Китайцы фиксируют рост кибератак из-за рубежа

Китайцы фиксируют рост кибератак из-за рубежа

Согласно официальной статистике, в минувшем году в китайском секторе интернета было зарегистрировано 8,9 млн. кибератак с иностранных IP-адресов, тогда как в 2010 г. этот показатель составил лишь 5 млн. Основными источниками нападений являются Япония (22,8% атак из-за рубежа), США (20,4%) и Южная Корея (7,1%).



Эти данные представлены в годовом отчете национальной службы, координирующей работу групп экстренного реагирования на компьютерные инциденты на территории Китая (National Computer Network Emergency Response Technical Team/Coordination Center, CNCERT/CC). За год эксперты завели в базу свыше 11,85 тыс. заграничных IP-адресов, которые злоумышленники использовали для установления контроля над 10,6 тыс. китайских сайтов. Реальные цифры, скорее всего, намного выше, так как отследить преступников в Сети ― задача не из легких, сообщает securelist.

Зарубежные кибератаки, проводимые на территории Китая, обычно нацелены на вывод из строя серверов, порчу контента и кражу персональных данных пользователей. 1116 веб-сайтов подверглись дефейсу, почти половина пострадавших ― правительственные организации. Были также зафиксированы отдельные попытки проникновения в правительственные сети с целью хищения конфиденциальной информации.

По словам Евгения Асеева, возглавляющего антивирусные исследования ЛК в Азиатско-тихоокеанском регионе, более 20% кибератак в Китае проводятся с применением вредоносных программ. Они обычно используют уязвимости, коих пока еще много на правительственных и корпоративных ресурсах, а также доверенную среду социальных сетей, столь популярных у китайских граждан.

Нельзя не отметить, что Китай и сам представляет удобный плацдарм для проведения кибератак на чужой территории. За год в CNCERT/CC было подано свыше 500 жалоб от иностранных организаций. Совместные расследования киберинцидентов проводятся на основе сепаратных соглашений, которые Китай заключил с 40 державами и 79 организациями.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Исследователь взломал терминал оплаты за минуту через скрытый дебаг-порт

Исследователь обнаружил серьёзную уязвимость в платёжных терминалах Worldline Yomani XR, которые используются по всей Швейцарии — от кафе и магазинов до автосервисов. Оказалось, что получить полный контроль над устройством можно всего за минуту, если иметь к нему кратковременный физический доступ.

Хотя Yomani XR считается защищённым и «взломоустойчивым» устройством, на практике его сервисный порт предоставляет незащищённый root-доступ.

Любой, кто знает, где искать, может подключить простой кабель к скрытому разъёму и получить полноценный root shell без пароля и шифрования.

Как работает эксплойт

На первый взгляд терминал выглядит как обычное устройство: при включении никаких подозрительных признаков. Но внутри, под небольшой сервисной крышкой, исследователь нашёл непаяный дебаг-коннектор.

После подключения через последовательный интерфейс устройство показало обычный загрузочный лог Linux, а при вводе логина «root» — сразу предоставило доступ к консоли.

 

Ни пароля, ни защиты. С этого момента злоумышленник может внедрить вредоносную программу, перехватывать транзакции или использовать терминал как точку входа в корпоративную сеть.

Аппаратная защита не спасла

Интересно, что сам терминал технически выполнен на высоком уровне. В нём есть датчики вскрытия, механизмы обнаружения вмешательства и даже резервная батарея, поддерживающая защиту при отключении питания. Если кто-то пытается разобрать устройство, система автоматически выводит предупреждение «TAMPER DETECTED» и блокирует работу.

Однако эти меры не распространяются на дебаг-порт, который остаётся активным и незащищённым.

Что происходит под капотом

Анализ прошивки показал, что терминал использует два отдельных вычислительных ядра. Одно запускает «незащищённую» Linux-среду для работы сети и бизнес-логики, второе — зашифрованную и подписанную прошивку, которая отвечает за приём платежей и взаимодействие с картой.

Таким образом, напрямую украсть данные карты через root-доступ нельзя. Но злоумышленник всё равно может вмешаться в обновления, перехватывать сетевой трафик или внедрить бэкдор, который впоследствии будет использоваться для атак на защищённое ядро.

 

Пока нет подтверждений, что кто-то уже использовал эту уязвимость в реальных атаках. Однако исследователи предупреждают: риск остаётся высоким, особенно для устройств, расположенных в общественных местах.

Операторам терминалов рекомендуют:

  • проверить устройства на наличие сервисных разъёмов и следов вскрытия,
  • связаться с поставщиками, чтобы установить обновления, которые отключают дебаг-порт.

Компания Worldline уже уведомлена об уязвимости и, по сообщениям, исправила проблему в новых версиях прошивки. Но пока обновления не установлены повсеместно, под прочным корпусом терминала всё ещё скрыт неожиданный «чёрный ход».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru