В сети опубликованы пароли доступа клиентов компании Comcast

В сети опубликованы пароли доступа клиентов компании Comcast

Списки имен и паролей пользователей одного из крупнейших национальных провайдеров интернета США – компании Comcast - находились в открытом доступе в Сети, в течение последних двух месяцев.


Список состоял из 8000 строк данных, но по заявлению Comcast, которое было сделано в прошлый понедельник, 700 из вышеуказанных строк содержали информацию о пользователях, находящихся в данный момент в сети.


Кевин Андрео, специалист по техническим средствам обучения (методист) в «Reading» (организация по программам обучения) и профессор Университета Вилкис, просматривая сайт Scribd в понедельник, случайно наткнулся на этот список.


Господин Андрео, читая статью «Поисковые системы: Они знают Ваши тайны…И рассказывают всем», которая была недавно опубликована в PC World, решил проверить, какая информация о нем находится в сети. Используя поисковик Pipl, он пытался найти свой адрес электронной почты.
Сайт Scribd, где был опубликован список, выводился в первой четверке сайтов по результатам поиска, в этом списке значился его пароль. По статистике сайта Scribd, список, помещенный пользователем под логином vuthanhan2004, был просмотрен 345 раз и скачан 27 раз.
Господин Андрео в понедельник утром сообщил о находке в Comcast, ФБР и нескольким журналистам, специализирующимся на современных технологиях, но файл исчез из сети только в 13.45, после того как он сообщил о находке в Scribd.
«Этот пароль я использую везде, кроме доступа к кредитной карте», - заявил Господин Андрео в своем интервью. «Одно дело, если опубликовать номера кредитных карт, но совсем другое, если публиковать данные пользователей и пороли доступа. Любой может войти и залезть в Ваши архивы сообщений, получив, таким образом, всю информацию о Вас».


Компания Comcast сообщила, что возможно, пользователи сами опубликовали эти данные в результате отправки ответа на фишинговые сообщения, снимая, таким образом, с себя ответственность. Компания исключает факт того, что информация просочилась по внутренним источникам Comcast, аргументируя это тем, что в списке присутствуют повторяющиеся имена и отсутствуют номера счетов.


Николай Федотов, главный аналитик InfoWatch полагает: «Обнаруженные данные действительно больше похожи на продукт жизнедеятельности фишеров. После рассылки подложных писем или троянских программ фишеры некоторое время (обычно не больше суток) собирают поступившие от доверчивых пользователей данные. Затем сбор прекращается, а лог-файл с добычей отправляется на чёрный рынок. У фишеров специализация: очень редко собирает данные и реализует их один и тот же человек. Фишерский лог продаётся на чёрном рынке "на вес", по несколько десятков долларов за мегабайт. Нередко он параллельно продаётся нескольким людям или последовательно перепродаётся. Затем другие деятели компьютерного андеграунда пытаются реализовать полученные данные "в розницу", то есть, совершить покупки по чужим картам, взломать аккаунт электронной почты и т.п. 


Не удивительно, что логи вредоносных программ иногда можно встретить валяющимися в разных случайных местах. Они подобны неразорвавшимся боеприпасам на месте боёв. Только вот спросить за подобные утечки не с кого».


Как заявила Дженифер Коури, представитель Comcast: «Нет оснований полагать, что это внутренняя утечка информации. Это больше похоже на фишинговую схему или что-то подобное». В ответ Кевин Андрео в своем интервью сообщил, что сомневается в том, что он стал жертвой фишинговой схемы.

 

Госпожа Коури также сообщила, что компания заморозила электронные адреса своих пользователей, оказавшихся в списке, и провела тренинг для пользователей по безопасному использованию паролей. По ее словам, компания постарается убедить своих пользователей скачать и установить программное обеспечение по информационной безопасности, которое доступно на сайте для всех пользователей Comcast.

 

В понедельник Госпожа Коури написала электронное письмо следующего содержания: «Мы вычистили весь список пользователей, который был обнародован на ScribD и обнаружили, что в этом списке присутствовало только около 700 клиентов Comcast, а не 8000. Остальные данные содержали информацию пользователей, которые не являлись нашими клиентами, либо являлись дубликатами или старыми неактивными учетными записями пользователей.

Источник

Российский госсектор и промышленностью атакуют через обновления ViPNet

Эксперты Kaspersky GReAT обнаружили активную кибершпионскую кампанию HelloNet, нацеленную на крупные российские организации. Под удар попали предприятия госсектора, промышленности, энергетики, транспорта, логистики и образования. Главная неприятность — злоумышленники используют механизм обновлений ViPNet, популярного ПО для создания защищённых сетей.

Атака начинается не с подозрительного архива «Документы_срочно.zip», а маскируется под вполне легитимный корпоративный процесс.

Для заражения применяется техника сторонней загрузки DLL. Один из компонентов ViPNet запускается вместе с операционной системой и подхватывает вредоносную библиотеку. Дальше начинается полноценный набор для тихой жизни внутри чужой инфраструктуры.

В кампании задействованы сразу несколько ранее неизвестных инструментов. HelloInjector загружает дополнительные вредоносные модули, HelloProxy проксирует трафик и запускает новые нагрузки, HelloExecutor позволяет выполнять команды на заражённом компьютере. А HelloCleaner стирает журналы ViPNet, чтобы следов осталось поменьше.

На одной из систем исследователи также нашли HelloBackdoor — бэкдор для работы с файловой системой.

По техническим признакам специалисты с низкой уверенностью связывают кампанию с неизвестной китайскоговорящей группировкой. При этом атака всё ещё продолжается.

В «Лаборатории Касперского» напоминают, что ViPNet уже становился приманкой для атакующих: в 2025 году десятки российских организаций столкнулись с бэкдором, который тоже притворялся обновлением этого ПО.

Компаниям рекомендуют отдельно проверить рабочие станции с ViPNet и внимательно изучить сетевой трафик.

В «ИнфоТеКС» поделились своим комментарием. Приводим ниже.

Компания «ИнфоТеКС» сообщила о выявлении нового вектора целевой атаки, связанного с использованием транспортного протокола MFTP в ПК ViPNet Client 4.

Новый сценарий атаки обнаружен в эксплуатируемых сетях ViPNet на узлах с установленным ViPNet Administrator. Его реализация возможна при условии, что злоумышленники ранее скомпрометировали управляющий узел ViPNet Administrator в доверенной сети.

После этого с захваченного узла через межсетевое взаимодействие может быть отправлен специально сформированный конверт, имитирующий легитимное обновление программного обеспечения. Такой пакет способен содержать произвольную вредоносную нагрузку и использовать уязвимость, связанную с обработкой относительных путей.

Рассылка поддельного обновления через скомпрометированный управляющий узел может привести к нарушению целостности среды, повышению привилегий в системе и выполнению произвольного кода на атакуемом устройстве.

Для устранения уязвимости необходимо обновить программное обеспечение до следующих версий:

Если сеть связана с другими защищёнными сетями, администрирование которых находится вне зоны вашей ответственности и для которых невозможно гарантировать выполнение указанных требований, необходимо проверить собственные узлы на наличие признаков компрометации.

Для этого следует:

  • проверить систему на наличие файлов, указанных в подготовленных YARA-правилах;
  • выполнить проверку в соответствии с инструкцией по применению YARA-правил с использованием утилиты YARA;
  • проанализировать сетевую активность узлов ViPNet, включая обращения к координаторам и другим элементам инфраструктуры организации.

При обнаружении признаков заражения или подозрительной сетевой активности необходимо незамедлительно обратиться в службу технической поддержки «ИнфоТеКС».

RSS: Новости на портале Anti-Malware.ru