рабочего стола (RDP) Microsoft методом подбора. Эксплойт запускает 200 запросов RDP каждые 10 секунд, чем объясняется его значительная активность в сетях глобальных организаций.
  • Третье место в списке самых распространенных эксплойтов заняла сигнатура, привязанная к уязвимости «Повреждение памяти» диспетчера файлов Windows. С помощью этой сигнатуры злоумышленник может удаленно запустить выполнение произвольного кода внутри уязвимых приложений с помощью файла JPG.
  • Наибольшие показатели численности и распространенности продемонстрировали семейства ботнетов H-Worm и ZeroAccess. С помощью обоих ботнетов киберпреступники берут зараженные системы под контроль и похищают данные либо занимаются мошенничеством с рекламными объявлениями и майнингом биткоинов. Наибольшее количество попыток проведения атак с помощью этих двух семейств ботнетов было зафиксировано в технологическом и государственном секторах.

Программы-вымогатели продолжают распространяться
  • Независимо от того, в какой отрасли промышленности они применяются, программы-вымогатели заслуживают внимания. Вероятнее всего, эта эффективная технология атак продолжит развитие в рамках концепции «программы-вымогатели как услуги» (RaaS). За счет этого потенциальные преступники, не обладающие соответствующими навыками, могут загрузить инструменты и незамедлительно применить их на практике.
  • 36% организаций зафиксировали активность ботнетов, связанную с применением программ-вымогателей. Наибольшую активность продемонстрировал троян TorrentLocker, на третьем месте оказался Locky.
  • Широкое распространение получило вредоносное ПО, принадлежащее двум семействам — Nemucod и Agent. 81,4 процента собранных образцов вредоносного ПО относится к этим двум семействам. Как известно, семейство Nemucod связано с программами-вымогателями.
  • Программы-вымогатели были выявлены во всех регионах и отраслях, однако наиболее широкое распространение они получили в учреждениях здравоохранения. Это весьма тревожная тенденция: под угрозой находятся данные пациентов, которые по сравнению с другими типами данных отличаются большей длительностью хранения и значимостью, что чревато серьезными последствиями.

Исследование Trend Micro

Рост мошенничества с использованием корпоративной почты

1 марта 2017 года компания Trend Micro Incorporated опубликовала ежегодный отчет о кибербезопасности в мире за 2016 год - «Рекордный год для киберугроз в корпоративном секторе» (2016 Security Roundup: A Record Year for Enterprise Threats).

Основные выводы исследования:

  • Рост числа случаев мошенничества с использованием корпоративной почты: наравне с программами-вымогателями, мошенничество с использованием корпоративной почты также оказалось выгодным для киберпреступников – финансовые потери компаний от таких атак по всему миру в 2016 году достигли $140 тыс. Этот вид мошенничества показывает эффективность использования методов социальной инженерии в ходе атак на предприятия.
  • Разнообразие уязвимостей: в 2016 году Trend Micro и Zero Day Initiative (ZDI) обнаружили рекордное количество уязвимостей, большинство из которых обнаружено в Adobe Acrobat Reader DC и решении WebAccess от Advantech. Оба приложения широко используются в организациях, в SCADA-системах.
  • Набор эксплойтов Angler сдал свои позиции: после ареста 50 киберпреступников, набор эксплойтов Angler стал уходить в тень, пока окончательно не прекратил свое существование. Несмотря на то, что свежим наборам эксплойтов не потребовалось много времени, чтобы занять его место, к концу 2016 года количество уязвимостей, включенных в наборы эксплойтов, сократилось на 71%.
  • Банковские трояны и вредоносное программное обеспечение для банкоматов: киберпреступники продолжают использовать вредоносные программы для банкоматов, скимминг и банковские трояны. Однако в последние годы атаки злоумышленников становятся все более разнообразными и позволяют им получить доступ к личной информации и учетным данным пользователей, которые могут быть использованы для проникновения в корпоративную сеть.
  • Атака с помощью ботнета Mirai: в октябре 2016 года хакеры воспользовались плохо защищенными устройствами Интернета вещей для DDoS-атаки, в ходе которой использовано ~100 тыс. устройств. В результате, сайты вроде Twitter, Reddit и Spotify стали недоступны на несколько часов.
  • Утечка данных пользователей Yahoo: компания пострадала от крупной утечки информации в августе 2013 года – скомпрометировано ~1 млрд учетных записей пользователей. Об инциденте стало известно спустя три месяца после другой утечки, в сентябре 2016 года, в результате которой пострадали еще 500 млн аккаунтов.
  • Рост числа программ-вымогателей. Подробнее см. Вирус-вымогатель (шифровальщик)

Прогноз Trend Micro на 2017 год

8 декабря 2016 года стало известно согласно прогнозам Trend Micro Incorporated - в 2017 году размах и глубина атак возрастут, как и разнообразие тактических приемов злоумышленников.

Trend Micro Incorporated опубликовала ежегодный отчет с прогнозами по информационной безопасности на 2017 год «Новый уровень – 8 прогнозов по кибербезопасности на 2017 год» (The Next Tier – 8 Security Predictions for 2017) [10].

« Раймунд Гинес (Raimund Genes), CTO Trend Micro
Следующий год выведет индустрию кибербезопасности на новые рубежи. В 2016 году ландшафт угроз позволил киберпреступникам значительно увеличить разнообразие методов атак и видов атакуемых целей. На наш взгляд, большие изменения в компаниях по всему миру вызовет необходимость соблюдения требований «Акта о защите персональных данных» (General Data Protection Regulation, GDPR). Кроме того, мы прогнозируем появление новых методов атак на крупные корпорации, расширение тактик онлайн-вымогательства, которые будут затрагивать все большее разнообразие устройств, а также применение методов киберпропаганды для манипуляции общественным мнением.
»

В 2016 заметно выросло количество уязвимостей в устройствах Apple, за год было объявлено о пятидесяти из них. При этом в продуктах Adobe эта цифра составила 135, в продуктах Microsoft – 76. Этот заметный сдвиг в сторону Apple в дальнейшем будет усиливаться.

Интернет вещей (Internet of Things, IoT) и Промышленный Интернет вещей (Industrial Internet of Things, IIoT) будут играть все более значимую роль в осуществлении целенаправленных атак в 2017 году.

Такие атаки будут весьма прибыльными из-за повсеместного распространения подключенных устройств, а также благодаря возможности эксплуатировать содержащиеся в них уязвимости и использовать незащищенные корпоративные системы, чтобы нарушать бизнес-процессы в компаниях – как в случае с вредоносным программным обеспечением Mirai. Рост использования мобильных устройств для мониторинга систем управления на производстве и объектах инфраструктуры в сочетании с большим числом уязвимостей, найденных в этих системах, будет представлять реальную угрозу для организаций.

Мошенничество с использованием корпоративной почты (Business Email Compromise, BEC) и взлом бизнес-процессов (Business Process Compromise, BPC) продолжат распространяться, представляя собой простой и эффективный метод корпоративного онлайн-вымогательства. Мошенничество с использованием корпоративной почты, например, может принести злоумышленникам $140 тыс., для этого требуется лишь убедить жертву перевести корпоративные средства на счет мошенников. При этом, для сравнения, взлом системы финансовых транзакций, хоть и требует больших усилий, в результате может принести злоумышленникам намного больше − сумма может доходить до $81 млн.

« Мы видим, как киберпреступники продолжают приспосабливаться к постоянно меняющемуся технологическому ландшафту. Если в 2016 году наблюдался значительный рост числа новых программ-вымогателей, то сейчас он заметно снизился, поэтому хакеры будут искать новые пути использования уже существующих разновидностей таких программ. Похожим образом, инновации в сфере Интернета вещей позволяют хакерам находить себе другие цели для атак, а изменения в программном обеспечении подталкивают их искать новые уязвимости.

Эд Кабрера (Ed Cabrera), Chief Cybersecurity Officer, Trend Micro
»

Прогнозы на 2017 год:

  • Рост количества новых семейств программ-вымогателей замедлится и будет достигать порядка 25%, однако их воздействие распространится на устройства Интернета вещей, PoS-терминалы и банкоматы.
  • Разработчики не смогут своевременно обеспечить защиту устройств Интернета вещей и Промышленного Интернета вещей от DoS- и других видов атак.
  • В продуктах Apple и Adobe будут обнаруживаться все новые уязвимости, которые будут добавлены в наборы эксплойтов.
  • Поскольку 46% мирового населения имеет доступ к Интернету, усилится роль киберпропаганды с целью оказания влияния на общественное мнение.
  • Пример атаки на центральный банк Бангладеш в начале 2016 года доказывает, что атаки со взломом бизнес-процессов позволяют злоумышленникам получать значительную прибыль. В то же время методы мошенничества с использованием корпоративной почты по-прежнему останутся эффективным методом незаконного обогащения с использованием ничего не подозревающих сотрудников.
  • Вступление в силу «Акта по защите персональных данных» (General Data Protection Regulation, GDPR) вызовет изменения в регламентах и административных процедурах, что, в свою очередь окажет серьезное влияние на затраты организаций и потребует от них полного пересмотра процессов обработки данных для соответствия новым требованиям.
  • Новые методы проведения целенаправленных атак будут направлены на то, чтобы уклониться от современных технологий обнаружения и совершать атаки на компании в самых разных областях.

Белая книга Panda Security об атаках на инженерные объекты

30 ноября 2016 года подразделение PandaLabs компании Panda Security сообщила о выходе в свет белой книги с информацией о самых громких кибератаках на объекты жизненно важной инженерной инфраструктуры (критической) в мире и рекомендациями о способах защиты от атак на основную опору экономики современности. Ниже фрагмент издания.

Белая книга Panda Security, (2016)

Усиление тенденции взаимодействия всех типов инфраструктуры отражает рост потенциального числа точек проникновения атак в объекты, ставшие жизненно важными для современного общества. Это актуально и в отношении кибератак, которые проводились против подобных сетей в прошлом: одна из первых подобных атак выполнена в 1982 году, до появления Интернета. Тогда хакеры посредством трояна заразили системы сибирского нефтепровода, что привело к одному из самых мощных неядерных взрывов в мире.

Помимо частичной или полной остановки работы объектов критической инфраструктуры, что произошло с венесуэльской нефтяной компанией PDVSA, когда в результате атаки добыча нефти сократилась с 3 млн до 370 тыс. баррелей в сутки, подобные атаки также наносят значительный финансовый ущерб. Один из крупнейших производителей автомобилей в США потерпел убытки в размере $150 млн, «благодаря» атаке с использованием SQLSlammer, который быстро распространился по 17 заводам компании.

Один из самых печально известных случаев кибер-атаки на критическую инфраструктуру за всю историю – это Stuxnet. Уже известно, что это была согласованная атака американских и израильских спецслужб, направленная на срыв ядерной программы Ирана. Этот случай стал катализатором, который заставил мировую общественность узнать о разновидностях угроз.

Некоторые события ряда лет стали вехами в развитии мировой безопасности, в частности, атака 11 сентября. В Европе есть схожая дата – 11 марта 2004 года, тогда произошли взрывы поездов в Мадриде. В результате, Европейская комиссия разработала глобальную стратегию защиты объектов критической инфраструктуры «European Programme for Critical Infrastructure Protection», в составе которой приведены предложения по совершенствованию комплекса мер в Европе, предназначенных для предотвращения террористических атак и эффективному реагированию на них.

В результате подобных атак, помимо всего прочего, могут быть украдены технические характеристики объектов критической инфраструктуры и огромный объем других критически важных данных. Это означает необходимость принятия специальных мер защиты такой инфраструктуры, включая апробированные практики:

  • Проверка систем на уязвимости.
  • Адекватный мониторинг сетей, используемых для контроля таких инфраструктурных объектов, и, при необходимости, их полная изоляция от внешних соединений.
  • Контроль над съемными устройствами, что крайне важно в любой инфраструктуре не только потому, что они являются направлением подобных атак, как было в случае с Stuxnet. При защите таких объектов критической инфраструктуры крайне важно сделать так, чтобы вредоносные программы не проникали во внутренние сети через съемные устройства, которые также могут использоваться и для кражи конфиденциальной информации.
  • Мониторинг компьютеров, к которым подключены программируемые логические контроллеры (PLC). Эти подключенные к Интернету устройства наиболее чувствительны, поскольку они могут предоставлять хакерам доступ к критически важным системам контроля. Но, даже если хакеры не смогут получить контроль над системой, они могут получить ценную информацию для других направлений атак [11].

2015

10 самых опасных кибер-атак 2015 года

Ни персональная информация, ни отпечатки пальцев не были в полной безопасности от кибер-преступников в 2015 году[12]. Ниже мы приводим краткий обзор наиболее опасных и тревожных атак 2015 года.

Кража отпечатков пальцев

Если отпечатки пальцев считаются одним из самых безопасных методов биометрической безопасности (этот метод используется для разблокировки iPhone), то кража информации, принадлежащей сотрудникам правительства США, показала, что у этой системы существуют различные проблемы, на которые стоит обратить внимание.

В июне 2015 года группа кибер-преступников смогла заполучить отпечатки пальцев примерно шести миллионов сотрудников федеральных ведомств и учреждений США, что могло бы подвергнуть опасности не только их мобильные телефоны, но и безопасность страны[13].

Удаленный контроль над смарт-автомобилями

Еще одна большая проблема, которая стоит перед специалистами по кибер-безопасности, - это инцидент со смарт-автомобилями[14]. Пока нет соответствующего решения, эти автомобили по-прежнему будут уязвимы для манипуляций над ними. Летом прошлого года два хакера показали, что можно воспользоваться ошибками в компьютерной системе Jeep Cherokee и перехватить контроль над автомобилем, даже сумев применить тормоза на этой машине, причем все операции были осуществлены удаленно.

Тысячи зараженных устройств с Android

Не все уязвимости в мире IT-безопасности ориентированы на современных решениях и устройствах. На самом деле, смартфоны оказались в центре массового скандала в 2015 году, когда тысячи устройств с Android были заражены Stagefright – в результате этого инцидента безопасности кибер-преступники смогли получить доступ к любому телефону с Android и контролировать его без ведома его владельца.

Фурор с онлайн-знакомствами

Несомненно, самый крупный скандал года был связан с утечкой информации о более чем 32 миллионах пользователей сайта онлайн-знакомств Ashley Madison[15]. Этот инцидент послал мощную взрывную волну по всему миру кибер-безопасности, лишний раз напомнив каждому из нас (как пользователям, так и владельцам онлайн-платформ) об опасностях, перед которыми сталкивается IT-безопасность.

Уязвимая инфузионная помпа

Здоровье и безопасность людей также подвержены риску в результате наличия уязвимостей у различных устройств. Причем речь идет не только о смарт-автомобилях, которыми можно дистанционно управлять и спровоцировать ДТП: в 2015 году был инцидент с инфузионной помпой, которая используется в больницах. Оказалось, что если кибер-преступник сумел подключиться к локальной сети больницы, то он смог бы получить доступ к этому аппарату, манипулируя им и изменяя параметры его работы.

Риски для АЗС

В опасности могут находиться не только аппараты в больницах, но и АЗС, в чем смогли убедиться исследователи по обе стороны Атлантики. Подключившись к сети, кибер-преступники могут атаковать топливные насосы, что может привести даже к взрыву.

Год, о котором в Apple хотели бы забыть

2015 стал самым плохим годом для Apple с точки зрения безопасности, т.к. количество атак, направленные на эти устройства, выросло в пять раз по сравнению с 2014 годом, при этом количество новых уязвимостей продолжило расти. Один такой пример – это ошибка Dyld, которая была обнаружена летом прошлого года, повлиявшая на операционную систему MAC OS X[16].

Кража данных через третьих лиц

В 2015 году данные 15 миллионов пользователей T-Mobile были украдены кибер-преступниками. По данным компании, информация была взята не с их корпоративных серверов, а она была украдена у компании, которая управляла платежами клиентов T-Mobile.

Кража данных через веб-браузеры

Летом 2015 года Firefox пришлось сообщить своим пользователям, что сбой в работе браузера был вызван тем инцидентом[17], в рамках которого кибер-преступники могли находить и осуществлять кражу файлов пользователей без их ведома.

Плохой конец года для Dell

Последний скандал 2015 года случился в декабре, когда было обнаружено, что в последних моделях компьютеров Dell скрывались серьезные ошибки безопасности. Благодаря этим уязвимостям кибер-преступники были способны изменять коммуникации между различными системами и осуществлять кражу информации с пострадавших компьютеров.

2011

Количество атак выросло на 81%

В 2011 году Symantec отразил более 5,5 миллиардов атак, что на 81% больше, чем в предыдущем. Кроме того, число уникальных образцов вредоносного кода в мире увеличилось до 403 миллионов, доля ежедневных Web-атак выросла на 36%.

В то же время значительно снизился уровень спама, и на 20% снизилось количество новых уязвимостей. Эта глобальная статистика на фоне продолжающегося роста рынка вредоносного ПО выявляет интересную тенденцию. Злоумышленники стали использовать простые инструментарии для существующих уязвимостей. Все чаще киберпреступники нацеливаются на социальные сети, предпочитая их спаму. Сама природа таких сетей формирует ошибочное мнение о безопасности пользователей, и злоумышленники видят в них новых жертв. Технологии социальной инженерии и вирусная природа социальных сетей позволяют угрозам распространяться с огромной скоростью.

Intel Security: Новый виток атак будет направлен на промышленные и энергетические компании

На июль 2011 года, по данным McAfee, киберпреступники потратили как минимум 5 лет, целенаправленно ведя атаки на 70 государственных структур, некоммерческих организаций и корпораций для хищения данных. В число их входят, например, ООН, Международный олимпийский комитет (МОК) и коммерческие компании, расположенные на территории США.

В McAfee не уточняют, кто стоит за этими атаками. Большинство жертв не называются в отчете В McAfee, также как и то, какие именно данные у них были похищены. Сообщается только, что это компании и организации из таких стран помимо США как Канада, Южная Корея, Тайвань, Япония и многие другие.

Отчет выпущен после целой серии высоко-квалифицированных хакерских атак , произошедших в последние месяцы, в результате чего пострадали компании Citigroup, Sony Corp., Lockheed Martin, PBS и другие. По мнению экспертов McAfee, ко всем им были причастны так называемые группы хакеров-активистов вроде Anonymous и Lulzsec.

По мнению Дмитрия Алперовича, вице-президента по исследованию угроз McAfee и автора отчета, угроза гораздо больше, и многие случаи были просто не преданы огласке. Ключом к этим вторжениям, по его словам, «является массовый голод до чужих секретов и интеллектуальной собственности».

Однако не все организации воспринимают слова исследователей настороженно. В частности, представитель МОК Марк Адамс (Mark Adams) заявил, что пока исследователи из McAfee не предоставили им доказательств попыток скомпрометировать информационную безопасность комитета.

«Если это правда, то, конечно, это не может нас не тревожить. Однако МОК прозрачная организация и не имеет таких секретов, которые поставили бы под угрозу нашу деятельность или репутацию», - добавил он.

Между тем, исследователи предупреждают, что новой целью кибератак могут стать промышленные и, в частности, энергетические компании.

«Это не угроза только для США, это глобальная угроза», - заявил Тим Рокси (Tim Roxey), директор по управлению рисками North American Electric Reliability Corporation (NERC).

По оценкам этой компании, хакеры в состоянии получать доступ к любому оборудованию электростанций, включая турбинные клапаны.

Он также напомнил, как группа ученых вынуждена была покинуть атомный реактор в результате атаки печально известного вируса Stuxnet. По мнению экспертов Siemens AG, для таких атак не обязательны даже действия слаженной хакерской группы, атаку можно организовать единолично, обладая достаточным опытом и количеством времени.

2010: Расширение атак на другие ОС кроме Windows

В 2010 году в сфере киберпреступности наметился знаменательный поворот: впервые в истории хакеры стали переключать свое внимание с ПК и ОС Windows на другие операционные системы и платформы, включая смартфоны, планшетные компьютеры и мобильные устройства в целом. Об этом говорилось в опубликованном 20 января 2011 года Ежегодном отчете Cisco по информационной безопасности за 2010 год.

В предыдущие десять лет хакеры нацеливались, в первую очередь, на операционные системы для ПК. В ответ на это поставщики ПК-платформ и приложений усилили защиту своих продуктов и стали гораздо активнее искать и закрывать уязвимости с помощью коррекционных модулей (патчей). В результате хакерам стало все труднее взламывать платформы (в частности, платформу Windows), которые раньше позволяли им легко зарабатывать на хлеб и на масло. Поэтому злоумышленники ищут новые области для применения своих вредоносных "талантов". Тут очень кстати подоспели мобильные устройства и приложения, которые стали активно распространяться на рынке. В результате в 2011 году наибольшую угрозу для пользователей таят мобильные приложения, созданные сторонними разработчиками.

1982: ЦРУ взрывает советский газовый трубопровод

Сотрудники американского ЦРУ внедрили баг в канадское программное обеспечение, управлявшее газовыми трубопроводами. Советская разведка получила это ПО как объект промышленного шпионажа и внедрила на Транссибирском трубопроводе. Результатом стал самый большой неядерный взрыв в истории человечества, который произошел в 1982 году.

Смотрите также

Смотрите также





Примечания

  1. Большинство российских компаний не устойчивы к кибератакам, заявили в PwC
  2. AppsFlyer представила Protect360 для защиты бизнеса от мобильного фрода
  3. Страховщики подсчитали ущерб мировой экономике от глобальной кибератаки
  4. В отчете о всемирном исследовании угроз Fortinet представлены данные, собранные отделом FortiGuard Labs с помощью обширной сети устройств и датчиков рабочих сред в 1-м квартале 2017 г. Сбор данных осуществлялся в глобальном, региональном, секторальном и организационном масштабах. В центре внимания находились три взаимосвязанных вида угроз: эксплойты-приложения, вредоносное программное обеспечение и ботнеты. Кроме того, компания Fortinet публикует сводку данных об угрозах (при наличии подписки доступ бесплатен), в которой приводится еженедельный обзор наиболее опасных вирусов, вредоносного ПО и сетевых угроз, а также ссылки на данные наиболее актуальных исследований Fortinet.
  5. Хакеры открыли охоту на государственные базы данных
  6. Increase in jRAT Campaigns
  7. Принтеры оказались опасными для корпоративных сетей
  8. Юный хакер взломал 160 тыс. принтеров по всему миру
  9. В отчете о всемирном исследовании угроз Fortinet представлены данные, собранные отделом FortiGuard Labs в 4-м квартале 2016 г. Сбор данных осуществлялся в глобальном, региональном, секторальном и организационном масштабах. В центре внимания находились три взаимосвязанных вида угроз: эксплойты-приложения, вредоносное программное обеспечение и ботнеты.
  10. The Next Tier – 8 Security Predictions for 2017
  11. Panda Security: Критическая инфраструктура
  12. The 10 most alarming cyberattacks of 2015
  13. US government hack stole fingerprints of 5.6 million federal employees
  14. Недостатки безопасности, влияющие на «подключенные» автомобили
  15. Уроки, которые мы должны извлечь из утечки данных с Ashley Madison
  16. Компания Apple применила меры безопасности после провального года
  17. You need to update Firefox right now to protect yourself from a big security flaw