Новостной радар Anti-Malware.ru. Выпуск 2, ноябрь 2012

В Новостном радаре Anti-Malware.ru – неделя хакерства. Главные темы сегодняшнего выпуска – это взлом, взлом и еще раз взлом. Разнообразие обеспечивают только разнокалиберные уязвимости, которые, впрочем, тоже довольно тесно связаны с нападениями злоумышленников. Однако довольно преамбул – давайте приступим к обзору и выслушаем мнения наших постоянных экспертов.

 

Карта Новостного радара


Просмотреть Новостной радар - Выпуск 14 на карте большего размера

 

Оружие... наркотики... эксплойты...

Теневой бизнес бывает разным. Кто-то торгует номерами банковских карт (хорошо, если не сам сотрудник выпустившего их банка), кто-то продает ботнеты и их секции, а кто-то ищет уязвимости в популярных программах и сбывает их покупателям вместе с атакующим кодом. Как и многие другие бандиты, они мечтают когда-нибудь легализоваться, стать достойными членами общества и свободно заниматься своим делом, не боясь правоохранительных органов; их путеводный маяк – компания Vupen, что во Франции.

Vupen – это, несомненно, самый странный бизнес во всем секторе информационных технологий. Сия компания открыто торгует уязвимостями, без тени стеснения поставляет клиентам эксплойты и немало гордится тем фактом, что ведет дела только с резидентами и спецслужбами «развитых демократий». В конце прошлой недели ее штатные злоумышленники объявили миру, что им удалось разработать атакующий код для эксплуатации нескольких 0-day изъянов в Windows 8 и Internet Explorer 10, с обходом защитных механизмов операционной системы. Позиция уже добавлена в прайс, милости просим. Должно быть, государственные органы Франции являются одним из VIP-клиентов Vupen; другое объяснение тому факту, что главари этой ОПГ все еще на свободе, найти сложно.

«Компания Vupen показывает общую современную тенденцию, связанную с защитой информации. В современном ИТ-мире всё сложнее уверенно сказать, что является вредоносной программой или несанкционированным доступом, а что нет. В частности, правительства стран могут взламывать электронную почту подозрительных или неугодных граждан, а также отслеживают действия пользователей в Сети», - говорит постоянный эксперт Anti-Malware.ru Валерий Ледовской. – «Кто-то скажет, что это важно для расследования преступлений, а Google, например, наоборот сообщает пользователям о возможном взломе почтового ящика со стороны правительств. Министерства обороны и спецслужбы различных стран создают кибер-подразделения и набирают на работу вирусописателей. Звукозаписывающие компании (Sony) как-то пытались использовать руткиты для противодействия нелегальному копированию своего контента. На этом фоне действия компании Vupen кажутся не такими уж выходящими вон из ряда подобных примеров. Но противоречит ли это этике специалистов по информационной безопасности? Да, однозначно противоречит. Все нормальные люди сообщают об обнаруженных уязвимостях компаниям, в продуктах которых они найдены. Затем идёт открытая публикация, если компании в течение долгого времени эти бреши не закрывают. Кстати, была бы компания Vupen российской - её сотрудникам уже давно применили бы статью 273 УК РФ, т.к. в этой статье ничего не написано, с целью чего осуществляется атака на программное обеспечение. Причём статья действует не только при применении вредоносных программ, но и при их создании. И хотя в современном мире сказать, что хорошо, а что плохо, становится сложнее, мне кажется, что компания Vupen поступает однозначно плохо. Интернет в целом от таких предложений на рынке никак не выигрывает».

 

Иду на вы!

Хакеры из группировки GhostShell объявили войну России. В соответствующем программном документе, размещенном на ресурсе Pastebin, собрана целая коллекция самых замшелых мифов времен холодной войны, которая, к сожалению, и является его мотивировочной частью. Впрочем, в нем хотя бы не упоминаются КПСС и КГБ, что уже является существенным прогрессом для западного обывателя.

Операция под названием Project BlackStar, по словам взломщиков, будет направлена против государственных структур. В качестве «приветствия» GhostShell выложила в открытый доступ несколько архивов, в которых вроде бы содержалась информация о двух с половиной миллионах учетных записей и другие сведения, украденные с серверов различных ведомств, организаций, предприятий и учреждений разного толка. Хакеры выразили гордость тем фактом, что они «имеют доступ к большему количеству файлов, чем ФСБ»; будучи незнакомыми с российскими реалиями, они не учли, что в главном информационном активе отечественных спецслужб на данный момент уже 189 170 600 записей, что, конечно, не идет ни в какое сравнение с их «добычей».

Ресурс CNews, который провел беглое изучение выложенных материалов, свидетельствует, что в общей сложности в архивах хранится примерно 600 файлов, описывающих базы данных, которые хранятся на тех или иных серверах. В основном, как сообщают исследователи, это списки электронных адресов, многие из которых даже не сопровождаются скомпрометированными паролями и располагаются не на правительственных ресурсах, а на бесплатных почтовых серверах общего пользования. В отношении коммерческих компаний хакерам повезло больше: они смогли добраться до ряда архивов пользовательских сообщений, оставленных, к примеру, посетителями сетевой аптеки Medical.ru или инвестиционно-финансового агентства FortLine.

К нашему вящему сожалению, эксперт Cisco Алексей Лукацкий сообщил, что не готов комментировать это событие.

 

День взломщика

5 ноября группировка Anonymous провела масштабную серию взломов сетевых ресурсов по всему миру. Среди пострадавших – сайты государственных органов, телевизионных компаний, платежных систем, популярных исполнителей и так далее. Пожалуй, наиболее существенным с точки зрения вероятных последствий является предполагаемое проникновение в Интернет-представительство PayPal: сообщается, что в Сети было опубликовано 28 тысяч паролей пользователей этой системы. Впрочем, руководство PayPal пока не спешит признавать инцидент и говорит, что о краже им ничего не известно.

Последствия происшествия оказались довольно масштабными. Помимо прочего, взломщики вроде бы смогли получить доступ к серверам антивирусной компании Symantec и извлечь оттуда пользовательские учетные данные, а также скомпрометировать ресурсы CrytoCC и ImageShack, о чем мы сообщали отдельной новостью во вторник. Тогда представители Symantec рассказали, что по инциденту ведется расследование, и пока что признаков вторжения на серверы компании обнаружено не было. Компания также выразила намерение отслеживать ситуацию и подчеркнула, что не готова строить предположения относительно произошедшего. За прошедшие дни у Symantec, увы, не появилось никакой дополнительной информации по предполагаемому инциденту: пресс-служба компании указала, что данный ею ранее комментарий остается актуальным.

Можно с уверенностью сказать, что группировка таким образом решила явить сетевому сообществу силу и возможности, находящиеся в ее распоряжении. Помимо прочего, дата 5 ноября имеет определенное символическое значение для носителей масок Гая Фокса, так что акцию анонимов стоит рассматривать именно как демонстративную, направленную в первую очередь на привлечение всеобщего внимания. Громкие имена, фигурирующие в списке пораженных взломщиками ресурсов, способствуют этому как нельзя более удачно.

«Remember, remember the fifth of November, / Gunpowder treason and plot. / We see no reason / Why gunpowder treason / Should ever be forgot- цитирует английское народное творчество эксперт Anti-Malware.ru Олеся Шелестова. – «Пятое ноября не зря было выбрано в качестве мести. Маска Guy Fawkes и Gunpowder Plot непосредственно связаны событиями 5 ноября 1605 года. В сети развернулась полномасштабная кампания, призывающая к действиям как членов Anonymous, так и активистов в сети.  Symantec, Paypal и Леди Гага были не единственными, попавшими под эвент. Были взломаны также ImageShack, сайт правительства Австралии, выступившее за цензуру в сети, NBC.com,  Saturday Night Live's website, Jimmy Fallon and Jay Leno, Australian steel and mining company Arcelor Mittal, homewares сайт GiftNow, the Greek City, the Ghana Consulate, утекли исходники ядра VMware ESX Server. Атакам также подверглись: Australian spirituality website, Australian community organization for people with disabilities, Ecuadorian parish websites, хостинговые компании в Израиле, Australian EMI music site, Sharp Copiers website, some kind of Turkish transportation foundation, personal website of a Canadian MP.

Почему такой размах и причем здесь многие? Праздник "мести". Часть пострадавших поддерживает правительство или цензурные меры. Часть - тем или иным способом связаны. Часть - попали под раздачу. В частности, следы взлома Symantec ведут к  @Doxbin: "read the release. NASA is nowhere to be found within it. Ctrl+Fing for "nasa" leads to some stuff in the Symantec db". Он же заявляет, что Anonymous не причастны ко взлому Symantec: "Anon didn't do Symantec. HTP is not affiliated with Anonymous. Do some basic fact checking." Тем не менее, для некоторых ресурсов использовались недешевые 0-day, что говорит о размахе протеста и мощности группировки».

 

Секрет под крышкой

Издание Bloomberg получило доступ к интересным сведениям из жизни транснациональной корпорации Coca-Cola, о чем мы сообщали в среду. Оказалось, что в 2009 году ФБР информировало компанию о хакерской вольнице, которая творилась в ее внутренних вычислительных сетях. Взломщики, преодолевшие рубежи внешней защиты, систематически воровали самые разнообразные данные – в том числе и те, которые относились к коммерческой тайне.

В частности, злоумышленники завладели внутренней документацией, имевшей отношение в планировавшейся тогда покупке китайского производителя напитков Huiyuan («Хуэйюань»). В результате предполагаемая сделка в 2,4 млрд. долларов оказалась расстроена. Однако так или иначе, Coca-Cola все равно предпочла скрыть это происшествие не только от широкой публики, но и даже от собственных акционеров. Сложно сказать однозначно, по какой причине было принято такое решение, но вероятнее всего, компания опасалась репутационных издержек.

Источники сообщают, что с точки зрения информационной безопасности в сетях Coca-Cola творился форменный хакерский произвол: взломщики имели едва ли не полный административный доступ ко многим компьютерам, читали внутреннюю почту... в общем, делали все, что хотели.

«Официально это именуется "манипулирование фондовым рынком", запрещено и наказуемо почти во всех странах, в том числе, в России (ст.185-3 УК). Своевременно и скрытно получив внутреннюю информацию о предстоящих инвестициях, слияниях, поглощениях и иных подобных сделках, можно обогатиться на предстоящих колебаниях курсов акций», - отмечает главный аналитик InfoWatch Николай Федотов. – «Надо ли разглашать факт такого доступа и такого манипулирования - действительно вопрос. С одной стороны, народ (особенно - акционеры) имеет право знать о наличии утечек и иных изъянов в системе защиты информации компании. С другой стороны, сведения о манипулировании рынком сами по себе могут привести к манипулированию рынком или к безосновательной отмене некоторых сделок по подозрению в их манипулятивности».

***

Таков был обзор второй информационной недели ноября. Ждем вас в следующую пятницу! Следите за новостями.

До новых встреч!

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru