Новостной радар Anti-Malware.ru. Выпуск 2, апрель 2013

Вновь наступили выходные дни, а вместе с ними прибыл и очередной выпуск Новостного радара Anti-Malware.ru. Время поговорить о том, что интересовало наших читателей на этой информационной неделе, а именно – о цифровой экономике, хакерских атаках, новых способах аутентификации и злобных вредоносных программах, скрытых в торрент-раздачах.

 

 

Карта Новостного радара


Просмотреть Новостной радар - Выпуск 9 на карте большего размера

 

Входите, открыто

Компания Coinbase, предлагающая пользователям сервис онлайн-кошельков Bitcoin, допустила утечку конфиденциальных сведений. Из-за изъяна в защите внутренние данные о пользователях оказались открыты в Интернет и, соответственно, доступны для индексации поисковыми роботами, которые с удовольствием внесли их в свою базу.

Хотя виновники утечки заверили, что информация не попала к злоумышленникам, уже начали появляться сообщения об использовании этих сведений в фишинговых атаках. Традиционно считается, что в этом, собственно, и состоит главная проблема, связанная с утечками подобного рода: целенаправленное нападение, составленное специально под пользователя, имеет большие шансы на успех, нежели обычное шаблонное. Лишним подтверждением этому послужил тот факт, что двое клиентов компании уже успели лишиться средств из-за действий киберпреступников, и Coinbase пришлось возмещать им убыток.

К настоящему моменту проблему как будто удалось разрешить: с попавших в выдачу страниц убрали конфиденциальные данные, файлы robots.txt обновили, чтобы более не пускать поисковики во внутренние механизмы торговых операций, а Google попросили изъять из выдачи соответствующие записи. Клиентам Coinbase, в свою очередь, рекомендовали хранить бдительность на случай фишинговых атак и внимательно относиться к содержимому приходящих им писем, как бы аутентично они ни выглядели.

Это происшествие – еще один повод напомнить, что секретные ссылки и никому не известные страницы уже не соответствуют требованиям времени в качестве средства защиты. Если в прежние времена можно было положиться, скажем, на уникальный URL-адрес, то теперь поисковые службы, стремясь внести в базу как можно больше разнообразных страниц, разрабатывают полушпионское программное обеспечение, наблюдающее за тем, куда ходит пользователь компьютера в Сети. Раньше это были всевозможные панели для обозревателя; сейчас каждый крупный поисковик имеет целый собственный браузер, который, надо полагать, тоже не сидит без дела и время от времени делится с создателями кое-какими данными о сетевой активности.

 

Listen to my brain

Американские исследователи разработали концептуальный способ аутентификации пользователей, основанный на считывании и обработке импульсов в мозге человека. Необычный подход к биометрии позволяет обойтись без традиционного пароля, подобно тому, как в последних выпусках операционной системы Windows ввод кодового слова может быть заменен на манипуляции с изображениями. Каждый раз, когда человек думает о чем-либо конкретном, электроэнцефалограмма отражает схожую активность; соответственно, мысль может стать ключом доступа.

Устройство размером с гарнитуру от мобильного телефона, созданное исследователями, может улавливать активность мозга при размещении на лбу пользователя; данные передаются по беспроводному каналу. В ходе испытаний механизм продемонстрировал работоспособность и, что важно, защищенность от злонамеренного воздействия: у разных людей электрическая активность мозга отличается, даже если они думают об одном и том же.

«Аутентификация в последние годы развивается достаточно быстро, постоянно предлагаются новые способы логина пользователя для получения доступа к тому или иному ресурсу, будь то веб-сайт, операционная система или сведения, составляющие коммерческую тайну на предприятии. Что касается предложенного метода аутентификации с помощью замера электрических мозговых импульсов, то я не согласен с тем, что другие способы биометрической аутентификации стоят дороже. Например, логин по отпечатку пальцев давно и массово встраивается в ноутбуки, и стоит соответствующее оборудование менее 100 долларов. Плюс к этому достаточно распространён способ аутентификации на основе распознавания лица, которое находится за ноутбуком - в этом случае дополнительное оборудование не нужно вовсе - веб-камера сейчас присутствует даже в дешёвых нетбуках. Кроме того, стоит заметить, что биометрическая аутентификация всегда связана с риском», - комментирует эксперт Anti-Malware.ru Валерий Ледовской. – «Например, аутентификация по отпечатку пальца не будет работать, если с этим отпечатком что-нибудь случится (например, пользователь получит глубокий порез пальца), а "мозговые волны" - вещь тоже достаточно нестабильная - вполне вероятно, что какой-либо стресс или сильная смена настроения или взглядов (политических или философских) может влиять на "отпечаток" этих волн, если пользователь будет думать о каком-либо "ключевом" предмете. Т.е. биометрическая аутентификация хорошо решает проблему недоступа сторонних лиц к защищаемой информации, но при этом существенно увеличивает вероятность недоступа к этой информации и лиц, которые доступ иметь должны при изменении биометрических параметров. Поэтому я считаю, что будущее, всё же, за многофакторной аутентификацией, или же новых (не парольных) методах аутентификации, при которых нельзя "подсмотреть" через плечо вводимый пароль. Таких методов уже достаточно много, они доказали свою эффективность и не добавляют риска неполучения доступа к информации при незначительных или существенных изменениях биологических параметров пользователя».

 

Трон с сюрпризом

Ресурс TorrentFreak сообщил, что первая серия третьего сезона сериала «Игра престолов», снятого по бестселлеру Дж. Мартина, стала наиболее популярным объектом нарушения авторских прав в мире: в первый же день из файлообменных сетей было загружено более миллиона цифровых копий этого видео. В связи с этим специалисты по безопасности решили выступить с предупреждением для активных пользователей соответствующих сервисов: благонадежность файла определяется благонадежностью источника, а среди раздатчиков встречаются любители сопроводить файл троянской программой.

Во всяком случае, такие рекорды часто привлекают внимание злоумышленников, так как обещают быстрое и эффективное распространение вредоносных объектов по большому количеству потенциальных целей. В само видео, конечно, встроить инфекцию затруднительно, однако можно добавить опасный файл в архив с ним либо предложить пользователю загрузить «кодек» для успешного воспроизведения – практика показывает, что такие нехитрые приемы, особенно последний, сохраняют эффективность годами. Есть и другие варианты, вроде просьбы дать электронный адрес для отправки пароля к архивированному файлу; они не столь опасны по последствиям, однако тоже могут нанести вред – к примеру, обеспечить киберпреступника данными для целевой фишинговой атаки. В общем, была бы жертва, а подход найдется.

Пока, насколько можно судить, опасения специалистов не оправдались: сообщений о массовых заражениях пользователей, загружавших популярный файл, не поступало. Однако сторонникам свободы информации в любом случае следует соблюдать осторожность: по статистике, едва ли не каждый второй выпуск пользующегося спросом контента в торрент-трекеры сопровождается раздачей вредоносного программного обеспечения – со всеми вытекающими.

В настоящее время мы ожидаем комментария по этому информационному поводу от эксперта Anti-Malware.ru Михаила Орешина.

 

Поймали

Служба безопасности Украины в ходе совместной операции с ФСБ РФ обезвредили группировку злоумышленников, которые были вовлечены в преступные операции с использованием банковского троянского коня Carberp. По некоторым данным, среди арестованных спецслужбами киберпреступников могут быть в том числе и разработчики этой вредоносной программы.

Статистика свидетельствует, что численность группировки составляла примерно 20 человек в возрасте от 25 до 30 лет. За время своей деятельности они обокрали порядка 30 украинских компаний и присвоили сумму, превышающую 250 млн. долларов. Впоследствии, как считают спецслужбы, средства выводились через подставные фирмы. Работали злоумышленники раздельно, каждый отвечал за определенные этапы процесса (что, впрочем, не помешало их выследить и арестовать). Теперь правоохранители проверяют изъятые у подозреваемых компьютеры; некоторые из участников группировки отпущены под залог, другие находятся под домашним арестом. Если их вина будет доказана, то максимальное наказание составит 5 лет лишения свободы.

Carberp – довольно популярное криминальное изделие, которое активно используется злоумышленниками разного калибра и часто распространяется, например, в модифицированных установочных пакетах известных средств удаленного контроля ПК вроде TeamViewer. По данным ESET, конь и по сей день эволюционирует, приобретая новые возможности и функции; возможно, действия спецслужб задержат его развитие (если среди арестованных действительно есть разработчики).

Современный онлайн-банкинг настолько интересен злоумышленникам, что они даже разрабатывают средства противодействия двухфакторной аутентификации, которая является практически обязательным требованием для таких сервисов. В силу этого пользователям, активно работающим с подобными системами, приходится задумываться о безопасности не только компьютера, но и мобильного устройства. Пожалуй, оптимальный вариант в таком случае – выбор непопулярной платформы или применение устройств, не поддерживающих установку сторонних приложений.

«Совместная акция сотрудников спецслужб по ликвидации хакерской группировки. Приятно, что задержаны именно создатели Carberp. Заслуга исключительно СБУ, которая подключила российских коллег, для обеспечения желаемого результата», - говорит эксперт Anti-Malware.ru Алексей Гребенюк. - «Следует отметить, что это действительно серьезный результат, которым не всегда могут похвастаться и заокеанские киберполицейские. И вообще, работа СБУ по линии кибербезопасности в последнее время приятно удивляет. Пока рано говорить о победе над Carberp, но сам результат показывает, что при координации действий такие аресты действительно возможны. Хотелось бы, чтобы в этот раз дело дошло не только до суда, но и закончилось реальными сроками для создателей трояна».

 

Криминальные игры

«Лаборатория Касперского» рассказала миру о группировке злоумышленников, извлекающих прибыль из проведения целевых атак против игровых студий и издательств по всему миру. Объединение под названием Winnti, по мнению экспертов компании, стоит за рядом крупных инцидентов в этой сфере. В частности, именно с ней специалисты ассоциируют троянскую программу, которая распространялась осенью 2011 года среди пользователей известных онлайн-игр и была нацелена против сотрудников компаний-разработчиков таких игровых сервисов. Помимо прочего, в ней имелся функционал бэкдора, позволяющий получать доступ к пораженной машине и удаленно управлять ею.

Встречались экспертам такие программы и ранее; в «Лаборатории Касперского» уверены, что они также являлись продуктом деятельности этой группировки. За время своего существования (примерно за 5 лет) злоумышленники успели поразить цели не в одном десятке стран мира – преимущественно в восточноазиатском регионе. В числе их «фирменных» приемов – кража сертификатов безопасности и их последующее использование против той же самой компании, которой те принадлежали. Монетизация вредоносной деятельности группировки происходит за счет накопления игровой валюты и ее последующего перевода в реальные деньги, а также за счет кражи исходных кодов, позволяющей искать уязвимости или открывать пиратские серверы.

«Наше исследование выявило длительную широкомасштабную кампанию кибершпионажа со стороны криминальной группы, имеющей китайское происхождение. Основной целью атакующих стала кража исходных кодов игровых проектов компаний и цифровых сертификатов. Кроме того, злоумышленников интересовали данные об организации сетевых ресурсов, включая игровые серверы, и новых разработках: концептах, дизайне и т.п.», – заметил по этому поводу антивирусный эксперт «Лаборатории Касперского» Виталий Камлюк. – «В ходе расследования нам удалось предотвратить передачу данных на сервер злоумышленников и изолировать зараженные системы в локальной сети компании».

***

Спасибо за внимание!

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru