What the Hack is going on?

What the Hack is going on?

...

Сегодня, когда новостные колонки пестрят сообщениями об успешных атаках хакеров на известные компании, этот вопрос кажется далеко не праздным. Список «жертв» тоже впечатляет: Google, RSA, Visa, MasterCard, Citibank, Epsilon, Сенат США, Министерство здравоохранения Великобритании, Fox и, конечно же, Sony. Недавно этот представительный список пополнился сайтом ЦРУ, подвергшимся распределенной DoS-атаке. Внимание, уделяемое СМИ этой проблеме, рождает целый ряд вопросов. Хакеры-одиночки стали объединяться в группы? Не стоим ли мы на пороге новой эры кибершпионажа или даже кибервойн? И как все это скажется на нас, простых смертных, и будущем Интернета?



Идея хакерской группы не нова. Они появились еще в начале восьмидесятых, на заре эпохи домашних компьютеров; тогда они представляли собой нечто вроде неформальных клубов для обучения и обмена опытом. Первые группы носили звучные названия, такие как Legion of Doom, Cult of the Dead Cow или Masters of Deception. Они занимались не только взломом в Интернете и развитием хакерского движения, но и фрикингом (незаконным использованием общественных телекоммуникационных сетей). В 90-е хакеры поставили свое ремесло на научную основу. Появилась хакерская группа нового толка — L0pht Heavy Industries. Это была своего рода исследовательская организация, которая создавала программное обеспечение для проникновения в сети, тестировала системы защиты и даже выпускала рекомендации для хакеров. Именно представители L0pht в ходе дачи показаний Конгрессу США в 1998 г. заявили, что могут парализовать работу всего Интернета менее чем за 30 минут. Позднее группа L0pht слилась с группой @stake, которая, в свою очередь, была приобретена компанией Symantec.

В первом десятилетии XXI века «зал славы» хакеров пополнился двумя новыми именами: Anonymous и (чуть позднее) LulzSec. Группа Anonymous изначально создавалась на форумах, например, печально известном 4chan, с целью атак сайентологической церкви. Ну и, конечно, группа не стала бы так известна, если бы не та реклама, которую ей сделали СМИ. «Анонимов» нельзя назвать закрытой группой. Так, они активно привлекали к своей деятельности всех желающих, когда начали действия в поддержку Wikileaks. Десятки тысяч добровольцев скачивали программы для участия в глобальной атаке на «плохии» компании. Последние версии ПО даже позволяли передавать управление своим компьютером центральному штабу (группе Anonymous) для лучшего контроля атаки. В отличие от «анонимов» группа LulzSec оставалась закрытой группой, члены которой — если верить их веб-сайту — преследовали одну-единственную цель — анархию.

«Мы, LulzSec — небольшая группа единомышленников, считающих, что кибер сообщество страдает от нехватки одного важного компонента: веселья. Сейчас вы веселитесь только по пятницам, но мы обещаем вам, что мы с вами будем веселиться все дни напролет. Весь год!».

Разумеется, подобные группы появились и в других странах по всему миру, например в Пакистане и Индии, где между ними развернулось настоящее соперничество. Особенно в деле атак на компании отличились румынские группы, такие как HackersBlog. Кроме того, считается, что многие российские и китайские хакеры выполняют различные «госзаказы».

В наше время хакерские игры и взломы «на спор» стали делом прошлого. Хакеры-романтики переквалифицировались в хакеров-бизнесменов. Так, все крупные атаки, проведенные за последние 12 месяцев, имели своей целью онлайн-хранилища финансовой информации (например, Sony, Epsilon или Citibank). Неудивительно: одна успешная атака позволяет получить такой объем персональных данных, которые можно продать или незаконно использовать другим способом, что остается только удивляться тому, что такие атаки не начались раньше.

Относительно новым феноменом иногда называют сотрудничество хакеров и госорганов разных стран. На самом деле, в этом нет ничего нового. К примеру, можно вспомнить направленные, по всей видимости, из Китая атаки Titan Rain 2003 года, в ходе которых было украдено много информации из военных и правительственных организаций, атаку gh0stnet в 2007 году, в которой также обвиняли Китай, а также прошлогодние атаки Aurora. В нынешнем году мы стали свидетелями похожих атак на RSA, Европейский совет, Министерство финансов Франции, Канадское правительство, компании Lockheed Martin и Stuxnet.

Мы обязаны шпионажу множеством технических новинок, поэтому не стоит удивляться тому, что рано или поздно иностранная разведка захочет поставить себе на службу методы и технологии киберпреступников.

Однако речь не идет ни о глобальной онлайн-катастрофе, ни о конце интернет экономики или национальной безопасности в их нынешнем виде. Просто, как и любая другая интеллектуальная сфера, хакерское движение эволюционирует. Поэтому, чтобы сдерживать эту угрозу, средства защиты не должны отставать в развитии. Нам следует сделать выводы из тех уроков, которые хакеры преподали нам за последние годы. Необходимо шифровать данные, разрабатывать и правильно конфигурировать системы защиты, эффективно тестировать защиту, использовать сложные пароли, защищать уязвимые места и, главное, четко понимать: те системы, которые мы создаем сегодня, кто-то обязательно попытается взломать завтра.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Coyote — первый вредонос, который шпионит через Windows UI Automation

Исследователи из Akamai зафиксировали реальное применение новой техники кражи данных — теперь банковский троян Coyote использует функции Windows, предназначенные для людей с ограниченными возможностями, чтобы следить за действиями пользователя.

Речь идёт о Microsoft UI Automation (UIA) — это фреймворк, который позволяет программам вроде экранных дикторов считывать содержимое интерфейса. Идея отличная, но в руках злоумышленников она становится инструментом для кражи логинов и паролей.

Троян Coyote появился в начале 2024 года и изначально использовал классические методы вроде кейлоггинга и фишинговых наложений. Теперь он стал умнее. Если раньше вредонос искал в названии окна упоминание банка или криптобиржи, то теперь он «залезает» в сам интерфейс браузера и вытаскивает оттуда адрес сайта — через UIA.

Если троян находит совпадение с одним из 75 заранее зашитых в него сервисов (банки вроде Banco do Brasil, Santander, CaixaBank, и криптобиржи вроде Binance, Electrum, Foxbit), он начинает активную фазу кражи данных. При этом сам метод UIA пока используется только на этапе разведки, но Akamai уже показала, что через него можно считывать и введённые логины, и пароли.

«Если не удаётся определить цель по заголовку окна, Coyote использует UIA, чтобы добраться до элементов интерфейса — вкладок и адресной строки, — и сравнивает найденное с зашитым списком», — говорится в отчёте Akamai.

 

Изначально Akamai предупреждала о такой уязвимости ещё в декабре 2024 года — тогда это была теоретическая угроза. Теперь она стала реальностью.

Особенность подхода — обход защит EDR. UIA не вызывает подозрений у антивирусов и систем мониторинга, потому что считается частью стандартной функциональности Windows. При этом такие же проблемы есть и в Android — там службы доступности давно используются в вредоносах, и Google уже не первый год борется с этой лазейкой.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru