[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Архив - только для чтения
Форум (архив). » Архив форума. » Архив форума. » Развитие информационных угроз в первом квартале 2015 года.
Развитие информационных угроз в первом квартале 2015 года.
MotoBiker1995Дата: Понедельник, 01.06.2015, 22:04 | Сообщение # 1
Настоящий начинающий мотокроссер.
Группа: Администраторы
Сообщений: 400
Награды: 4
Статус: Оффлайн
Мария ГарнаеваВиктор ЧебышевДенис МакрушинАнтон Иванов - апрель 29, 2015. 13:00

Цифры квартала.По данным KSN, в первом квартале 2015 года продукты «Лаборатории Касперского» заблокировали 2 205 858 791 вредоносную атаку на компьютерах и мобильных устройствах пользователей.Решения «Лаборатории Касперского» отразили 469 220 213 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира.Нашим веб-антивирусом было задетектировано 28 483 783 уникальных вредоносных объекта (скрипты, эксплойты, исполняемые файлы и т.д.).Зафиксировано 93 473 068 уникальных URL, на которых происходило срабатывание веб-антивируса.40% веб-атак, заблокированных нашими продуктами, проводились с использованием вредоносных веб-ресурсов, расположенных в России.Нашим файловым антивирусом зафиксировано 253 560 227 уникальных вредоносных и потенциально нежелательных объектов.Продуктами «Лаборатории Касперского» для защиты мобильных устройств было обнаружено:147 835 установочных пакетов;103 072 новых мобильных вредоносных программы;1 527 мобильных банковских троянцев.
Обзор ситуации.

Equation APT – самые изощренные атаки.
Пожалуй, самой нашумевшей новостью первого квартала была новость о могущественной группировке Equation, занимающейся кибершпионажем. Она много лет взаимодействует с другими влиятельными группировками, такими как Stuxnet и Flame. Атаки Equation, возможно, самые изощренные: один из модулей вредоносного ПО позволяет изменять прошивку жестких дисков. С 2001 года группировка Equation сумела заразить компьютеры тысяч жертв, находящихся в Иране, России, Сирии, Афганистане, США и других странах. Сфера деятельности жертв – правительственные и дипломатические учреждения, телекоммуникации, аэрокосмическая отрасль, энергетика и прочее.
Данная группировка использует множество разнообразных вредоносных программ, некоторые из которых даже превосходят по сложности знаменитую платформу «Regin«. Среди известных методов распространения и заражения – использование USB-червя Fanny (в его арсенале было две zero-day уязвимости, которые позднее использовались в Stuxnet), присутствие вредоносных инсталляторов на CD-дисках, а также использование веб-эксплойтов.
Carbanak – самая успешная киберкампанияВесной 2014 «Лаборатория Касперского» была вовлечена в криминалистическое расследование: банкоматы одного из банков выдавали деньги без физического взаимодействия получателя с банкоматом. Так началась история расследования кампании Carbanak и исследования одноименной вредоносной программы.
Carbanak является бэкдором, изначально написанным на основе кодов Carberp.  Зловред предназначен для шпионажа, сбора данных и предоставления удаленного доступа на зараженный компьютер. После того, как злоумышленники получали доступ к какой-нибудь машине, они проводили разведку сети на предмет дальнейшего распространения и заражения критически важных систем – процессинговых, бухгалтерских, а также банкоматов.

Нами было обнаружено три способа вывода средств из финансовых организаций:
через банкоматы,посредством перевода денег на счета киберпреступников через сеть SWIFT,путем внесения изменений в базы данных с целью создания фальшивых счетов, которые потом обналичивались денежными мулами.Заражения происходили типичным для APT образом – через целевые фишинговые атаки, в ходе которых рассылались письма, содержащие документ с эксплойтом. Письма были составлены так, чтобы не вызвать подозрений, и в некоторых случаях приходили с адресов сотрудников атакованной компании.
По оценкам «Лаборатории Касперского» от действий группировки пострадало около 100 финансовых организаций, преимущественно в Восточной Европе,  а суммарный ущерб может доходить до отметки в 1 миллиард долларов, что делает Carbanak самой успешной известной нам киберпреступной кампанией.

Desert Falcons – атаки на Ближнем Востоке.
Во время проведения расследования инцидента на Ближнем Востоке экспертами «Лаборатории Касперского» была обнаружена активность неизвестной ранее группировки, проводящей таргетированные атаки. Группа была названа Соколы Пустыни (Desert Falcons), она является первой арабской группировкой, проводящей полноценные операции по кибершпионажу, которые, по всей видимости, продиктованы политической ситуацией в регионе.
Первые признаки деятельности Desert Falcons относятся к 2011 году, первые известные заражения – к 2013, пик активности группы пришелся на конец 2014 – начало 2015 года. Члены группы определенно не являются новичками в своем деле, так как они с нуля разработали вредоносные программы для Windows и для Android, а также искусно организовали атаку, в ходе которой использовались фишинговые письма, поддельные веб-сайты и поддельные аккаунты в социальных сетях.

Жертвы группы расположены, в основном, в Палестине, Египте, Израиле и Иордании. В числе жертв – политические активисты и лидеры, военные и государственные ведомства, СМИ, финансовые учреждения и другие организации. К настоящему моменту насчитывается более 3000 жертв, атакующие смогли украсть более миллиона файлов и документов.
Кроме изощренных и тщательно спланированных таргетированных рассылок писем, предназначенных для заражения жертв, отметим еще один прием Desert Falcons: использование социальной инженерии в сети Facebook. Атакующие специально создавали аккаунты для того, чтобы начать переписку с жертвой, войти к ней в доверие, а затем послать через чат вредоносную программу, замаскированную под картинку.  А для более массового заражения использовались посты с вредоносными ссылками от имени скомпрометированных или поддельных аккаунтов политических деятелей.

Animal Farm APT.
В марте 2014 года французская газета Le Monde опубликовала статью об инструментарии кибершпионажа, выявленном Центром безопасности коммуникации Канады (CSEC).  Описанный инструментарий использовался в операции Snowglobe, нацеленной на франкоговорящие канадские СМИ, Грецию, Францию, Норвегию и некоторые африканские страны. Исходя из результатов проведенного анализа, CSEC полагал, что данная операция могла быть инициирована французскими разведывательными службами.
В начале 2015 года исследователи опубликовали разбор некоторых вредоносных программ (123), имеющих много общего с характеристиками программ операции Snowglobe. В частности, были идентифицированы сэмплы, содержащие внутреннее имя Babar, которое совпадало с именем программы, упомянутой в слайдах CSEC.

Эксперты «Лаборатории Касперского», проанализировав вредоносные программы данной кампании и выявив связь между ними, назвали стоящую за ними группировку Animal Farm.  Было обнаружено, что две из трех zero-day уязвимостей, найденных «Лабораторией Касперского» в 2014 году и использующихся в кибератаках, были взяты на вооружение данной группой. Например, атака со взломанного сайта Министерства юстиции Сирии с использованием эксплойтов к CVE-2014-0515приводила к загрузке одного из инструментария Animal Farm под названием Casper.
Из особенностей данной кампании интересно отметить, что одна из программ в арсенале группировки, NBOT, предназначена для проведения DDoS-атак, что является нехарактерным функционалом для типичных APT-групп. Также одно из зловредных «животных» имеет странное название Tafacalou – возможно, это слово на окситанском языке, на котором разговаривают в том числе и во Франции.
Upatre – активное распространение банкера Dyre/DyrezaВ этом квартале первое место среди банковских троянцев занял Upatr – загрузчик финансового зловреда Dyre, также известного как Dyreza. Данный банковский троянец появился еще в 2014 году и нацелен на пользователей различных финансовых организаций. Он использует технику обхода защищенного SSL-соединения для кражи платежной информации. Кроме того, зловред обладает функциональностью средства удаленного администрирования (RAT), что позволяет атакующему в ручном режиме осуществить транзакцию от имени пользователя онлайн-банкинга.
Загрузчик Upatre приходит пользователям в спам-сообщениях, многие из которых выглядят как легитимные письма от финансовых учреждений. Список банков, атакуемых загруженным Upatre банковским троянцем Dyre, включает Bank of America, Natwest, Citibank, RBS и Ulsterbank. Исследователи отмечают, что основная активность Dyre в настоящий момент происходит в Великобритании.

PoSeidon – атаки на PoS-терминалы.
Обнаружен новый экземпляр банковского троянца, который атакует PoS-терминалы. PoSeidon сканирует содержимое оперативной памяти PoS-устройства на наличие платежной информации, хранящейся в открытом виде, и отправляет ее злоумышленникам.
Исследователи из Cisco Security Solutions выделяют три компонента вредоносной программы, которые с большой вероятностью относятся к PoSeidon: это кейлоггер, загрузчик и, собственно, сам сканнер оперативной памяти, который также может фиксировать нажатия клавиш. Кейлоггер предназначен для кражи учетных данных от программы удаленного доступа LogMeIn. Предварительно он удаляет зашифрованные пароли и профили от LogMeIn для того, чтобы вынудить пользователя ввести их снова. Исследователи полагают, что задача кейлоггера заключается в краже первоначальных данных  для удаленного доступа, которые понадобятся для компрометации PoS-систем и дальнейшей установки PoSeidon.

После того, как атакующие получают доступ к PoS-терминалу, они устанавливают на терминале загрузчик, который скачивает со своих серверов управления сканнер FindStr. Последний и предназначен для того, чтобы искать в оперативной памяти PoS-устройства определенные строки, соответствующие номеру карты. Интересная особенность заключается в том, что ищутся номера карт, начинающиеся только с определенных цифр.

Читать дальше.


Гоняю, летаю, рву штаны и жгу бензин. Мотоциклы и мотокросс - это жизнь.
Чтобы заиметь семью - надо сначала заиметь любимое по жизни увлечение, но не наоборот. Потому, что все и вся люди не могут любить исключительно других людей.
《Байкер сам выбирает, ради чего и кого ему стоит жить. Он не ведётся на идиотские фразы о чувстве долга и навязанных ценностях от общества, которое понятия не имеет о мото-жизни.》 (С)
"Человек может просто в упор не видеть того, что не вписывается в его картину мира – независимо от того, верующий он или атеист. Атеизм от этого совершенно не лечит." (С)
 
Форум (архив). » Архив форума. » Архив форума. » Развитие информационных угроз в первом квартале 2015 года.
Страница 1 из 11
Поиск: