INFO

В первый день знаменитого соревнования хакеров Pwn2Own 2019, которое проходит в Ванкувере, Канада, специалистам удалось взломать браузер Safari от Apple, а также продукты для виртуализации — Oracle VirtualBox и VMware Workstation. В результате исследователи заработали $240 000. Общая сумма призовых Pwn2Own этого года составила один миллион долларов. Также можно отметить, что впервые в истории состязания участникам предложили попробовать взломать автомобиль Tesla Model 3. В случае успеха специалисты могут получить до $300 000. В первый день соревнования Амат Кама и Ричард Зу из команды Fluoroacetate заработали $55 000 за эксплойт для Safari. Суть метода атаки на браузер от Apple заключалась в переполнении буфера, которое приводило к обходу встроенной песочницы. Интересный момент в случае атаки Safari заключается в том, что исследователи использовали брутфорс для «побега из песочницы». Те же эксперты получили еще $35 000 за взлом Oracle VirtualBox. Взломать этот продукт удалось лишь со второй попытки. Кама и Зу использовали целочисленное переполнение и «race condition» для повышения привилегий и выполнения произвольного кода. Эта же пара экспертов успешно взломала виртуальную машину VMware Workstation, что вылилось в возможность выполнения кода в системе-хосте. Общая сумма призовых для исследователей Fluoroacetate составила $160 000. Еще одни эксперты — команда phoenhex & qwerty — заработали $45 000 за эксплойт для Safari с возможностью повысить привилегии до уровня ядра. Чтобы использовать эту уязвимость, пользователя нужно всего лишь заманить на злонамеренный сайт. На следующий день хакеры попытаются взломать браузеры Mozilla Firefox и Microsoft Edge.

Подведены итоги второго дня соревнования Pwn2Own 2019, ежегодно проводимого в рамках конференции CanSecWest в Ванкувере. На соревновании были продемонстрированы рабочие техники эксплуатации ранее неизвестных уязвимостей в Firefox, Edge, Safari, VMware Workstation и VirtualBox. Суммарный размер выплат составил 510 тысяч долларов (общий призовой фонд составлял более 2 млн долларов). Успешно продемонстрированные следующие взломы: • $35 тысяч - взлом VirtualBox: целочисленное переполнение + race condition, позволившие из окружения гостевой системы выполнить код на стороне хост-системы; • $35 тысяч - взлом VirtualBox: целочисленное переполнение, позволившее получить доступ к базовому системному окружению из гостевой системы; • $40 тысяч - взлом Firefox: ошибка в JIT + использование логической ошибки для выхода из sandbox-изоляции; • $50 тысяч - взлом Firefox: ошибка в JIT + запись за пределы буфера в ядре Windows для выполнения кода с правами ядра; • $45 тысяч - частичный взлом Safari, ошибка в JIT + чтение из области вне буфера с дальнейшей попыткой получения прав root через уязвимость в ядре. • $50 тысяч - взлом Microsoft Edge: двойное освобождение блока памяти в процессе отрисовки + выход из sandbox; • $55 тысяч - взлом Safari с обходом sandbox-изоляции; • $70 тысяч - взлом VMware Workstation: race condition + переполнение буфера в VMware client, позволившие выполнить код на стороне хост-системы; • $130 тысяч - взлом Microsoft Edge с последующим выходом из гостевого окружения VMware с выполнением кода на уровне хост-системы. Взломы ядра Linux и большинства открытых проектов (nginx, OpenSSL, Apache httpd) в этом году исключены из призовых номинаций, а дистрибутив Ubuntu убран из числа окружений для взлома (попытки взломов в данной категории ограничились только демонстрацией в 2017 году 0-day уязвимости в ядре Linux). На завтра запланированы демонстрации взломов информационных систем автомобиля Tesla Model 3 (взлом компонента VCSEC и встроенного браузера на основе Chromium). Общий размер призового фонда на взломы Tesla составляет более 900 тысяч долларов. • Source: https://www.zerodayinitiative.com/blog/2019/3/21/pwn2own-vancouver-2019-day-two-results

Group-IB зафиксировала активность нового JS-сниффера, предназначенного для перехвата пользовательских данных: номеров банковских карт, имен, адресов, логинов, паролей. Первым ресурсом, на котором эксперты Group-IB обнаружили сниффер, стал сайт, принадлежащий спортивному гиганту FILA, fila.co[.]uk, как минимум 5 600 клиентов которого могли стать жертвой кражи платежных данных за последние 4 месяца. В общей сложности новый JS-сниффер заразил 7 сайтов, включая шесть онлайн-магазинов в США, которые суммарно посещают около 350 тыс. уникальных посетителей в месяц В сентябре 2018 года стало известно, что пользователи сайта и мобильного приложения British Airways подверглись компрометации. Под угрозой оказались все клиенты международной авиакомпании, которые осуществляли бронирование через официальный сайт или приложение компании в период с 25 августа по 5 сентября 2018 года. Суммарно в руки злоумышленников попали личные и финансовые данные 380 000 человек. Вскоре похожей атаке подверглись пользователи американского онлайн-магазина Ticketmaster. Киберпреступникам удалось скомпрометировать личную информацию тысяч путешественников и посетителей концертов с помощью "всего лишь" нескольких строк кода. Об этом впервые сообщили аналитики компании RiskIQ. Веб-сайты British Airways и Ticketmaster были заражены с помощью JS-снифферов. Это тип вредоносного кода, внедряемого злоумышленниками на сайт жертвы для перехвата вводимых пользователем данных: номеров банковских карт, имен, адресов, логинов, паролей и др. Полученные данные злоумышленники, как правило, либо продают на андеграундных форумах — кардшопах или используют сами для покупок ценных товаров, и их последующей перепродажи с целью заработка. О новом инциденте стало известно в феврале 2019 года благодаря команде Group-IB Threat Intelligence. Британский сайт FILA (fila.co[.]uk) стал одной из мишеней киберпреступников, внедривших вредоносный код JS-сниффера, получившего название GMO. Этот же вредонос был обнаружен на 6 сайтах американских компаний. Команда Group-IB предприняла несколько попыток предупредить сайты о том, что они оказались зараженными этим JS-сниффером. Специалисты компании Group-IB также передали информацию в профильные организации в Великобритании и США. В Group-IB пояснили: «Вредоносный код загружает JavaScript-сниффер как только клиент попадает на страницу оформления заказа. Сниффер, внедренный на сайт, перехватывает данные кредитной карты и персональную информацию жертвы, после чего отправляет их на сервер злоумышленников — гейт. В цепочке передачи данных со сниффера может быть использовано несколько уровней гейтов, расположенных на разных серверах или взломанных сайтах, что усложняет задачу обнаружить конечный сервер злоумышленников. Однако в некоторых случаях административная панель расположена на том же хосте, что и гейт для сбора украденных данных. Киберпреступники могли внедрить вредоносный код несколькими способами: используя уязвимость Magento CMS (системы управления контентом), используемой FILA.co.uk, или скомпрометировав учетные данные администратора сайта, используя программу-шпион или взломав пароль методом простого перебора паролей». Специалисты направления Threat Intelligence Group-IB впервые зафиксировали активность нового JS-сниффера именно на британском сайте компании FILA. Вредоносный код был обнаружен в начале марта 2019 года. В ходе расследования выяснилось, что GMO предположительно собирает данные о платежах клиентов с ноября 2018 года. Используя данные сайта Alexa.com, можно посчитать, что сайт посещает около 140 000 уникальных пользователей. Минимальная конверсия в покупку для интернет-магазинов одежды составляет 1%, по данным IRP. Следовательно, киберпреступники по самым скромным подсчётам могли похитить платежные и личные данные как минимум 5600 клиентов: каждый, кто приобретал товары на сайте fila.co.uk с ноября 2018 года, может находится в «группе риска». Позже специалисты Group-IB обнаружили другие сайты, зараженные JS-сниффером GMO. Список жертв включает шесть онлайн-магазинов в США, которые в общей сложности посещают около 350 000 уникальных посетителей в месяц (согласно рейтингу Alexa.com): http://jungleeny[.]com (магазин домашнего дизайна), https://forshaw[.]com/ (магазин продукции для борьбы с насекомыми), https://www.absolutenewyork[.]com/ (магазин косметики), https://www.cajungrocer[.]com/ (продуктовый онлайн-магазин), https://www.getrxd[.]com/ (магазин тренажёров), https://www.sharbor[.]com/ (магазин оборудования для видеомонтажа). GMO — это семейство JS-снифферов, жертвами атак которого становятся сайты, работающие под управлением CMS Magento. Одной из особенностей этого сниффера является способность обнаружить анализ — сниффер определяет факт открытия окон Developer Tools и Firebu. Доменное имя, используемое для размещения кода снифферов и гейта для сбора украденных данных, было создано 7 мая 2018 года — этот месяц можно считать датой начала кампании с использованием сниффера GMO. Данный сниффер является входит в число 15 семейств снифферов, описанных в новом отчете Group-IB, который будет опубликован в ближайшее время. Всего специалистами Group-IB было обнаружену 38 различных семейств JS-снифферов, доступ к описанию которых первыми получат клиенты Group-IB Threat Intelligence. К моменту выпуска новости компания FILA и несколько других пострадавших ресурсов обновили сайты и удалили сниффер.

Сотрудники полиции пресекли деятельность группы лиц, похищавших денежные средства со счетов граждан с использованием вредоносного программного обеспечения. В течение года двое жителей Забайкальского края в возрасте 25 и 28 лет распространяли вредоносное программное обеспечения (вирус) на устройства средств связи граждан, получая при этом доступ к их банковским реквизитам. После этого злоумышленники похищали имеющиеся на счетах денежные средства путем перечисления на другие счета или рассчитываясь при онлайн-покупках товара в интернет-магазинах. Уведомления о списании денежных средств блокировались вредоносной программой и смс-сообщения не поступали. О совершении в отношении них преступлений потерпевшие узнавали спустя длительное время при личном обращении в банк. По предварительной информации, сумма причиненного злоумышленниками ущерба составила более миллиона рублей. Возбуждено уголовное дело по признакам преступления, предусмотренного ч. 3 ст. 158 «Кража, совершенная с банковского счета». Санкция статьи предусматривает наказание до шести лет лишения свободы. В отношении подозреваемых на период следствия избрана мера пресечения в виде заключения под стражу. В настоящее время проводятся следственно-оперативные мероприятия, направленные на установление потерпевших. Video: https://мвд.рф/news/item/16171579/

Во вторник, 12 марта, сотрудники Федеральной полиции Австралии арестовали молодого человека, заработавшего $211 тыс. на продаже в интернете похищенных паролей. Австралиец предположительно является создателем сайта WickedGen.com, специализирующегося на продаже краденых данных. Если верить информации на сайте, его аудитория насчитывает порядка 120 тыс. пользователей. Своим клиентам WickedGen.com предлагает пароли и логины 1 млн пользователей Netflix, Spotify и Hulu. Согласно уведомлению полиции, учетные данные были получены методом подстановки данных, полученных в результате прошлых утечек (так называемый credential stuffing). В списке жертв утечек числятся как австралийские пользователи, так и пользователи по всему миру, в том числе в США. Расследование по данному делу началось в мае прошлого года, когда австралийская полиция получила от ФБР США информацию о сайте WickedGen.com. К тому времени ресурс работал уже в течение двух лет. https://www.afp.gov.au/news-media/media-releases/sydney-man-charged-selling-personal-details-customers-online-joint

Федеральная служба безопасности (ФСБ) приказала российским операторам связи заблокировать IP-адреса защищенного почтового сервиса ProtonMail, а также ряд других адресов под предлогом обеспечения безопасности Универсиады в Красноярске и борьбы с новой волной ложных звонков о минировании различных учреждений по всей стране. На блокировку обратил внимание один из администраторов портала "Хабр" Вадим Рыбалко. Факт ограничения доступа к адресам ProtonMail МТС и "Ростелекомом" выяснился в процессе изучения компанией TechMedia, в которой работает Рыбалко, жалоб клиентов на некорректную аутентификацию — на их ящики на ProtonMail перестали приходить почтовые рассылки с "Хабра". "Конечно, базовым ответом нашей техподдержки было предложение поискать в спаме и прочие типовые решения типовых проблем, но объём обращений побудил разобраться в вопросе подробнее", – написал Рыбалко. Дальнейшее изучение почтовых логов показало, что соединения серверов компании с MX-серверами ProtonMail (185.70.40.101, 185.70.40.102) оканчиваются сетевыми тайм-аутами. "Это выглядело странно по ряду причин и было похоже на использование механизма блокировок, практикуемых в России", – пишет Рыбалко, отмечая, что блокируемые адреса не числятся в реестре Роскомнадзора. После этого TechMedia обратилась в техническую поддержку МГТС, а затем запрос был переадресован оператору МТС. "Ответ был получен преинтереснейший: по словам сотрудников уполномоченного отдела МТС, к ним обратились уважаемые люди из известной организации ФСБ с письмом номер 12/T/3/1-94 от 25.02.2019, где написано что-то, призывающее срочно заблокировать данные хосты", – говорится в публикации Рыбалко. Через какое-то время МТС все же предоставила письмо ФСБ, в котором говорится об "обострении оперативной обстановки" и "участившихся случаях поступления ложных сообщений террористической направленности на объекты социальной и критической инфраструктуры". Ссылаясь на федеральный закон номер 126 –ФЗ "О связи" и на необходимость обеспечивать безопасность при проведении XXIX Всемирной летней Универсиады 2019 года в Красноярске, ФСБ попросила ограничить оказание услуг связи по доступу к ряду интернет-ресурсов, пишет "Роскомсвобода". Свыше 20 IP-адресов, которые, по данным ФСБ, использовались для массового распространения заведомо ложных сообщений о терактах, делятся на две примерно равные группы. Половина — адреса почтовых сервисов ProtonMail, Mailfence, YOPmail и Mail.bg. Остальные адреса относятся к выходным узлам анонимной сети Tor, которые позволяют скрывать реальные IP-адреса интернет-пользователей. В их число попал и адрес из подсети, которая используется встроенным VPN в браузере Opera, пишет "Медуза". "Блокировку необходимо осуществлять методом "blackhole" на BGP-маршрутизаторах без анонсирования маршрутов во внешние автономные системы (AS). Просим информировать о результатах проведения данного мероприятия", – гласит письмо. Дальнейшее исследование с привлечением экспертов "Общества защиты интернета" показало, что блокировка перечисленных адресов осуществляется аналогичным способом и в сети "Ростелекома". Как пояснил технический директор "Роскомсвободы" Станислав Шакиров, "блэкхол" – это не метод блокировки, а своего рода "черный ящик", в "котором непонятно, что конкретно происходит, кто и как это делает". В посте Рыбалко отмечается, что TechMedia перенаправила трафик так, чтобы пользователи с почтой на ProtonMail могли получать письма. Он также уточняет, что методы ФСБ не слишком эффективны, поскольку веб-интерфейс почтового сервиса все еще доступен. https://habr.com/ru/company/tm/blog/443222/ https://roskomsvoboda.org/media/2019/03/12-T-3-1-9425.02.2019-1.pdf

Facebook подал в суд на двух украинцев, которые предположительно собирали приватные данные пользователей соцсети с помощью приложений для проведения тестов. Ответчиками по делу заявлены Глеб Случевский и Андрей Горбачев. Разработанная ими хакерская схема действовала несколько лет, сообщает The Verge со ссылкой на материалы иска. Оба ответчика базируются в Киеве и работают в компании Web Sun Group, которая с 2008 г. занимается развитием стартапов. В ходе реализации схемы злоумышленники убеждали пользователей устанавливать вредоносные плагины для браузера. Плагины были предназначены якобы для прохождения тестов на темы гороскопа, характера, популярности и т. д. В общей сложности в 2017-2018 гг. эти плагины заразили браузеры примерно 63 тыс. пользователей Facebook. Как работала схема В иске Facebook утверждает, что Случевский и Горбачев использовали четыре приложения — Supertest, FQuiz, Megatest и Pechenka. Ими пользовались в основном пользователи из России и Украины. Приложения предлагали пройти тесты на определение характера, такие как «Кто ты из современных вампиров?» на материале популярной киносаги «Сумерки», «Кто твой двойник из прошлого?» с портретами исторических личностей в качестве иллюстраций, «Есть ли в тебе королевская кровь?» и т. д. Чтобы воспользоваться приложениями, нужно было залогиниться через Facebook. На этом этапе пользователю давалось обещание собирать лишь ограниченное количество данных о нем. Однако затем приложения направляли на установку вредоносных расширений для браузера, и уже эти расширения давали хакерам доступ ко всему аккаунту Facebook. Благодаря расширениям хакеры получали возможность увидеть данные профиля, включая закрытые списки друзей. Также с помощью плагинов они подменяли рекламу в новостной ленте пользователя на свою собственную. Чтобы вся схема заработала, злоумышленникам нужно было получить от Facebook статус разработчиков с правом использовать функцию входа в приложение через соцсеть. Для этого между 2016 и 2018 гг. хакеры зарегистрировали несколько фальшивых аккаунтов, используя имена вроде Елена Стельмах и Аманда Питт. Facebook раскрыл схему, начав исследовать вредоносные расширения, и в октябре 2018 г. заблокировал все фальшивые аккаунты. Соцсеть также связалась с разработчиками браузеров, чтобы удостовериться, что приложения были удалены. Согласно иску, на расследование компания потратила $75 тыс. Случевский и Горбачев по итогам расследования обвиняются не только в неправомерном доступе к данным, но и в том, что выдавали себя за легитимных разработчиков. Возможная связь с продажей данных Facebook подозревает, что деятельность Случевского и Горбачева может быть также связана со скандалом, разразившийся в ноябре 2018 г., когда неизвестные хакеры выложили онлайн данные 81 тыс. аккаунтов Facebook, включая личные сообщения. При этом хакеры пытались продать доступ к другим учетным записям, утверждая, что в общей сложности в их распоряжении имеются данные 120 млн аккаунтов. Ресурс BBC, первым написавший об инциденте, усомнился в реальности таких масштабов утечки. Если Случевский и Горбачев действительно имеют отношение к тому инциденту, то скептицизм был оправданным, поскольку количество их жертв ограничивается 63 тыс., пишет The Verge. В тот раз Facebook сообщал, что данные были получены преступниками с помощью сторонних расширений для таких браузеров как Google Chrome, Opera и Firefox. Значительная часть пользователей, чьи данные были скомпрометированы, являлись жителями Украины и России, однако среди них также были пользователи из Великобритании, США, Бразилии и других стран. Один из сайтов, где были опубликованы данные, удалось локализовать в Санкт-Петербурге.

Исследователи безопасности из команды "dfir it" выявили на GitHub цепочку учётных записей, предлагающих подложные репозитории с библиотеками и сборками различных проектов, включающими вредоносный код для получения контроля за системой пользователя. Всего было выявлено 73 репозитория с вредоносным кодом и несколько сотен бинарных файлов в формате ELF, JAR и PE, содержащих бэкдоры. В настоящее время все связанные с выявленной вредоносной активностью учётные записи уже удалены с GitHub. В ходе классификации вредоносных вставок был выделен 41 вариант бэкдоров, созданных на основе нескольких типовых реализаций для получения удалённого контроля за системой (например, применялись supremebot, elitesubot и blazebot). В большинстве случаев вредоносный код обеспечивал загрузку и выполнение скрипта с внешнего сайта, после чего размещал в системе компоненты для удалённого управления, выполнения внешних команд и формирования ботнетов. Интересно, что список учётных записей с вредоносным кодом был определён путём анализа социальных связей у пользователя, в коде которого изначально был найден бэкдор. Оценив пользователей, отслеживавших изменения и выставлявших "звёздочки" на GitHub (списки Watch и Star) было выделено 89 типовых учётных записей, созданных примерно в одно время и распространявших код с бэкдорами. Некоторые учётные записи не содержали собственных репозиториев и использовались исключительно для поднятия рейтинга вредоносных репозиториев в результатах поиска на GitHub. Злоумышленники рассчитывали на то, что кто-то воспользуется предлагаемыми ими файлами вместо использования официальных сборок или самостоятельной сборки из исходных текстов. Проблемные репозитории включали форки или бинарные сборки известных проектов, таких как FFmpeg, LAME, JXplorer и EasyModbus, изменённые с целью получения контроля за системами пользователей. Бэкдоры были сформированы для Linux, Windows и macOS. Например, в 9 репозиториях пользователя adunkins (Andrew Dunkins) было найдено 305 исполняемых файлов с бэкдорами, в том числе поставлявшиеся под видом инструментариев OpenWRT, Linaro и MinGW. • Source: https://dfir.it/blog/2019/02/26/the-supreme-backdoor-factory/ • Source: https://github.com/dfir-it/supreme-backdoor-factory/blob/master/github_repositories.txt • Source: https://github.com/dfir-it/supreme-backdoor-factory/blob/master/iocs.csv • Source: https://github.com/dfir-it/supreme-backdoor-factory/blob/master/github_accounts.txt

Управлением ФСБ по Владимирской области во взаимодействии с управлением МВД по Владимирской области в результате реализации комплекса оперативно-розыскных мероприятий выявлена и задокументирована противоправная деятельность 33-летнего жителя города Владимира, связанная с созданием и распространением компьютерных программ, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации. По данным силовиков, с сентября 2016 года по май 2018 года владимирец, находясь у себя дома и используя собственный ноутбук, осуществил разработку вредоносного программного обеспечения, направленного на взлом информационных банковских систем и хищение денег. После этого, хакер предоставил в интернете доступ к разработанным вредоносным файлам иным лицам. В феврале 2019 года на основании переданных управлением ФСБ о Владимирской области материалов в региональном управлении МВД в отношении хакера возбуждено уголовное дело - по ч.1 ст.273 УК России (Создание, использование и распространение вредоносных компьютерных программ). Максимальное наказание, предусмотренное данной статьей УК РФ — до 4 лет лишения свободы.

Группа исследователей из Кембриджского университета представила новый вид атак Thunderclap, позволяющий получить доступ к содержимому всей памяти компьютера при подключении специально модифицированных периферийных устройств с интерфейсом Thunderbolt. Проблема проявляется в Windows, мacOS, Linux и FreeBSD. Для демонстрации атаки на основе FPGA Arria 10 исследователями подготовлен прототип вредоносного устройства, а также эмулятор вредоносной сетевой карты на базе QEMU и необходимая для атаки программная начинка. В отличие от атак BadUSB, в которых вредоносное USB-устройство эксплуатирует уязвимости в USB-стеке или притворяется USB-клавиатурой или сетевой картой для подстановки данных или перенаправления трафика, атака Thunderclap основана на методе обхода ограничений IOMMU и использовании DMA для выполнении операций в режиме прямого доступа устройства к памяти. При помощи DMA периферийное устройство может выполнить чтение и запись в любую область системной памяти. Для ограничения доступа через DMA в операционных системах и хост-контроллерах обычно применяется IOMMU (Input-Ouptut Memory Management Unit), который должен блокировать возможность совершения подобных атак и ограничивать доступ только к явно определённым областям совместно используемой памяти. На деле ограничения IOMMU оказалось легко обойти во всех протестированных операционных системах путём симулирования подключения сетевого адаптера, для работы c которым операционной системой применяются иные методы взаимодействия в обход IOMMU. Особенности обработки пакетов с сетевой карты не позволяют в полной мере применять IOMMU, так как возникают существенные накладные расходы, заметно снижающие производительность. Более того, операционные обычно размещают различные внутренние структуры в тех же областях памяти, что используются для взаимодействия с периферийными устройствами, что позволяет осуществить атаку даже при применении IOMMU. Воспользовавшись предложенной техникой злоумышленник, имеющий физический доступ к компьютеру жертвы, во время отсутствия пользователя может подключить через порт Thunderbolt (в том числе Thunderbolt 3 поверх USB Type-C, Mini DisplayPort и PCI Express) специально подготовленное устройство и получить полный контроль за системой, в том числе извлечь из памяти конфиденциальные данные, такие как ключи доступа и платёжные идентификаторы, или организовать выполнение кода с максимальными привилегиями. Атака также может быть проведена для интеграции скрытой вредоносной функциональности в различное периферийное оборудование, такое как зарядные устройства и проекторы. В Linux исправления, блокирующие проблему, будут предложены в ядре 5.0, выпуск которого запланирован на следующую неделю. Защита реализована через обязательное применение IOMMU для Thunderbolt и блокирование обходных путей работы в обход IOMMU, основанных на использовании ATS (Address Translation Services) в PCI Express. Разработчики FreeBSD посчитали проблему не заслуживающей исправления, так как в данной ОС не поддерживается горячее подключение Thunderbolt-устройств. В macOS 10.12.4 добавлена блокировка конкретной атаки на базе сетевой карты, но сама уязвимость остаётся неисправленной. В Windows поддержка IOMMU для Thunderbolt добавлено в обновлении Windows 10-1803, до этого IOMMU не применялся. В качестве обходного пути защиты рекомендуется отключить Thunderbolt в настройках BIOS/UEFI или дополнительно использовать USB-хаб без поддержки Thunderbolt, не позволяющий перевести порт USB-C в режим Thunderbolt. Также рекомендуется не оставлять свой ноутбук во включенном состоянии без присмотра и не пользоваться чужими зарядными устройствами с разъёмом USB-C. Производители были уведомлены о проблеме ещё в 2016 году и для выработки должного решения по блокированию уязвимости потребовалось почти три года. Отмечается также дополнительный вектор проведения атаки через компрометацию прошивок изначально подключенных устройств с интерфейсом PCI Express. Например, после успешного взлома, эксплуатации уязвимостей в прошивках или на этапе доставки/производства оборудования в прошивки сетевых карт или BMC-контроллеров может быть интегрирована функциональность для скрытого получения полного доступа к памяти основной системы. https://www.lightbluetouchpaper.org/2019/02/26/struck-by-a-thunderbolt/ https://thunderclap.io/thunderclap-paper-ndss2019.pdf

Большинство задержаний российских хакеров за границей по запросу США связано с деятельностью бывшего начальника 2-го управления Центра информационной безопасности ФСБ Сергея Михайлова, который был арестован по обвинению в госизмене. Благодаря переданной им информации американским властям удалось вычислить и собрать сведения о россиянах. Об этом «Росбалту» рассказали сразу несколько источников в спецслужбах. Как сообщили собеседники агентства, несмотря на то, что Михайлов был арестован еще в декабре 2016 года, последствия его деятельности долго давали о себе знать. Только в Испании зимой-весной 2017 года по запросу США были задержаны два российских хакера - Станислав Лисов и Петр Левашов. «Схема выглядела примерно так. Сотрудник „Лаборатории Касперского“ Руслан Стоянов плотно сотрудничал с рядом западных компаний, помогавших спецслужбам США вычислять российских хакеров и документировать их деятельность. Однако порой их работа заходила в тупик, поскольку требовались „закрытые“ сведения, которые можно было получить лишь у российских спецслужб. Официально это было сделать невозможно. Тогда представители компаний обращались за помощью к Стоянову, а тот шел к своим хорошим знакомым — Сергею Михайлову и его подчиненному Дмитрию Докучаеву. Тем получить нужные сведения труда не составляло, они имели к ним доступ по роду службы. Дальше информация через Стоянова шла в западные компании и американские спецслужбы. Нельзя сказать, что сотрудники ФСБ напрямую „сдавали“ хакеров. Однако их информация восполняла пробелы в расследованиях спецслужб и позволяла не только устанавливать личности хакеров, но и получать доказательства на них. Знали ли американцы от кого идет информация? Безусловно, знали. Понимали ли Михайлов и Докучаев для кого предназначались сведения? Думаю, что догадывались», — высказал мнение один из источников «Росбалта». По его словам, в результате спецслужбам США удалось установить личности десятков российских хакеров, задокументировать их деятельность и объявить в розыск. А с лета 2016 года по всему миру начались задержания — в Таиланде, Чехии, Армении, Испании и т. д. «Интересно, что американские спецслужбы до поры не трогали людей из команды самого Михайлова, а там хватало хакеров и информации для их преследования давно хватало. Их начали разоблачать лишь после ареста сотрудников ЦИБ», — полагает собеседник агентства. Напомним, весной 2017 года Минюст США предъявил обвинения в связи со взломом 500 миллионов аккаунтов сайта Yahoo группе россиян, в том числе двум сотрудникам ФСБ — Докучаеву и Игорю Сушину, а также хакерам Алексею Белану и Кариму Баратову. Последний был арестован в Канаде 14 марта (он является гражданином этой страны и Казахстана). «Я полагаю, что деятельность Михайлова в целом носила деструктивный характер. Нельзя бывших хакеров аттестовывать и делать официальными сотрудниками ФСБ, что практиковал Михайлов. Речь идет не только о Докучаеве, во втором управлении хватало и других бывших хакеров, которые бывшими никогда до конца не становятся. Также к различным проектам ЦИБ активно привлекались сторонние хакеры. Со всех них брались соответствующие подписки. Но эти люди потом часто оказывались за пределами РФ, хотя такого не должно было происходить. Плюс тесные контакты Михайлова с „Шалтаем-Болтаем“. Все это и привело к закономерному итогу — аресту по обвинению в госизмене», — полагает источник «Росбалта».

В Бресте две девушки обнаружили в банкомате забытую банковскую карту, сообщил БелаПАН начальник криминальной милиции Ленинского РОВД Бреста Дмитрий Коровяковский. В тот же день одна из них в поисках владельца разместила фотографии карты (с обеих сторон) в открытой группе в социальной сети «ВКонтакте». По словам Коровяковского, так как на фотографии был запечатлен CVV/CID-код, номер карты и срок ее действия, администратор группы через полчаса удалил снимки. Однако злоумышленник успел воспользоваться реквизитами банковской карты. «Сотрудниками милиции было установлено, что этой карточкой рассчитались за игровую валюту в интернет-игре World of Tanks. С банковской карты были сняты все 119 рублей 60 копеек. Сделал это 29-летний водитель одного из предприятий Бреста, — сообщил Коровяковский. — 21 февраля в отношении мужчины Брестским межрайонным отделом Следственного комитета было возбуждено дело по ч. 2 ст. 212 УК (Хищение путем использования компьютерной техники)»

В Саратове был зарегистрирован еще один случай хитроумного мошенничества с банкоматом. Как и в прошлый раз, преступление совершил местный подросток, решивший пополнить баланс своего мобильного телефона за чужой счет. Согласно материалам дела, действия мошеннического характера были произведены в торговом центре «Айсберг», находящемся на пр. Энтузиастов. 17-летний злоумышленник, подойдя к расположенному в «Айсберге» банкомату, ввел необходимую для пополнения его счета комбинацию. Вносить деньги и завершать операцию подросток намеренно не стал, а просто покинул ТЦ. Позже к ATM подошла другая посетительница торгового центра, которая хотела обналичить деньги со своей карты. По невнимательности гражданка перевела на мобильный телефон злоумышленника 600 рублей. Правоохранители быстро узнали о происшествии и возбудили уголовное дело. Юношу удалось идентифицировать и призвать к ответственности — мошенник был приговорен к шести мсяцам лишения свободы условно с испытательным сроком в один год.

Проблемная криптовалютная биржа QuadrigaCX из Канады, переставшая работать 28 января, подала прошение в Верховный суд Новой Шотландии с просьбой о защите от подачи возможных исков со стороны ее пользователей. Об этом со ссылкой на письменные показания, поданные в суд представителями биржи, сообщил портал CoinDesk. Из документов следует, что QuadrigaCX потеряла доступ к криптовалютным и фиатным средствам пользователей на общую сумму $190 миллионов вследствие кончины основателя площадки и продолжающихся проблем с банками. Основатель QuadrigaCX Джеральд Коттен скончался от Болезни Крона в декабре прошлого года в индийском городе Джайпур, свидетельство о смерти приложено к документам суда. Как утверждает его вдова, Дженнифер Робертсон, давшая показания, Коттен был единственным, кто обладал доступом к «холодным» хранилищам биржи, но перед смертью не успел передать пароли к ним. По словам Робертсон, общие долги биржи перед пользователями составляют 250 миллионов канадских долларов (около $190 миллионов) в криптовалютах и фиате. По состоянию на 31 января, на бирже было 115 тысяч пользователей с общей суммой фиатных балансов 70 миллионов канадских долларов и криптовалют на сумму 180 миллионов канадских долларов. Между тем, фонды биржи составляют $147 миллионов: 26,5 тысяч биткойнов ($92,3 миллиона), 11 тысяч монет bitcoin cash ($1,3 миллиона), 11 тысяч монет bitcoin cash SV (около $707 тысяч), 35 тысяч монет bitcoin gold ($352 тысяч), 200 тысяч токенов litecoin ($6,5 миллионов) и примерно 430 тысяч монет эфира ($46 миллионов). Не известно, какая доля средств хранились в «холодных» кошельках, а какая в «горячих», однако Робертсон утверждает, что на «горячих» счетах находились лишь небольшие суммы. Она подчеркнула, что ее муж единолично распоряжался средствами и самостоятельно перемещал монеты в «холодные» кошельки. В свою очередь, компания Billerfy, отвечавшая за фиатные платежи, не хочет возвращать фиатные деньги пользователей из-за проблем с поиском партнера из числа банков, также администрация QuadrigaCX не может договориться с другими процессинговыми фирмами, которые удерживают меньший объем пользовательского фиата. Чтобы выплатить долг, администрация площадки рассматривает вариант продажи торговой платформы QuadrigaCX, так как она «может обладать существенной ценностью». Робертсон отметила, что несколько подобных предложений им уже поступило. В заключение представители QuadrigaCX выразили надежду на то, что суд назначит слушания по просьбе биржи на 5 февраля, а также попросили назначить фирму Ernst & Young в качестве аудитора работы биржи. Недавно СМИ сообщили о масштабных увольнениях в крупнейшей в Канаде криптовалютной бирже Coinsquare. Накануне в «бессрочное обслуживание» ушла криптобиржа CoinPulse, а в конце января о закрытии из-за проблем с ликвидностью объявила украинская биткойн-биржа Liqui. В Новой Зеландии уже в течение двух недель продолжается взлом криптобиржи Cryptopia, ее пользователей уже обокрали более чем на $16 миллионов.

Сотрудники ФБР присоединились к ботсети, используя серверы, имитирующие зараженные устройства. Министерство юстиции США объявило о намерении отключить ботнет Joanap, созданный и управляемый элитными северокорейскими хакерскими подразделениями. По имеющейся информации, в рамках операции по ликвидации ботнета, которая продолжается уже на протяжении нескольких месяцев, сотрудники ФБР и отдела специальных расследований ВВС США присоединились к ботсети, используя серверы, имитирующие зараженные устройства. Ботнет Joanap – один из инструментов группировки Hidden Cobra (также известна как Lazarus Group), которую связывают с атаками на компанию Sony Pictures Entertainment и эпидемией вымогательского ПО WannaCry . Ботнет активен с 2009 года и неоднократно использовался в различных вредоносных кампаниях. Для создания ботнета злоумышленники использовали червь Brambul, который распространяется от одного Windows-ПК к другому по протоколу SMB. Оказавшись на системе, вредонос загружает бэкдор Joanap, способный загружать, выгружать или исполнять файлы, а также устанавливать прокси для перенаправления вредоносного трафика через зараженный компьютер. С помощью имитирующих зараженные устройства серверов агентам удалось собрать ряд полезной информации, включая IP-адреса, номера портов и пр. Теперь правоохранители планируют уведомить владельцев инфицированных компьютеров либо напрямую, либо через интернет-провайдеров.

Это одна из самых крупных утечек за последнее время Интересно то, что у банка сейчас 18 млн активных кредиток, а это значит утекли данные и бывших клиентов банка. В банке обещают разобраться, но утверждают, что угрозы средствам клиентов нет. Канал dataleak проверил пару сотен записей из слитой базы, и заявил, что попавшие в сеть данные содержат: ФИО Паспорт Номер карты ОСБ Филиал Лимит кредита Недоисп. лимит Ссуда всего Ссуда текущая Ссуда к погашению Превышение лимита Просроченная ссуда %% текущие бал. %% льготные бал. %% текущие вн****. %% льготные вн****. %% к пог. бал. %% к пог. вн****. %% просроч. бал. %% просроч. вн****. Инсайдер Портфель Адрес работы Дата опердня N договора WAY4 Место работы Дата созд. дог-ра в WAY4 Дата активиз. д-ра Дата закр. д-ра Признак закр. д-ра Остаток собств. ср-в Комис. за обсл. Расчетная неустойка Срок действ. карты Сост. карты по WAY4 Сост. дог-ра по WAY4 Номер счета карты Дата обр. просроч. по осн. дол. Дата обр. просроч. по проц. Кат. кач-ва ссуды Дата блокирования закрытой карты Дата рождения держателя Проц. ставка за кредит Комиссии за обсл. к погашению Дата предстоящего платежа Сумма минимального платежа Кредитная фабрика Тип клиента для учета продаж Код кол-ва просрочек (АС СД) Почт.индекс (р) Регион (р) Район (р) Город (р) Насел.пункт (р) Улица (р) Дом (р) Строение (р) Корпус (р) Офис (р) Квартира (р) Код продукта Way4 Канал продаж Агент по прямым продажам Уровень загрузки списка W4 телефон W4 телефон домашний W4 телефон мобильный СПООБК телефон по месту регистрации СПООБК телефон по месту жительства СПООБК телефон мобильный СПООБК телефон по месту работы Признак пользования кредитной линией Дата нач. мониторинга задолж. для закр. счета Реквизиты перечисления остатка при закр. Признак инд.резервирования Дата перевода на инд.рез. Признак перевода в ГОС безнад. Дата перевода в ГОС безнад. Кто перевел на спец. резервирование Атрибуты резевирования Дата заявления на закрытие д-ра

Японское правительство намерено проверить безопасность IoT-гаджетов. Японское правительство одобрило поправку в закон, наделяющую сотрудников Национального института информационно-коммуникационных технологий Японии правом взламывать IoT-устройства граждан в рамках исследования безопасности гаджетов, пишет издание ZDNet. По данным ресурса, исследование, старт которого запланирован на следующий месяц, будет проводиться под надзором Министерства внутренних дел и коммуникаций страны. В его рамках сотрудникам института будет дозволено использовать дефолтные пароли и словари паролей для доступа к IoT-устройствам граждан. В рамках программы планируется проверить безопасность более 200 млн IoT-устройств (маршрутизаторы, web-камеры и т.д.), как домашних, так и корпоративных. Задача исследования заключается в создании списка незащищенных устройств с установленными по умолчанию и легко угадываемыми паролями. Далее список должен быть передан соответствующим органам и интернет-провайдерам, чтобы те проинформировали владельцев уязвимых устройств и приняли меры по обеспечению безопасности гаджетов. Реализация программы связана с подготовкой к летним Олимпийским играм 2020 года в Токио и опасениями японских властей, что киберпреступники могут воспользоваться уязвимыми IoT-устройствами для атак на IT-инфраструктуру игр. Стоит отметить, что данные опасения не беспочвенны. К примеру, в начале февраля минувшего года злоумышленники атаковали сайт зимних Олимпийских игр в Пхенчане (Южная Корея), используя вредоносное ПО Olympic Destroyer, а несколько месяцев спустя преступники заразили высокотехничным ПО VPNFilter по меньшей мере 500 тыс. маршрутизаторов и устройств хранения данных по всему миру предположительно в рамках подготовки масштабной кибератаки на Украину в преддверии финала футбольной Лиги чемпионов в Киеве.

Киберпреступник шесть месяцев собирал кодовые фразы к кошелькам пользователей для последующей кражи средств. Сотрудники Европола совместно с правохранителями Германии и Великобритании задержали гражданина Великобритании, предположительно причастного к серии краж криптовалюты IOTA на сумму более €10 млн ($11,4 млн) в января 2018 года. По имеющимся данным, подозреваемый, используя псевдоним Norbertvdberg, запустил сайт iotaseed.io, который рекламировал как генератор случайных паролей. Владелец сайта предлагал пользователям IOTA помощь в создании уникальных паролей, соответствующих спецификации различных видов кошельков IOTA (seed-фразы должны состоять из 81 символа и включать определенные символы). Для того чтобы убедить пользователей в легитимности своего сайта, подозреваемый разместил ссылки на публичный резиторий на GitHub, якобы содержащий исходный код iotaseed.io. В действительности, согласно анализу британского студента Алекса Стадера (Alex Studer), код генерировал предсказуемые пароли, которые злоумышленник тайно сохранял. Сайт функционировал почти шесть месяцев (с августа 2017 по январь 2018 года), все это время Norbertvdberg тайно собирал кодовые фразы к кошелькам пользователей. 19 января 2018 года он осуществил атаку на кошельки пользователей с целью кражи хранящихся в них средств. Изначально хищения оказались незамечеными из-за DDoS-атак на серверы IOTA, которые происходили в то же время, отвлекая внимание администраторов от транзакций. Заметив кражи, некоторые пользователи обратились в правоохранительные органы. На основании жалоб немецкая полиция начала официальное расследование. Несмотря на попытки кибернарушителя удалить все свои профили на GitHub, Reddit и Quora, правоохранителям удалось выйти на его след в июле минувшего года. Британская полиция арестовала Norbertvdberg по обвинению в мошенничестве, краже и отмывании денег. Сейчас ему грозит экстрадиция в Германию, где он должен предстать перед судом. Видео: https://www.youtube.com/watch?v=OoxujsptsNg

На площадке Dread продаются данные пользователей Bittrex, Poloniex, Bitfinex и Binance. Некто под псевдонимом ExploitDOT предлагает на подпольной торговой площадке Dread данные (включая удостоверения личности и водительские права) клиентов ведущих криптовалютных бирж Bittrex, Poloniex, Bitfinex и Binance, предоставленных пользователями в рамках процедуры идентификации клиентов KYC. По информации издания CCN, объявление о продаже было размещено на площадке еще в июле 2018 года. За сотню экземпляров удостоверений личности продавец просит всего $10, а при оптовой покупке предлагается скидка вплоть до $1 за пакет из 1 тыс. документов, если покупатель делает заказ от 25 тыс. Как отмечает продавец, в его распоряжении имеются файлы о пользователях из всех стран, в которых функционируют Bittrex, Poloniex, Bitfinex и Binance. Как пишет издание, исследователю в области кибербезопасности, пожелавшему сохранить анонимность, под видом покупателя удалось заполучить файлы о трех пользователей биржи Binance. В качестве подтверждения, что информация подлинная, злоумышленник отправил эксперту фотографии, на которых люди в одной руке держали лист с надписью «Binance», а в другой — паспорт или водительские права. Исследователь связался с представителями биржи, однако те заявили о неких «несоответствиях» между приобретенными документами и предоставленными пользователями данными. Как подчеркнул представитель торговой площадки, признаки несанкционированного доступа к системам Binance не выявлены, но у биржи есть предположения относительно того, как информация могла оказаться в чужих руках. Впрочем, представитель Binance не раскрыл, по чьей вине могла произойти утечка данных. KYC (Know Your Customer) – термин банковского и биржевого регулирования для финансовых институтов и букмекерских контор, а также других компаний, работающих с деньгами частных лиц, означающий, что они должны идентифицировать и установить личность контрагента прежде чем проводить финансовую операцию.

Киберполиция разоблачила преступную группу, которая похищала деньги клиентов украинского банка с помощью мобильного банкинга. Об этом сообщается на официальном сайте Киберполиции Украины. Сотрудниками киберполиции было установлено, что в состав группы входило трое жителей города Ивано-Франковск. Они разработали противоправный механизм пересчета денег клиентов одного из украинских банков. Средства злоумышленники перечисляли на подконтрольные счета другого украинского банка и в дальнейшем использовали их по своему усмотрению. Уточняется, что несанкционированное списание средств было возможно только благодаря мобильному приложению, установленному на мобильное устройство или компьютер клиента банка. По адресам проживания участников преступной группы полицейские провели санкционированные обыски. Была изъята компьютерная техника, мобильные телефоны, дополнительные носители информации, банковские карты и черновая документация. По данному факту начато уголовное производство. На сегодня подозреваемым избрана мера пресечения в виде домашнего ареста. Мошенникам грозит до восьми лет заключения.

На архив, который содержит 87 Гб информации, обратил внимание австралийский специалист по кибербезопасности. В «Лаборатории Касперского» сообщили РБК, что в базе есть и данные российских пользователей Хакеры выложили базу данных, содержащую 772,9 млн адресов электронной почты и более 21 млн паролей. Об этом пишет ИТ-журнал Wired, первым на утечку обратил внимание специалист по кибербезопасности Трой Хант. Архив, который хакеры назвали «коллекцией № 1», состоит из 12 тыс. файлов, общий объем которых превышает 87 Гб. Wired называет архив самым большим из когда-либо выложенных в открытый доступ массивов украденной информации. На своем сайте Хант пишет, что информация в «коллекции № 1» частично заимствована из других, менее масштабных, утечек. Однако в архиве также содержится около 140 млн адресов электронной почты, которые до этого не выкладывались публично. База данных была выложена на облачном сервисе MEGA, ссылка на нее потом появилась на «популярном форуме для хакеров», рассказывает Хант, не называя конкретный портал. Хант постарался верифицировать данные в архиве. Он пишет, что нашел в нем собственный адрес электронной почты и пароль, который он использовал «много лет назад». "Трой Хант — ИТ-специалист из Австралии, ранее работавший на фармацевтическую корпорацию Pfizer. Он также является одним из «региональных директоров» Microsoft — так корпорация называет признанных ею специалистов по ИТ и информационной безопасности (сотрудником Microsoft Хант не является)." Как пишет Forbes, хакеры могут использовать этот архив, чтобы путем перебора комбинаций адреса электронной почты и паролей получить доступ к аккаунтам пользователей на различных сервисах. «Эта огромная база данных собиралась долгое время, — прокомментировал РБК старший антивирусный эксперт «Лаборатории Касперского» Сергей Ложкин. — В нее добавлялись учетные записи и пароли, в том числе российских пользователей, которые становились публичными после крупных утечек, поэтому некоторые учетные данные, вероятнее всего, уже устарели». Вместе с тем Ложкин подчеркнул, что некоторые пользователи «подолгу» не меняют пароли и используют одни и те же пароли на разных сайтах. «Эта коллекция электронных адресов и паролей может быть легко превращена в простой список — и тогда все, что нужно сделать злоумышленникам, — это написать несложную программу, чтобы проверить, актуальны ли эти пароли. Последствия получения доступа к учетным записям могут варьироваться от очень успешного фишинга (поскольку преступники могут автоматически отправлять вредоносные электронные письма по всей адресной книге жертвы) до таргетированных атак, нацеленных на кражу цифровой личности или денег, а также на компрометацию данных из социальных сетей», — пояснил он. Речь идет не об утечке данных с единого ресурса, а о самой большой известной базе логинов и паролей, собранных из разных источников, сказал РБК менеджер по развитию бизнеса DLP Solar Dozor компании «Ростелеком-Solar» (разрабатывает технологии защиты информации) Алексей Кубарев: «В пользу этой версии говорит, например, структура папок, содержащих файлы со скомпрометированной информацией. Их названия — Games, BTC, Mail Access — возможно, указывают на источник утечки». «Опубликованная база с большой вероятностью содержит данные и российских пользователей. Но поскольку она, вероятнее всего, просто аккумулирует информацию, утекшую ранее, пользователи не подвергаются какой-то новой, дополнительной угрозе», — отметил Кубарев.

Ответив на объявление о вакансии, сотрудник Redbanc стал жертвой хакерской группировки Lazarus Group. Северокорейским киберпреступникам удалось проникнуть в компьютерную сеть компании Redbanc, обслуживающей инфраструктуру банкоматов всех банков в Чили, благодаря наивному сотруднику фирмы и одному звонку в Skype. Предположительно, взлом был осуществлен проправительственной группировкой Lazarus Group (она же Hidden Cobra), известной своими атаками на банки, финансовые организации и криптовалютные биржи по всему миру. Одна из недавних атак была проведена в декабре прошлого года, однако общественность узнала о ней только в начале января 2019 года, когда сенатор Фелипе Харбое (Felipe Harboe) обвинил Redbanc в сокрытии информации о взломе. Чуть позже компания признала факт кибератаки, однако не предоставила никакой информации об инциденте. Издание trendTIC провело собственное расследование и выяснило некоторые подробности взлома. По данным ресурса, атака стала возможна благодаря одному из сотрудников Redbanc, ответившему на объявление о вакансии разработчика в соцсети LinkedIn. Компания, разместившая объявление, оказалась прикрытием участников Lazarus Group, которые не преминули воспользоваться предоставленной возможностью. Во время собеседования в Skype соискателя попросили загрузить файл ApplicationPDF.exe якобы для генерации стандартного бланка заявки. Согласно данным анализа специалистов ИБ-компании Flashpoint, в действительности файл загрузил и установил вредонос PowerRatankba, связываемый с предыдущими атаками Lazarus. Вредоносная программа собирала информацию о компьютере сотрудника Redbanc и отправляла ее на удаленный сервер. Данные включали имя ПК, сведения об аппаратном обеспечении и операционной системе, настройках прокси, текущих процессах, общедоступных папках, статусе подключения по RDP и пр. На основе данной информации злоумышленники могли сделать вывод о «ценности» инфицированного ПК и решить, стоит ли загружать дополнительное более интрузивное вредоносное ПО. Инцидент с Redbanc в очередной раз продемонстрировал, как всего один сотрудник может оказаться причиной компрометации всей корпоративной сети. В минувшем декабре похожий пример привели специалисты компании Crowdstrike – в том случае киберпреступникам удалось взломать сеть через зараженный ноутбук.

Киберпреступники часто распространяют вредоносное ПО через The Pirate Bay. Распространяемое через The Pirate Bay и замаскированное под видеофайл вредоносное ПО заражает компьютеры под управлением Windows и выполняет ряд вредоносных функций. К примеру, вредонос способен внедрять подготовленный злоумышленником контент на такие популярные сайты, как Википедия, Google или Яндекс. Киберпреступники часто распространяют вредоносное ПО через The Pirate Bay, однако в данном случае интерес вызывает необычный способ заражения компьютеров и большое разнообразие вредоносной активности. Все началось с того, что исследователь безопасности 0xffff0800 скачал с The Pirate Bay фильм «Девушка, которая застряла в паутине». Однако вместо видеофайла он получил файл .LNK, выполнявший команды PowerShell. Исследователя заинтересовала иконка файла, и он пропустил его через VirusTotal. Как показало сканирование, файл представлял собой вредоносное ПО CozyBear, используемое одноименной APT-группой, также известной как APT29 и CozyDuke. Тем не менее, этот результат оказался ошибочным. По словам Ника Карра (Nick Carr) из FireEye Advanced Practices Team, вредоносные .LNK – частое явление в сфере интернет-пиратства. 0xffff0800 опубликовал скачанный файл .LNK, и как показал быстрый анализ Лоуренса Абрамса (Lawrence Abrams) из Bleeping Computer, он представляет собой нечто большее, чем просто инжектор рекламы для страницы поиска Google. Помимо внедрения контента на множество сайтов, вредонос отслеживает страницы кошельков Bitcoin и Ethereum и заменяет их другими, принадлежащими киберпреступникам. Чтобы проделать все вышеописанное, вредонос модифицирует ключи реестра для отключения Windows Defender. ПО также принудительно устанавливает в Firefox расширение Firefox Protection и взламывает расширение для Chrome под названием Chrome Media Router, заменяя ID на «pkedcjkdefgpdelpbcmbmeomcjbeemfm». Сразу после запуска браузера вредоносное расширение подключается к базе данных Firebase и извлекает оттуда множество настроек, в том числе JavaScript-код для внедрения в различные web-страницы. В страницу поисковой выдачи Google вредонос внедряет нужные злоумышленнику результаты поиска (к примеру, сайты, предлагающие подозрительное антивирусное ПО). То же самое происходит и с другими поисковиками. Например, на странице Википедии отображается поддельный баннер с просьбой оказать финансовую поддержку в виде криптовалюты.

На границе Румынии и Молдовы пограничники задержали женщину, которую больше пяти лет искали белорусские правоохранительные органы. Об этом сообщило местное издание Ziarul de Gardă. Женщину подозревают в хищении денег с пластиковых карт тысяч белорусов. 29-летняя гражданка Молдовы по имени Стелла пыталась покинуть страну на автобусе. Имя женщины обнаружилось в базе Интерпола, белорусские правоохранительные органы внесли его туда еще 25 июня 2013 года. Ее подозревают в хищении денег с использованием компьютерной техники. Пассажирку передали в местное отделение полиции. Скорее всего, эта женщина — одна из четырех граждан Молдовы, о которых белорусские правоохранительные органы сообщали летом 2013 года. По версии следствия, с 27 мая по 3 июня 2013 года подозреваемые установили на банкоматы БПС-Сбербанка в Минске скиммеры — устройства, копирующие персональную информацию с магнитных полос банковских карт. Так они завладели реквизитами банковских карт и похитили с них более 475 миллионов рублей. Пострадавшими признали более 2500 граждан, это были клиенты трех банков: Беларусбанка, БПС-Сбербанка и Белагропромбанка. Следователи предполагали, что в ответе за хищения несколько граждан Молдовы, все они члены одной семьи. Одного из них задержали в Беларуси. У него было при себе 10 миллионов неденоминированных рублей и автомобиль BMW. Сам он всячески отрицал свою причастность к делу. В 2014 году суд признал его виновным и назначил 10 лет лишения свободы с конфискацией имущества и отбыванием наказания в исправительной колонии усиленного режима. Еще четверым подозреваемым удалось скрыться, и их объявили в розыск. Это были Василийе Цернобровцюц, Олесеа Маржин, Евгенийю Марит и Стелла Влас. Двое из них были задержаны в Псковской области России. Остальные фигуранты оставались в розыске.

Разработчики Ethereum Classic, изначально отрицавшие атаку 51% на сеть этой криптовалюты, в понедельник вечером признали этот факт, предположив, что она оказалась связана с тестированием новых майнеров. Первые сообщения о том, что на Ethereum Classic ведется атака 51%, появились в ночь на понедельник, однако представители проекта изначально ее отрицали. Так, в опубликованном минувшей ночью твите они утверждали, что сеть работает нормально и что в разделе “Reorg” на сайте BlockScout подобной информации нет. There have been rumors of a possible chain reorganization or double spend attack. From what we can tell the ETC network is operating normally. BlockScout’s «Reorg» section shows nothing of the sort.https://t.co/Yi2cXusCz9 pic.twitter.com/HdUtS0DJZK — Ethereum Classic (@eth_classic) January 6, 2019 Тем не менее в дальнейшем на указанном ресурсе эта информация появилась, после чего разработчики ETC обратились с призывом к биржам и майнинговым пулом увеличить число подтверждений транзакций при выводе средств и приеме депозитов как минимум до 400. To all exchanges and mining pools please allow a significantly higher confirmation time on withdrawals and deposits (+400) cc @OKEx @ExchangeXGroup @HuobiGroup @digifinex @binance @bitfinex https://t.co/m5cxcKBVXa — Ethereum Classic (@eth_classic) January 7, 2019 Одновременно с этим появились сообщения, что уведомление о проблемах в сети Ethereum Classic было распространено китайской компанией SlowMist. Необычный рост хешрейта ETC объяснялся активностью неназываемого приватного майнингового пула. Как видно на графике ниже, в определенный момент в понедельник хешрейт ETC превысил 10 Th/s, хотя большую часть первой недели января находился на отметках ниже 8,5 Th/s. И только вечером в понедельник команда Ethereum Classic заявила, что нашла вероятное объяснение случившемуся. По их словам, виной всему оказался производитель ASIC-майнеров Linzhi Shenzhen, который якобы уже подтвердил, что осуществлял тестирование новых устройств для алгоритма Ethash с показателем 1 400/Mh. Regarding the recent mining events. We may have an idea of where the hashrate came from. ASIC manufacturer Linzhi confirmed testing of new 1,400/Mh ethash machines #projectLavaSnow — Most likely selfish mining (Not 51% attack) — Double spends not detected (Miner dumped bocks) — Ethereum Classic (@eth_classic) January 7, 2019 https://twitter.com/eth_classic/stat...rc=twsrc%5Etfw Также представители Ethereum Classic настаивают, что речь идет не об атаке 51%, а скорее о так называемом корыстном майнинге, и что случаев двойного расходования монет замечено не было. С ними, впрочем, согласны не все. Так, биржа Coinbase написала в своем блоге, что глубокая реорганизация блокчейна Ethereum Classic была замечена еще 5 января, в результате которой были осуществлены двойные траты. Биржа моментально остановила движение этих средств, после чего зафиксировала еще восемь дополнительные случаев реорганизации цепи. Общая сумма попавших под атаку 51% средств, по оценке Coinbase, составила 88 500 ETC ( около $460 000). On 1/5/2019, Coinbase detected a deep chain reorganization of the Ethereum Classic blockchain that included a double spend. In order to protect customer funds, we immediately paused movements of these funds on the ETC blockchain. Read more here: https://t.co/vCx89dz44m — Coinbase (@coinbase) January 7, 2019 Более того, репортер CoinDesk Нихилеш Де написал в Twitter, что упомянутый командой Ethereum Classic производитель майнеров Linzhi Shenzhen отрицает свою причастность к инциденту. UPDATE: Linzhi Shenzhen director of ops Wolfgang Spraul refuted claims that Linzhi is involved in the reorg: «We are categorically denying such claims, they are entirely baseless and may be part of the attack itself.»https://t.co/ZMUrzazr2p — Nikhilesh De (@nikhileshde) January 7, 2019 «Мы категорично опровергаем такие утверждения, они совершенно беспочвенны и могут быть частью самой атаки», — заявил операционный директор Linzhi Shenzhen Вольфганг Спраул. CoinDesk также отмечает, что с воскресенья по данным обозревателей блоков Bitfly (Etherchain) и Blockscout реорганизации подверглось более 100 блоков ETC. В то же время единого мнения о длительности атаки пока нет. Так, если Blockscout сообщает, что инциденты происходили в 02:00 UTC и 05:00 UTC понедельника, то Bitfly сообщила, что по состоянию на 17:00 UTC атака в потенциале продолжалась. Также о продолжающейся атаке заявляет и Coinbase. We can confirm that there was a successful 51% attack on the Ethereum Classic (#ETC) network with multiple 100+ block reorganization. We recommend all services to closely monitored the chain and significantly increase required confirmations. — Bitfly (@etherchain_org) January 7, 2019 https://twitter.com/etherchain_org/s...rc=twsrc%5Etfw Представитель Blockscout Эндрю Кравеньо тем временем заявил, что хотя после реорганизация блокчейна и произошла более 14 часов назад, «сеть находится в постоянно флуктуации и хешрейт постоянно меняется». По его словам, это создает «идеальные условия» для продолжения перебоев в работе сети. Директор ETC Cooperative Энтони Лусарди также привел данные о реорганизованных блоков, отметив, что дополнительный хешрейт действительно возник словно ниоткуда и потенциально может быть связан с новыми ASIC’ами. Here you go, there’s been 8 that are >75 blocks. The hashrate doesn’t appear to have come from ETH miners nor Nicehash, appeared out of nowhere. Potentially new ASICs.https://t.co/kPrCAvlbW9 — Anthony Lusardi (@pyskell) January 7, 2019