Целевые атаки и вредоносные кампании

Продолжение истории о ShadowHammer

В марте мы публиковали результаты нашего расследования продвинутой атаки на цепочку поставок, в которую была вовлечена утилита ASUS Live Update, предназначенная для автоматического обновления BIOS, UEFI и ПО на ноутбуках и стационарных компьютерах ASUS. Злоумышленники добавили в утилиту бэкдор и распространили ее через официальные каналы.

Атака злоумышленников была направлена не только на ASUS; в числе прочих жертв оказались несколько игровых компаний, крупный холдинг-конгломерат и фармацевтическая компания – все в Южной Корее. У злоумышленников либо был доступ к исходному коду ПО компаний-жертв, либо им удалось внедрить вредоносный код в момент компиляции этого ПО – это означает, что до этого они уже успели скомпрометировать сети этих компаний.

В ходе анализа продвинутого бэкдора, развернутого злоумышленниками, мы выяснили, что это обновленная версия бэкдора ShadowPad, который использовался в атаках на цепочки поставок; наша публикация о нем вышла в 2017 г. В обновленной версии, которая используется в операции ShadowHammer, прослеживается тот же принцип, что и раньше: бэкдор разворачивается в несколько этапов, а затем активирует систему плагинов, которые отвечают за запуск основной вредоносной функциональности. Злоумышленники использовали по крайней мере две очереди командных серверов, причем сервер первой очереди предоставлял бэкдору доменный адрес командного сервера следующей очереди. Мы также обнаружили, что в ShadowHammer используются алгоритмы, которые ранее «засветились» в нескольких образцах вредоносного ПО, в т. ч. в PlugX – это бэкдор, который очень популярен среди китаеязычных хакерских группировок.

Данная атака на цепочки поставки является поворотной вехой в эволюции кибератак; она показала, что даже надежные вендоры могут пострадать из-за компрометации цифровых сертификатов, и вызвала обеспокоенность по поводу инфраструктуры разработки ПО, используемой у всех прочих производителей. В случае ShadowHammer злоумышленники смогли добавить бэкдор к инструментам разработчиков и внедрить вредоносный код в двоичные файлы, подписанные цифровым сертификатом, что подрывает доверие к этому мощному механизму защиты. Важно то, что в результате производителям ПО придется внедрить дополнительную степень проверки в свои технологические линии, чтобы проверять продукты на наличие потенциально внедренного вредоносного кода – несмотря даже на то, что код уже подписан цифровым сертификатом.

Подробнее читайте в нашем отчете.

Roaming Mantis продолжает наступление

В феврале мы обнаружили новую активность группы злоумышленников Roaming Mantis. Эта группировка продемонстрировала значительный рывок в развитии за короткий промежуток времени. Первые сообщения о Roaming Mantis относятся к 2017 г. – тогда их действия были направлены против платформы Android. Вредоносное ПО распространялось через SMS-сообщения, а географически их интерес ограничивался Южной Кореей. С тех пор поле деятельности группировки значительно расширилось. Сейчас Roaming Mantis поддерживает 27 языков, их мишенью наряду с Android является и iOS, а в сферу деятельности группы, кроме прочего, входит майнинг криптовалют на компьютерах.

В нашем последнем исследовании мы установили, что Roaming Mantis продолжает искать возможности компрометировать iOS-устройства. Группа даже открыла лэндинг-страницу для пользователей iOS. Когда пользователь посещает эту страницу, он видит всплывающее сообщение со ссылкой на вредоносную конфигурацию мобильного устройства iOS. После установки этой конфигурации в браузере автоматически открывается фишинговая страница, которая отсылает на сервер злоумышленников собранную информацию об устройстве, в т. ч. такие параметры, как DEVICE_PRODUCT, DEVICE_VERSION, UDID, ICCID, IMEI и MEID.

Наша телеметрия также обнаружила новую волну вредоносных APK-файлов, нацеленных на устройства Android. Проведенный нами анализ подтвердил, что это вариант вредоносного ПО sagawa.apk Тип A, которое ранее рассылалось по SMS в Японии. Кроме того, Roaming Mantis продолжает свою практику манипуляции адресами DNS-серверов, к которой прибегала в предыдущих вредоносных кампаниях.

В результате описываемой кампании больше всего пострадали Россия, Япония, Индия, Бангладеш, Казахстан, Азербайджан, Иран и Вьетнам. Всего мы обнаружили данное вредоносное ПО более 6800 раз на устройствах более чем 950 уникальных пользователей. При этом мы полагаем, что реальный масштаб атаки гораздо шире, а приведенные цифры отражают лишь вершину айсберга.

APT-кампании на Ближнем Востоке

В апреле, после первой волны заражений пользователей, мы опубликовали анализ инструментов, используемых группировкой MuddyWater. MuddyWater – это APT-группировка, которая впервые попала в сводки в 2017 г. В круг ее основных мишеней входят госучреждения и телекоммуникационные компании в странах Ближнего Востока, таких как Ирак, Саудовская Аравия, Бахрейн, Иордания, Турция и Ливан, а также нескольких близлежащих стран, таких как Азербайджан, Пакистан и Афганистан. Группа использует ряд кастомизированных хакерских инструментов, в основном самописных на Python, C# и PowerShell, для компрометации своих жертв и эксфильтрации данных.

Кроме того, MuddyWater прибегает к методам маскировки, пытаясь пустить по ложному следу потенциальное расследование своей деятельности – во вредоносный код внедряются строки на китайском и русском языках, а также предпринимаются попытки выдать себя за хакерскую группу RXR Saudi Arabia.

В течение нескольких лет данная кибергруппировка заметно расширила круг своих жертв и арсенал используемых вредоносных средств; мы ожидаем, что ее развитие продолжится в том же ключе. Несмотря на использование относительно продвинутого инструментария, группировка хромает в части оперативной маскировки – в своей деятельности она оставляет улики, которые потенциально раскрывают различные аспекты информации о злоумышленниках.

ScarCruft: эволюция продолжается

Мы продолжаем отслеживать деятельность ScarCruft – корееязычной кибергруппировки, вероятно поддерживаемой на уровне государства и нацеленной в основном на организации, географически связанные с Корейским полуостровом. Эта группа уже успела продемонстрировать свою высокую квалификацию и изобретательность, и она продолжает развиваться.

Как мы установили в нашем последнем исследовании, на протяжении 2018 г. при помощи многоэтапного процесса группа эффективно обновила все свои вредоносные модули, избегая при этом обнаружения себя. В качестве первичных векторов атаки группа продолжает использовать целевой фишинг и эксплуатацию известных уязвимостей. После заражения жертвы злоумышленники устанавливают первичный загрузчик, который обходит контроль учетных данных Windows при помощи известного эксплойта к уязвимости CVE-2018-8120, а затем с высокими привилегиями запускает следующий вредоносный компонент – загрузчик. Загрузчик устанавливает соединение с командным сервером и загружает следующий вредоносный компонент, который зашифрован в изображение при помощи стеганографии. Это ROKRAT – полнофункциональный бэкдор и троянец удаленного доступа (RAT), применяемый для эксфильтрации данных. Он может подгружать дополнительные модули, выполнять команды Windows, сохранять скриншоты и аудиозаписи, а также выполнять эксфильтрацию данных.

Кроме того, мы обнаружили интересный и редкий образчик зловреда, созданного группой ScarCruft – сборщик данных через Bluetooth. Инструмент используется для сбора информации непосредственно с зараженных устройств – фиксируется имя и класс устройства, подключения к любым другим устройствам, адрес, состояние аутентификации, является ли устройство доверенным.

Мы полагаем, что основной целью группировки ScarCruft является разведка в политических и дипломатических целях. Наша телеметрия зафиксировала несколько жертв этой кампании – это инвестиционные и торговые компании во Вьетнаме и России, которые, по нашему мнению, могут иметь связи с Северной Кореей. Кроме того, ScarCruft совершал атаки на дипломатические учреждения в Гонконге и в Северной Корее.

Мы обнаружили одного пользователя из России, на устройстве которого было обнаружено вредоносное ПО в то время, когда пользователь находился в Северной Корее. Его устройство оказалось заражено GreezeBackdoor – это инструмент APT-группировки DarkHotel. На пользователя также была произведена атака зловреда Konni, замаскированного под новость из Северной Кореи внутри зараженного документа под названием ‘Why North Korea slams South Korea’s recent defense talks with U.S-Japan.zip’. Это уже не первый раз, когда наблюдаются пересечения деятельности ScarCruft и DarkHotel – представители нашей компании уже представляли такие случаи на отраслевых конференциях, а данными о пересечении деятельности группировок мы ранее делились с нашими клиентами, подписанными на аналитику об угрозах. Обе группировки корееязычные, но при этом у них разные тактики, методы и процедуры (TTP). Чтобы узнать подробнее о наших аналитических отчетах или получить больше информации по конкретному отчету, напишите нам по адресу intelreports@kaspersky.com.

Zebrocy: многоязычный вредоносный салат

Недавно мы рассказывали о деятельности APT-группировки Zebrocy. Это русскоязычная группа, деятельность которой прослеживается с 2013 г. и которая специализируется на профилировании жертв и получении доступа к их устройствам. Zebrocy делится вредоносными артефактами как с группой Sofacy, так и с BlackEnergy – это заставляет предположить, что Zebrocy отведена роль вспомогательной подгруппы. Sofacy, как считают многие, причастна к вмешательству в выборы президента США в 2016 г. BlackEnergy причастна к атакам на энергосистемы Украины в 2015 г. Еще одна группировка – Turla – задействовала спирфишинговые макросы, которые были практически идентичны вредоносному коду, использованному Zebrocy в 2018 г. Судя по всему, Zebrocy используется для получения первичного плацдарма на системах-мишенях перед тем, как другие группировки приступят к размещению своих вредоносных и шпионских средств.

В своей последней вредоносной кампании Zebrocy при помощи целевого фишинга доставляла новый загрузчик Nim на мишени, расположенные по всему миру, в т. ч. в Германии, Великобритании, Афганистане, Казахстане, Кыргызстане, Таджикистане, Туркменистане, Сирии, Иране, Мьянме и Танзании.

Platinum возвращается

В июле мы столкнулись с необычным набором образцов вредоносного кода, которые использовались в атаках на дипломатические, правительственные и военные организации стран Южной и Юго-Восточной Азии. Эта вредоносная кампания, которой мы дали название EasternRoppels, реализует многошаговый подход, а ее начало может датироваться 2012 г. Кибергруппировка, которая стоит за этой кампанией (мы полагаем, что это APT-группа Platinum) использует продвинутую, неизвестную ранее технику стеганографии для шифрования коммуникаций.

В этой кампании операторы использовали подписки на события WMI (Windows Management Instrumentation) для запуска первоначального PowerShell-загрузчика, который загружает маленький PowerShell-бэкдор. Мы заметили, что во многих начальных PowerShell-скриптах WMI были жестко закодированные IP-адреса командных серверов, различные ключи шифрования, соль для шифрования (различная для разных начальных загрузчиков) и заданы разные периоды активности (они определяют, в какое время суток зловред может работать). Адреса командных серверов были расположены на бесплатных хостинг-сервисах. Злоумышленники использовали большое число учетных записей Dropbox для хранения вредоносной нагрузки и эксфильтрованных данных. Целью PowerShell-бэкдора было снятие предварительного профиля системы, поскольку он поддерживал очень ограниченный набор команд: загрузка файла с сервера и на сервер и выполнение PowerShell-скрипта.

В тот же момент мы расследовали еще одну угрозу; позже, после более глубокого анализа, мы распознали в ней второй этап той же вредоносной кампании. Эти два зловреда, кроме прочего, использовали один и тот же домен для хранения эксфильтрованных данных и заражали некоторых жертв одновременно. На втором этапе все исполняемые файлы были защищены динамическим шифратором после их распаковки мы обнаружили еще один (ранее неизвестный) бэкдор, связанный с Platinum.

Пару лет назад мы предсказывали, что разработчики зловредов и агенты APT-атак будут все чаще использовать стеганографию. Рассматриваемая APT-кампания подтверждает наш прогноз: в ней использованы сразу две интересные стеганографические техники. Также интересно то, что злоумышленники приняли решение реализовать все необходимые утилиты одним огромным комплектом – это пример архитектуры на основе фреймворков, которая становится все более популярной.

Кампания SneakyPastes группы Gaza Cybergang

Gaza Cybergang – это политически мотивированная арабоязычная кибергруппировка, действующая с прицелом на Ближний Восток и Северную Африку, и особенно на Палестинские территории. Анализ деятельности группы вызывал определенные сложности: несмотря на единые цели, деятельность выглядела разрозненной, использовались разные инструменты и вредоносное ПО.

Отслеживая деятельность группировки в 2018 г., мы пришли к выводу, что нужно разделять три различных группы, которые действуют под прикрытием этой группировки – это соответственно Gaza Cybergang Group1 (она же MoleRATs), Gaza Cybergang Group2 (Desert Falcons) и Gaza Cybergang Group3 (Operation Parliament). О деятельности последних двух мы уже рассказывали в прошлом. В нашем последнем отчете идет речь о деятельности первой – Gaza Cybergang Group1, она же MoleRATs.

MoleRATs – менее продвинутая из трех групп; она активно использует pastebin-сайты (откуда и происходит название кампании SneakyPastes), постепенно продвигая на системы-жертвы одно или несколько средств удаленного администрирования (RAT). Зафиксировано использование группой фишинговых техник и связки из нескольких этапов, чтобы обойти детектирование и продлить жизнь командных серверов. В числе наиболее частых мишеней SneakyPastes – посольства, госучреждения, образовательные учреждения, СМИ, журналисты, активисты, политические деятели и партии, учреждения здравоохранения и банки. По данным нашей телеметрии, жертвы кампании находились в 39 странах; более 240 уникальных жертв находились на Палестинских территориях, далее по числу жертв идут Иордания, Израиль и Ливан.

TajMahal: новый подвинутый фреймворк для APT-атак

Осенью 2018 г. мы обнаружили ранее неизвестный фреймворк для APT-атак, который мы назвали TajMahal. Он используется не менее пяти лет и представляет собой технически сложный фреймворк для шпионажа, в который входят бэкдоры, загрузчики, средства для коммуникации с командным сервером, модули записи звука, клавиатурные шпионы, средства захвата изображения с экрана и веб-камеры, инструменты для кражи документов и криптографических ключей и даже собственный индексатор файлов машины-жертвы. Мы обнаружили 80 вредоносных модулей, хранящихся в специально разработанной зашифрованной виртуальной файловой системе — это почти рекордное число плагинов в наборе инструментов для проведения APT-атак.

Существует два типа пакетов TajMahal — разработчики назвали их Tokyo и Yokohama; на зараженных компьютерах мы обнаружили оба пакета. Tokyo используется на первом этапе заражения и остается в системе в качестве «резерва», а Yokohama несет полный функционал и разворачивается на компьютерах перспективных жертв.

Зловред включает широкий инструментарий для кражи данных; сюда относятся кража куки-файлов и документов, отправленных на печать, сбор данных из резервных копий iOS-устройств, запись и создание скриншотов VoIP-звонков, кража образов компакт-дисков, записываемых на скомпрометированной машине, индексация файлов, в т. ч. находящихся на внешних дисках, и кража указанных данных при повторном подключении диска.

На сегодняшний день наша телеметрия зафиксировала одно-единственную жертву — это дипломатическое представительство среднеазиатской страны.

Продолжаются деятельность кибергруппировки FIN7

В 2018 г. Европол и минюст США объявили об аресте лидеров кибергруппировок FIN7 и Carbanak/CobaltGoblin. Некоторые ожидали, что из-за арестов деятельность групп свернется, но этого не произошло. Напротив, число групп, действующих под этими вывесками, увеличилось: существует несколько связанных групп киберпреступников, которые при проведении кибератак используют практически идентичный инструментарий и одну инфраструктуру.

Первая группа – это теперь уже широко известная группировка FIN7, которая специализируется на проведении атак против различных компаний с целью получения доступа к их финансовым данным или PoS-инфраструктуре. Группа использует JScript-бэкдор Griffon, Cobalt/Meterpreter, а в последних атаках – агент PowerShell Empire. Вторая группа – CobaltGoblin/Carbanak/EmpireMonkey, она использует тот же инструментарий и техники и схожую инфраструктуру, но атакует только финансовые организации и связанных с ними производителей ПО и сервис-провайдеров.

У нас есть достаточные основания полагать, что с обеими этими группами связан ботнет AveMaria. Жертвами AveMaria являются в основном поставщики крупных компаний, а практики управлении инфраструктурой AveMaria очень похожи на таковые в FIN7. И, наконец, последняя группа – это недавно обнаруженная группа CopyPaste, активность которой нацелена на финансовые структуры и компании в одной африканской стране. Это заставляет нас предположить, что группа связана с кибернаемниками или центром обучения. Связи между CopyPaste и FIN7 пока очень слабы. Может оказаться, что на операторов данного кластера вредоносной активности оказали влияние опенсорсные публикации, и у них нет никаких реальных связей с FIN7.

Все эти группы широко эксплуатируют незакрытые уязвимости, которые существуют в корпоративных средах, и продолжают использовать эффективные спирфишинговые кампании в сочетании с хорошо известными эксплойтами к Microsoft Office, сгенерированными фреймворком. На сегодняшний день группы не использовали никаких уязвимостей нулевого дня. Фишинговые документы FIN7/Cobalt могут показаться примитивной техникой, но в сочетании с масштабной социальной инженерией и адресным характером вредоносных кампаний они работают вполне эффективно. Подробнее – в нашем отчете по FIN7.

Уязвимость нулевого дня в win32k.sys

В марте наша технология «Автоматическая защита от эксплойтов» (Automatic Exploit Prevention) обнаружила уязвимость в Windows. В ходе последующего анализа мы обнаружили уязвимость нулевого дня в драйвере win32k.sys – это уже пятая эксплуатируемая уязвимость локального повышения привилегий, которую мы обнаружили за последние месяцы. 17 марта мы сообщили о случившемся в Microsoft; уязвимость получила номер CVE-2019-0859, а 9 апреля Microsoft выпустила к ней патч.

Это уязвимость типа use-after-free (обращение к освобожденной области памяти). Эксплойт, который мы обнаружили в дикой среде, использовался против 64-битных версий Windows – от Windows 7 до последних сборок Windows 10. Эксплуатация уязвимости позволяет зловреду загружать и выполнять скрипт, написанный злоумышленником, что при худшем сценарии может предоставить атакующим полный контроль над зараженным компьютером. Злоумышленники могут получить достаточно прав, чтобы установить бэкдор PowerShell и, как следствие, полный контроль над зараженным компьютером.

Plurox: модульный бэкдор

В этом году мы обнаружили любопытный бэкдор, который мы назвали Plurox. Анализ показал, что зловред обладает довольно неприятными возможностями: может распространяться по локальной сети с помощью эксплойта, предоставлять злоумышленнику доступ к атакованной сети, устанавливать на машины жертв майнеры и другое вредоносное программное обеспечение. Более того, бэкдор оказался модульным, а значит, злоумышленники могут при необходимости расширить его функциональность с помощью плагинов.

Зловред может установить на компьютер-жертву один из криптовалютных майнеров, наиболее подходящий под конкретную конфигурацию системы. Бот отправляет пакет с конфигурацией системы на командный сервер, а в ответ получает информацию, какой плагин необходимо загрузить. Всего мы насчитали восемь майнинговых модулей.

Мы также обнаружили UPnP-плагин. Этот модуль получает от командного сервера подсеть с маской /24, перебирает все IP-адреса из нее и с помощью протокола UPnP пытается пробросить порты 135 (MS-RPC) и 445 (SMB) для подбираемого IP-адреса на роутере. В случае успеха сообщает результат командному центру, ждет 300 секунд (5 минут), а затем удаляет проброшенные порты. Мы предполагаем, что данный плагин предназначен для атак на локальную сеть: в течение пяти минут атакующий сможет перебрать все имеющиеся эксплойты для сервисов, работающих на данных портах. Если администратор заметит атаку на хост, то увидит, что она идет напрямую от роутера, а не с локальной машины. В случае успеха злоумышленники закрепятся в сети.

Также есть SMB-модуль, который отвечает за распространение зловреда по сети при помощи эксплойта EternalBlue.

Прочие новости кибербезопасности

Цифровые двойники

В апреле мы опубликовали результаты исследования онлайн-магазина Genesis, в котором продается более 60 000 краденых и легитимных цифровых профилей. Этот магазин, наряду с другими используемыми киберпреступниками вредоносными средствами, предназначен для желающих обойти анти-фрод технологию «цифровых масок», работающую на основе машинного обучения.

Каждый раз, когда пользователь при совершении онлайн-транзакции вводит свою финансовую, платежную и личную информацию, анти-фрод решения сличают пользователя с «цифровой маской» – уникальным доверенным компьютерным профилем, основанным на известных характеристиках устройства и поведения пользователя; таким образом группа по противодействию мошенничеству финансовой организации определяет легитимность совершаемой транзакции.

Однако, с «цифровой маски» можно снять копию. Наше расследование установило, что киберпреступники активно используют такие «цифровые двойники» для обхода продвинутых анти-фрод технологий. Genesis — это теневой онлайн-магазин, где можно купить украденные цифровые профили и учетные записи по ценам от $5 до $200 за штуку. Покупатели просто покупают краденые цифровые профили, а также краденые логины и пароли к онлайн-магазинам и платежным системам, а затем запускают их через браузер и прокси-соединение, чтобы имитировать поведение реального пользователя.

Существуют и другие инструменты, при помощи которых злоумышленники могут создавать с нуля собственные цифровые профили, которые не вызовут срабатывания анти-фрод решений. Мы исследовали одно такое решение – специальный браузер Tenebris, в который встроен генератор конфигурации для создания уникальных профилей. Злоумышленник может просто запустить такой профиль через браузер и прокси-соединение и проводить любые операции онлайн.

Для обеспечения высокого уровеня безопасности мы рекомендуем организациям разрешать многофакторную аутентификацию на каждом этапе процесса аутентификации пользователя, рассмотреть возможность применения дополнительных методов верификации (таких как биометрика), использовать наиболее продвинутую аналитику пользовательского поведения и интегрировать в SIEM- и другие средства информационной безопасности cервисы информирования об угрозах, чтобы получить доступ к новейшим и самым актуальным данным об угрозах.

Потенциальные проблемы со сторонними плагинами

Недавно мы рассматривали плагины и некоторые потенциальные проблемы из-за плагинов.

Интернет-магазины, информационные порталы и другие ресурсы часто базируются на специальных платформах, предоставляющих разработчикам набор готовых инструментов. Часто инструменты предоставляются в виде плагинов, позволяющих добавить на сайт именно те функции, которые нужны в конкретном случае. Плагин – это небольшой программный модуль, добавляющий на сайт функциональность, которой в нем нет по умолчанию или которая реализована удобнее, чем стандартная. Существуют плагины для отображения виджетов соцсетей, сбора статистики, создания опросов и других видов контента. Использование плагинов позволяет разработчикам не «изобретать велосипед» каждый раз, когда нужно использовать какой-то инструмент.

С другой стороны, всегда есть риск, что что-то может пойти не так. Плагины работают автоматически, и дают о себе знать, только если что-то пошло не так. Если создатель плагина перестанет его поддерживать или продаст его другому разработчику, то вы можете ничего и не заметить. В плагинах, которые долгое время не обновляются, скорее всего присутствуют неисправленные уязвимости, через которые можно захватить сайт или загрузить на него вредоносную программу. При этом владельцы сайтов часто не следят за обновлениями и не устанавливают их даже при их наличии, а уязвимые модули могут продолжать работать годами после того, как прекращения поддержки разработчиком.

Некоторые платформы для управления контентом сайтов закрывают доступ к скачиванию модулей, которые сняли с поддержки. Однако разработчик не может удалить уязвимые плагины с пользовательских сайтов, поскольку это может привести к сбоям в работе последних. Кроме того, заброшенные плагины могут храниться не на самой платформе, а на общедоступных сервисах. Когда автор снимает с поддержки или удаляет такой модуль, ваш сайт продолжает обращаться к контейнеру, в котором он находился. При этом злоумышленники запросто могут захватить этот контейнер или создать его клон и заставить ресурс подгружать вместо плагина вредоносный код.

Именно это произошло со счетчиком твитов New Share Counts, размещенным в облачном хранилище Amazon S3. Когда его поддержка закончилась, разработчик опубликовал сообщение об этом на своем сайте, однако более 800 клиентов его не прочли. Спустя некоторое время, когда автор плагина закрыл контейнер на Amazon S3, злоумышленники создали хранилище с точно таким же именем и поместили в него вредоносный скрипт. Использующие плагин сайты стали подгружать вместо счетчика твитов новый код, который перенаправлял пользователей на фишинговый ресурс, обещавший им приз за заполнение анкеты. Подобное может случиться и в том случае, если разработчик плагина решит его перепродать и не слишком интересуется личностью покупателя.

Мы рекомендуем компаниям самостоятельно следить за безопасностью плагинов на своих веб-сайтах и принимать соответствующие меры для обеспечения их безопасности.

Игра зловредов

Торрент-сайты всегда были прибежищем желающих скачать пиратские версии игр и другого ПО, ну и конечно голливудских блокбастеров. Однако в последние годы к списку контента на таких сайтах прибавились популярные телевизионные шоу. Для киберпреступников это создало возможность распространять вредоносные программы. Согласно результатам исследования, проведенного в 2015 г., пиратский контент составляет 35% файлов, которыми пользователи обмениваются через BitTorrent, при этом более 99% проанализированных пиратских файлов содержали ссылки на мошеннические сайты или сайты с вредоносным ПО.

Недавно мы рассматривали угрозы, замаскированные под новые эпизоды популярных ТВ-шоу и распространяемые через торрент-сайты – нашей целью было выявить самые популярные из них и то, какие угрозы киберпреступники распространяют таким образом. Общее число пользователей, столкнувшихся с замаскированным под сериалы вредоносным ПО, в 2018 году составило 126 340 по всему миру – это на треть меньше, чем в 2017 г., но все равно немало. В качестве приманки чаще всего использовались три сериала — «Игра престолов», «Ходячие мертвецы» и «Стрела». На долю «Игры престолов» пришлось 17% зараженного контента, и это несмотря на то, что это единственный сериал из нашего списка, у которого в 2018 году не выходило новых эпизодов. Самыми популярными категориями угроз среди этих файлов были троянцы, загрузчики и рекламное ПО. Подробности доступны в нашем отчете; там же можно найти советы по противодействию угрозам, которые распространяются через платформы распространения контента.

В наши дни многие предпочитают смотреть ТВ через стриминговые сервисы. Это привлекает киберпреступников, которые якобы предоставляют контент бесплатно в обмен на личные данные пользователей, которые хотят просмотреть контент без денег или живут в регионе, где соответствующий контент недоступен. В этом году премьера «Игры престолов» побила все рекорды, а мы наблюдали резкий скачок киберпреступной деятельности, имеющей отношение к этому телесериалу: количество атак после премьеры выросло почти в четыре раза.

Мошенничество с заменой SIM-карт

Мошенничество с заменой SIM-карт заключается в том, что преступник просит перевыпустить ему SIM-карту, выдавая себя за другого человека – клиента сотового оператора, при этом он использует украденные личные данные этого пользователя. Получив новую SIM-карту, он получает контроль над телефонным номером жертвы. Если ранее жертва согласилась получать разовые пароли по SMS, то преступник может этим воспользоваться (в сочетании с другими украденными данными жертвы) для получения доступа к различным учетным данным жертвы, в т. ч. и к банковскому счету.

Недавно мы расследовали мошенничество с заменой SIM-карт в Бразилии и Мозамбике. Популярность мобильных платежей в развивающихся странах сейчас быстро растет, особенно в Африке и Латинской Америке. Денежные переводы, совершаемые при помощи мобильных телефонов, делают для людей доступными финансовые и микрофинансовые сервисы – у людей появляется возможность при помощи мобильного телефона класть деньги на счет, снимать деньги со счета и оплачивать товары и услуги. В некоторых случаях через подобные мобильные финансовые сервисы проходит до половины ВВП, например некоторых африканских стран. Прибегая к мошенничеству с заменой SIM-карт, преступники берут «на мушку» чужие мобильные платежи и массово лишают людей денег.

Злоумышленники прибегают к социальной инженерии, подкупу и даже к простым фишинговым атакам, чтобы завладевать чужими телефонными номерами и перехватывать мобильные денежные транзакции или разовые пароли, при помощи которых проводят мошеннические переводы денег или крадут чужие деньги.

В Мозамбике СМИ часто рассказывают о такого рода преступлениях, при этом нередко возникают вопросы касательно добросовестности банков и мобильных операторов – высказываются предположения, что они могут вступать с сговор со злоумышленниками. Поскольку репутация банков и мобильных операторов оказалась под угрозой, им пришлось предпринимать срочные действия для защиты своих пользователей. В крупнейшем банке Мозамбика каждый месяц регистрировали в среднем 17,2 случая мошенничеств с SIM-картами, при этом масштабы такого рода мошенничества по всей стране оценить сложно из-за того, что большинство банков не публикуют статистику. В некоторых случаях жертвами становятся известные бизнесмены – известны случаи, когда с их счетов были украдены суммы до 50 000 долларов.

В Бразилии жертвами такого вида мошенничества становятся политики, министры, губернаторы и известные бизнесмены, не говоря уже об обычных гражданах. Известен случай, когда одна организованная преступная группа в Бразилии подобным образом лишила денег пять тысяч жертв.

В нашем отчете дается описание данной проблемы в этих двух странах, а также локальное решение, разработанное в Мозабике, которое значительно снизило уровень мошенничества.

Проблемы с легальным шпионским ПО

Может показаться, что шпионские программы – это что-то из голливудских фильмов, однако коммерческие версии таких программ (они известны под названием Stalkerware) можно купить всего за несколько долларов. С их помощью, любой желающий может организовать слежку за другим человеком, установив специальное приложение на смартфоне или планшете жертвы. Такие приложения действуют незаметно для пользователя, находящегося под наблюдением, и предоставляют доступ к целому ряду его личных данных – от местонахождения до истории браузера, SMS и сообщений в социальных сетях, а некоторые даже делают записи с камеры и микрофона устройства.

Такие приложения обычно легальны, и поэтому наши продукты детектируют их с вердиктом ‘not-a-virus: Monitor’. Производители таких программ часто позиционируют их как средства родительского контроля; их скачивает и использует значительное число пользователей – в 2018 г. мы обнаружили приложения-шпионы на устройствах более чем пятидесяти восьми тысяч пользователей.

Даже если оставить в стороне моральные аспекты, связанные с установкой таких приложений на устройстве другого человека, есть несколько факторов, из-за которых такие приложения лучше не использовать.

Коммерческие программы-шпионы чаще всего не попадают в официальные магазины приложений, такие как Google Play – они не проходят по требованиям безопасности – поэтому они распространяются со специальных сайтов. Поскольку пользователю приходится разрешить установку приложений из сторонних источников, вне официального магазина приложений, устройство оказывается уязвимым к атакам.

Программы-шпионы чаще всего требуют системных прав, вплоть до root-прав, и таким образом получают полный контроль над устройством, в т. ч. и право устанавливать другие приложения. Как утверждают некоторые специалисты, человек, которые устанавливает приложение, может позволить шпионской программе деактивировать или даже удалить защитное решение.

Приложения загружают личные данные пользователя с устройства на сервер производителя программы, откуда человек, который установил приложение, может их просмотреть. При этом, на сервере шпионского приложения могут быть проблемы безопасности, что подвергает данные риску хакерских атак.

Легитимные приложения, в отличие от шпионских программ, не маскируются на устройстве, не мешают работе защитных решений и не представляют угрозу конфиденциальности своих пользователей. И наконец, они доступны в официальных магазинах.

Чтобы защитить себя от шпионских приложений, устанавливайте на своих устройствах надежные пароли и не сообщайте их никому, отключите возможность установки сторонних приложений, регулярно проверяйте список установленных устройств, удаляйте ненужные приложения и защищайте устройства надежным защитным решением.

Звонка по WhatsApp достаточно, чтобы начать слежку

В мае мы сообщали об уязвимости нулевого дня в WhatsApp, эксплуатация которой позволяла злоумышленнику начать слежку за устройством-жертвой – читать зашифрованные чаты пользователя, включать микрофон и камеру, а также устанавливать шпионское ПО, которое открывает еще больше возможностей для слежки – просматривать фотографии и видео жертвы, список его контактов и т.д.

Для эксплуатации уязвимости злоумышленнику достаточно было позвонить жертве через WhatsApp – особым образом сконфигурированный звонок может спровоцировать переполнение буфера в WhatsApp, позволяя хакеру захватить контроль над приложением и выполнить в нем произвольный код. Атакующие использовали этот метод не только чтобы просматривать чаты и подслушивать разговоры, но и для эксплуатации прежде неизвестных уязвимостей в операционной системе, позволяющих устанавливать на устройство новые приложения.

Уязвимость присутствует в WhatsApp для Android до версии v2.19.134, WhatsApp Business для Android до версии v2.19.44, WhatsApp для iOS до версии v2.19.51, WhatsApp Business для iOS до версии v2.19.51, WhatsApp для Windows Phone до версии v2.18.348 и WhatsApp для Tizen до версии v2.18.15. WhatsApp выпустил патчи к уязвимости 13 мая. По некоторым предположениям, в качестве шпионского ПО могла использоваться программа Pegasus, разработанная израильской компанией NSO.

Критические уязвимости в VLC Media Player

В июне группа VideoLAN – разработчики опенсорсного медиаплейера VLC – выпустили патчи для двух уязвимостей высокой степени угрозы: проблемы, связанной с ошибкой чтения за границами буфера в куче, и проблемы переполнения буфера в стеке. Это были два багфикса из тридцати трех в релизе, выпущенном перед стартом новой программы отлова багов, которую спонсирует Европейская Комиссия в рамках проекта Free and Open Source Software Audit (FOSSA, аудит открытого ПО). Подробнее читайте здесь.

Опасности умных устройств

Компания Amazon подверглась жесткой критике за свои политики конфиденциальности после того, как Bloomberg опубликовал отчет о том, что компания наняла «аудиторов» для прослушивания записей со смарт-динамиков Amazon Echo, чтобы улучшить распознавание сервисом человеческой речи. Команда аудиторов прослушивает записи образцов речи, предъявляемых сервису пользователями (записи начинаются после кодового слова ‘Alexa’, которое используется, чтобы «разбудить» устройство) и выбирает из них небольшое количество, которое подвергается аннотации. Особенно тревожным в отчете является предположение, что (хотя Amazon предоставляет пользователям возможность отписаться от использования сервиса) иногда записи образцов начинаются, когда устройство не слышит кодовое слово.

Amazon недавно подала заявку на патент, чтобы защитить свою идею «Мониторинга речи» (voice-sniffing) – идея заключается в том, чтобы смарт-динамики этой компании подслушивали все разговоры и анализировали их. Такая технология, если она будет реализована, позволит компании подслушивать все разговоры пользователей, которые смарт-динамики будут улавливать, нарушая таким образом конфиденциальность людей. В результате Amazon также получит огромный массив данных, который можно будет использовать для адресной рекламы.

Смарт-динамики значительно упрощают взаимодействие с устройствами, и ими пользуется все больше пользователей. Однако при этом нужно помнить, что смарт-динамики умеют еще и подслушивать. При покупке любого смарт-устройства рекомендуем внимательно ознакомиться с настройками конфиденциальности и отключить все функции, которые вас не устраивают.

Дела конфиденциальные

Личная информация – это ценный товар. Подтверждением тому является постоянный поток новостей об утечках личных данных. Иногда конфиденциальные данные из нас, пользователей, вытягивают обманом; тут нам не на руку играет готовность нажимать на ссылки и вложения в электронных письмах, а также недостаточная внимательность при онлайн-подборе вариантов отдыха. Однако, иногда наша личная информация просачивается наружу из-за онлайн-провайдера, который ее не защищает должным образом.

Что же можно сделать, чтобы предотвратить потерю или кражу данных со стороны онлайн-компании? Практически ничего. При этом можно (и нужно) предпринять определенные шаги, чтобы защитить безопасность учетных данных к онлайн-сервисам и свести к минимуму последствия возможной утечки, а именно использовать для каждого сайта свои уникальные пароли, использовать двухфакторную аутентификацию и ограничить круг данных, которыми мы делимся онлайн.

Информация – это ценный ресурс не только для киберпреступников, но и для законопослушных компаний. Зачастую, наши личные данные – это та цена, которую мы платим за пользование «бесплатными» продуктами и сервисами, в т. ч. браузерами, почтовыми ящиками и соцсетями. Не всегда понятно, как именно онлайн-провайдеры будут использовать наши личные данные, поэтому важно внимательно проверить настройки конфиденциальности и отказаться от всех опций, которые вас не устраивают. Если отказаться невозможно, то, возможно, стоит подумать еще раз, нужен ли вам соответствующий сервис, а если вы уже завели учетную запись, то рассмотреть возможно удалить ее.

В мае мы проиллюстрировали некоторые из этих пунктов в нашей публикации о скандалах, возникших за последние два года из-за особенностей того, как Facebook обходится с личными данными пользователей.