Главная категория > Мир интернета и мобильной связи
Хакеры, взломы, вирусы
student:
Волна взломов суперкомпьютеров для майнинга криптовалюты
17.05.2020 10:54
В нескольких крупных вычислительных кластерах, находящихся в суперкомпьютерных центрах Великобритании, Германии, Швейцарии и Испании, выявлены следы взломов инфраструктуры и установки вредоносного ПО для скрытого майнинга криптовалюты Monero (XMR). Детальный разбор инцидентов пока недоступен, но по предварительным данным системы были скомпрометированы в результате кражи учётных данных с систем исследователей, имеющих доступ на запуск заданий в кластерах (последнее время многие кластеры предоставляют доступ сторонним исследователям, изучающим коронавирус SARS-CoV-2 и проводящим моделирование процессов, связанных с инфекцией COVID-19). После получения доступа к кластеру в одном из случаев атакующие эксплуатировали уязвимость CVE-2019-15666 в ядре Linux для получения root-доступа и установки руткита.
Spoiler for Hiden: Выделяется два инцидента, в ходе которых атакующие воспользовались учётными данными, захваченными у пользователей из Краковского университета (Польша), Шанхайского университета транспорта (Китай) и Китайской научной сети. Учётные данные были захвачены у участников международных исследовательских программ и использовались для подключения к кластерам по SSH. Как именно были захвачены учётные данные пока не ясно, но на некоторых системах (не на всех) жертв утечки паролей были выявлены подменённые исполняемые файлы SSH.
В итоге, атакующие смогли получить доступ к находящемуся в Великобритании (Эдинбургский университет) кластеру Archer, занимающему 334 место в Top500 крупнейших суперкомпьютеров. Следом похожие проникновения были выявлены в кластерах bwUniCluster 2.0 (Технологический институт Карлсруэ, Германия), ForHLR II (Технологический институт Карлсруэ, Германия), bwForCluster JUSTUS (Ульмский университет, Германия), bwForCluster BinAC (Тюбингенский университет, Германия) и Hawk (Штутгартский университет, Германия). Позднее была подтверждена информация об инцидентах с безопасностью кластеров в Национальном суперкомпьютером центре Швейцарии (CSCS), Юлихском исследовательском центре (31 место в top500), Мюнхенском университете (Германия) и Компьютерном центре имени Лейбница (9, 85 и 86 места в Top500). Кроме того, от сотрудников получена пока официально не подтверждённая информация о компрометации инфраструктуры Центра высокопроизводительных вычислений в Барселоне (Испания).
Анализ изменений показал, что на скомпрометированные серверы загружались два вредоносных исполняемых файла, для которых был установлен флаг suid root: "/etc/fonts/.fonts" и "/etc/fonts/.low". Первый представляет собой загрузчик для запуска shell-команд с привилегиями root, а второй - чистильщик логов для удаления следов активности злоумышленников. Для скрытия вредоносных компонентов использовались различные техники, включая установку руткита Diamorphine, загружаемого в форме модуля для ядра Linux. В одном случае процесс майнинга запускался только в ночное время, чтобы не привлекать внимание.
После взлома хост мог использоваться для выполнения различных задач, таких как майнинг криптовалюты Monero (XMR), запуск прокси (для взаимодействия с другими хостами, выполняющими майнинг, и сервером координирующим майнинг), запуск SOCKS-прокси на базе microSOCKS (для приёма внешних соединений по SSH) и проброс SSH (первичная точка проникновения при помощи скомпрометированной учётной записи, на которой настраивался транслятор адресов для проброса во внутреннюю сеть). При подсоединении ко взломанным узлам атакующие использовали хосты с SOCKS-прокси и, как правило, подключались через Tor или другие взломанные системы.
student:
BIAS - новая атака на Bluetooth, позволяющая подделать сопряжённое устройство
19.05.2020 12:07
Исследователи из Федеральной политехнической школы Лозанны выявили уязвимость в методах сопряжения устройств, соответствующих стандарту Bluetooth Classic (Bluetooth BR/EDR). Уязвимости присвоено кодовое имя BIAS (PDF). Проблема даёт возможность атакующему организовать подключение своего поддельного устройства вместо ранее подключённого устройства пользователя, и успешно пройти процедуру аутентификации без знания канального ключа (link key), сгенерированного при начальном сопряжении устройств и позволяющего обойтись без повторения процедуры ручного подтверждения при каждом подключении.
Суть метода в том, что при подключении к устройствам, поддерживающим режим защищённых соединений (Secure Connections), атакующий объявляет об отсутствии данного режима и откатывается на применение устаревшего метода аутентификации (режим "legacy"). В режиме "legacy" атакующий инициирует смену ролей master-slave, и, преподнося своё устройство как "master", берёт на себя подтверждение процедуры аутентификации. Далее атакующий отправляет уведомление об успешном завершении аутентификации, даже не обладая канальным ключом, и устройство становится аутентифицированным для другой стороны.
Spoiler for Hiden: После этого атакующий может добиться применения слишком короткого ключа шифрования (encryption key), содержащего всего 1 байт энтропии, и применить ранее разработанную теми же исследователями атаку KNOB для того чтобы организовать шифрованное Bluetooth-соединение под видом легитимного устройства (если устройство имеет защиту от атак KNOB и размер ключа уменьшить не удалось, то атакующий не сможет установить шифрованный канал связи, но продолжит оставаться аутентифицированным для хоста).
Для успешной эксплуатации уязвимости необходимо, чтобы устройство атакующего находилось в пределах достижимости с уязвимым Bluetooth-устройством и атакующий должен определить адрес удалённого устройства, к которому ранее была произведена привязка. Исследователи опубликовали прототип инструментария с реализацией предложенного метода атаки и продемонстрировали как при помощи ноутбука с Linux и Bluetooth-платы CYW920819 подделать подключение ранее сопряжённого смартфона Pixel 2.
Проблема вызвана недоработкой в спецификации и проявляется в различных Bluetooth-стеках и прошивках Bluetooth-чипов, включая чипы Intel, Broadcom, Cypress Semiconductor, Qualcomm, Apple и Samsung, используемые в смартфонах, ноутбуках, одноплатных ПК и периферийных устройствах различных производителей.
Исследователи протестировали 30 устройств (Apple iPhone/iPad/MacBook, Samsung Galaxy, LG, Motorola, Philips, Google Pixel/Nexus, Nokia, Lenovo ThinkPad, HP ProBook, Raspberry Pi 3B+ и т.п), в которых применяется 28 различных чипов, и уведомили производителей об уязвимости в декабре прошлого года. Кто из производителей уже выпустил обновления прошивок с исправлением пока не детализируется.
Организация Bluetooth SIG, отвечающая за разработку стандартов Bluetooth, объявила о разработке обновления спецификации Bluetooth Core. В новой редакции явно определены случаи, в которых допустима смена ролей master-slave, появилось обязательное требование проведения взаимной аутентификации при откате в режим "legacy" и рекомендована проверка типа шифрования для предотвращения снижения уровня защиты соединения.
student:
Тысячи израильских сайтов подверглись атакам
Более двух тысяч израильских вебсайтов стали накануне жертвами кибератак. Подавляющее большинство пострадавших от атаки сайтов созданы на платформе WordPress и пользуются услугами местного хостинг-провайдера uPress. Компания сообщила, что злоумышленники воспользовались уязвимостью WordPress для осуществления атаки. Ответственность за акцию взяла на себя ранее неизвестная группировка Hackers of Savior. Судя по информации на ее странице в Facebook, в состав группы входят 9 человек, все они являются уроженцами исламских стран – Турции, Марокко, Египта и Палестины.
В большинстве случае атаки ограничились дефейсом – хакеры подменили изображения на стартовых страницах сайтов. Они загрузили фотографии охваченного огнем Тель-Авива, сопроводив их надписью «Отсчет уничтожения Израиля запущен уже давно». Впрочем, в некоторых случаях киберпреступники также пытались загрузить на страницы скрипт, запрашивавший доступ к камерам устройств посетителей сайтов. В настоящее время практически все атакованные сайты отключены, ущерб от атаки оценивается как незначительный.
student:
Хакеры-робингуды ополчились на интернет-мошенников. Их диски шифруют без надежды восстановить
Хакеры-вигиланты написали шифровальщик на базе исходного кода другой аналогичной программы и используют его против тех, кого обвиняют в мошенничестве. Насколько правомерно — вопрос открытый.
Атака на мошенников
Хакерская группа CyberWare объявила «крестовый поход» против предполагаемых мошенников и начала атаковать их с помощью шифровальщиков и DDoS-атак. Кто именно является мошенником, решают сами активисты.
В разговоре с редакторами издания Bleeping Computer представители CyberWare заявили, что их основными целями являются компании, мошенничающие с займами. «Жертвы говорят, что предоставят тебе займ, но сначала тебе самому придется им заплатить, а потом ты не получаешь ничего», — заявили активисты.
Описанная ими схема доподлинно напоминает описанную в фильме «Афера по-американски». Пока известно о двух жертвах: первая — это компания GermanLajunenLoan (она же Banwulaina, Zorgolaina, T-laina) и BDFBank, чьи сайты, по данным издания 2-spyware.com, на данный момент лежат из-за DDoS-атак. Всего же хакеры подвергли атакам 20 фирм, которые, по их мнению, занимаются мошенничеством с займами.
Spoiler for Hiden: Методика активистов
Помимо DDoS-атак хактивисты используют шифровальщик-вайпер собственной разработки — MilkmanVictory. Он распространяется через спиэр-фишинговые письма, в которых содержатся ссылки на исполняемые файлы, закамуфлированные под документы в формате PDF. Сразу после запуска значительная часть файлов на компьютере шифруется, а жертве выводится сообщение следующего содержания. «Привет! Этот компьютер уничтожен с помощью шифровальщика MilkmanVictory, потому что мы знаем, что вы — мошенник! Хакеры CyberWare». Никаких финансовых требований CyberWare не выдвигают.
Любопытно, что MilkmanVictory написан на базе скандально известного шифровальщика HiddenTear. Его исходники впервые появились на GitHub; их выложил уважаемый турецкий программист Утку Сен (Utku Sen), отметив, что единственное назначение этой программы — служить образовательным целям. Однако исходный код быстро превратили в эффективный шифровальщик-вымогатель, и его распространение вскоре приобрело эпидемические масштабы.
Позднее исследователи Майкл Гиллеспи (Michael Gillespie) и Фабиан Восар (Fabian Wosar) детально исследовали исходники, нашли слабые места и написали инструмент для дешифровки данных, атакованных HiddenTear. Вероятнее всего, этот инструмент сработает и в случае MilkmanVictory.
«Вигилантизм может вызывать симпатии на эмоциональном уровне, но мотивы “хактивистов” совершенно не обязательно настолько чисты и непорочны, как они хотят их представить, — считает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Речь вполне может идти о банальной войне враждующих кибергруппировок. И даже если речь идет действительно о кибервигилантизме, нет никакой гарантии, что от таких атак не пострадают и невиновные».
student:
Группа хакеров увела 1,1 млн фунтов в ходе атаки на финансовые компании
Компания Check Point Software Technologies опубликовала результаты расследовала киберинцидента, связанного с хищением 1,1 млн фунтов. Ответственной за хищение эксперты считают группу, названную «Флорентийский банкир».
6 декабря 2019 года в службу реагирования на инциденты Check Point’s Incident Response Team (CPIRT) обратились сразу три финансовые компании, попросив провести расследование ряда случаев утечки средств с совместного банковского счета. Оказалось, что злоумышленники при помощи четырех транзакций попытались вывести на сторонние счета сумму в размере 1,1 млн фунтов стерлингов. Из них удалось вернуть только 570 тысяч фунтов.
Ранее группа CPIRT исследовала похожий случай. Хакерам удалось похитить 1 млн долларов со счета китайской венчурной компании, которые предназначались для израильского стартапа.
На кого велась охота
Spoiler for Hiden: Целью группировки стали четыре крупные компании финансового сектора из Великобритании и Израиля. Эти компании еженедельно проводят значительные суммы денег новым партнерам и сторонним организациям. Кроме того, все они используют почтовый сервис Office 365.
Первый контакт
В качестве метода атаки мошенники выбрали таргетированную фишинговую рассылку. Письма приходили топ-менеджерам компаний — генеральным или финансовым директорам — которые отвечали за денежные операции.
В этом случае злоумышленники выбрали двух сотрудников для отправки им фишинговых писем, один из которых предоставил необходимые данные. Одна фишинговая кампания может длиться неделями или месяцами, пока мошенники не получат полное представление о всей финансовой активности компаний. Для успешной реализации злоумышленники используют различные тактики, чередуют методы и меняют списки получателей.
С помощью фишинговой рассылки мошенники получали доступ к учетной записи электронной почты жертвы, чтобы получить информацию:
Какие каналы жертва использует для осуществления денежных переводов;
Какие отношения связывают жертву с третьими лицами — клиентами, адвокатами, бухгалтерами и банками;
Какие сотрудники в компании занимают ключевые позиции.
Группировка «Флорентийский банкир» может провести дни, недели или даже месяцы, занимаясь разведкой и терпеливо конспектируя бизнес-схемы и процессы.
После тщательного изучения внутриорганизационных процессов мошенники начинали изолировать жертву от коммуникации как с третьими лицами, так и с коллегами, создавая определенные правила для почтового ящика. Эти правила направляют любые электронные письма с интересующими хакеров данными в папку, за которой они следят, реализуя тип атаки «Человек посередине». Так, например, если в письмах упоминались такие слова, как «счет-фактура», «возвращено» или «отказано», они перемещались в папку, которая не используется жертвой.
Следующий шаг злоумышленников — создание фальшивых доменов, которые визуально практически идентичны доменам партнёров и третьих лиц, с которыми жертва ведет коммуникацию по почте. После этого, мошенники рассылали жертвам письма с фальшивых доменов, продолжая либо уже существующую переписку, либо создавая новую. Например, если коммуникация проходит между доменами finance-firm.com и banking-service.com хакеры могут использовать очень похожие на них вариации finance-firms.com и banking-services.com. Злоумышленники начинают отправлять электронные письма, для чего, либо создают новую ветку писем, либо продолжают диалог в прежней. Таким образом им удается обмануть жертву, которая предполагает, что по-прежнему общается с легитимным представителем компании.
Получив высокий уровень контроля над почтой, мошенники начинают отправлять жертвам ложные банковские реквизиты, применяя следующие техники:
Перехват актуальных переводов. Хакеры узнают из писем о том, что планируется перевод денег. Используя информацию и инфраструктуру, подготовленную на третьем этапе, мошенники предоставляют «новые» реквизиты, тем самым направляя средства на свои собственные банковские счета. Так, группировка «Флорентийский банкир» выяснила, что в одной из сделок, третья сторона предложила использовать банковский счет в Великобритании для ускорения процесса, однако получающая сторона сообщила, что у них такой возможности нет. Перехватив письмо жертвы, мошенники воспользовались ситуацией и предоставили стороне-отправителю альтернативный счет в банке Великобритании со своими реквизитами.
Генерация новых запросов на банковский перевод. Изучив на этапе разведки всю цепочку реализации денежного перевода, злоумышленники узнают процедуру, цикл согласования, ключевых игроков скомпрометированной компании и банков, которые проводят транзакции.
В этом случае мошенники просмотрели почтовую переписку между организацией и банком, с помощью которого она переводит деньги. Используя эту информацию, группа хакеров связалась с сотрудником компании, который отвечает за взаимодействие с банком, и оповестила об изменении процедуры перевода денег.
Группа «Флорентийский банкир» ведет беседу, пока третье лицо не утвердит новые банковские реквизиты и не подтвердит транзакцию. Если банк отклоняет транзакцию из-за несоответствия в валюте счета, имени получателя или по любой другой причине, злоумышленники исправляют отклонения, пока деньги не попадут в их собственные руки.
Так произошла и в этот раз. Злоумышленники следили за перепиской с банковским контактом, вносили необходимые исправления и сумели заставить стороны совершить транзакцию на свой мошеннический счет. В ходе этой атки группе хакеров удалось перехватить три операции и безвозвратно перевести себе 600 тысяч фунтов стерлингов.
Потенциальные жертвы
В ходе расследования случая Флорентийских банкиров, командой Check Point была собрана криминалистическая информация и проведено наблюдение различных доменов, вовлеченных в эту операцию. В общей сложности мошенники использовали семь различных доменов. Некоторые из них были имитацией существующих, другие были созданы с использованием сайта для обслуживания фишинговых страниц.
Используя информацию WHOIS сервиса (регистрация доменного имени, email, номер телефона), исследователи Check Point обнаружили еще 39 доменов, зарегистрированных в период с 2018-2020 год. Очевидно, что эти домены также были созданы для проведения подобного рода атак, а значит, у хакеров были планы и на другие компании.
Происхождение группы «Флорентийский банкир»
В ходе расследования были обнаружены улики, которые могут помочь определить местонахождение группировки.
Все письма и транзакции, перехваченные мошенниками, были на английском языке.
В течение двух месяцев, которые хакеры провели в среде компании-жертвы, они работали с понедельника по пятницу.
Банковские счета мошенников находились в Гонконге и Англии.
Некоторые электронные письма на иврите содержали потенциально полезные сведения, которые не были использованы злоумышленниками. Это позволяет сделать вывод, что они не владеют данным языком.
Для осуществления банковских переводов было использовано имя одной из гонконгских компании, которая была либо поддельной, либо ранее зарегистрированной, но не действующей.
Частный акционерный капитал и венчурный капитал стали прибыльной мишенью для BEC-афер. Венчурные инвесторы часто осуществляют переводы больших денежных сумм новым партнерам, что привлекает мошенников.
Группа «Флорентийский банкир», похоже, уже успела отточить навыки на нескольких атаках на протяжении, как минимум, нескольких лет. Злоумышленники доказали свою находчивость, быстро адаптируясь к новым ситуациям.
Методы, которые использовала группировка «Флорентийский банкир», особенно техника двойных доменов, представляют серьезную угрозу не только для скомпрометированной компании, но и для ее партнеров. Даже после обнаружения и удаления хакеров из сети компании-жертвы злоумышленники могут продолжить использовать организации партнеров, клиентов или банков жертвы в своих целях.
Навигация
Перейти к полной версии