Gotham Digital Science совместно с разработчиками Metasploit из выпустили новый модуль для взлома видеокамер наружного наблюдения (CCTV).
Они нашли уязвимости в системе удалённого доступа к CCTV трёх крупнейших производителей: MicroDigital, HIVISION и CTRing, а также в большом количестве ребрендинговых моделей, которые продают эти камеры под своими названиями. Камеры указанных фирм чрезвычайно популярны в США, они устанавливаются в банках, магазинах, гостиницах, госпиталях, студенческих общежитиях, на улицах городов и т.д. По умолчанию доступ к видеокамере возможен через интернет, а парольная защита контрольной панели не выдерживает никакой критики, зачастую это 1111 или 1234. Имя пользователя — admin или user. В 70% случаев имя пользователя и пароль не меняются с дефолтных значений. Вышеупомянутый модуль Metasploit cctv_dvr_login осуществляет попытку авторизации в системе CCTV с использованием нескольких дефолтных логинов и паролей.
Во время предварительного тестирования хакеры из Gotham Digital Science сумели получить доступ к видеопотоку десятков различных видеокамер, работающих в разных точках США. По мнению исследователей, некоторые компании специально оставляют веб-доступ к видеокамерам, чтобы сотрудники имели возможность посмотреть видео удаленно. Однако, многие по глупости оставляют настройки по умолчанию, даже если в этом нет необходимости.
Как заявил сотрудник компании Symantec Лиам Маршу (Liam Murchu) в ходе интервью журналистам, операторы ботсети Flashback сгенерировали приблизительно $14,000 в одной из партнерских программ, однако так и не вывели деньги со счета.
Анализ ботнета и его трафика показал, сколько именно средств принесла владельцам ботнета спекуляция с рекламой. Оказалось, что несмотря на огромное количество ботов в сети Flashback, заработки владельцев были не такими баснословными, как многим казалось.
Несмотря на активное противодействие со стороны Apple и антивирусных компаний небольшая часть Mac систем так и осталась заражена Flashback. Хакеры сохранили свой контроль, по крайней мере, над 10 000 устройствами и смогли продолжить действовать по своей схеме.
Даже такое малое количество ботов, по сравнению с тем, которое было по состоянию на начало апреля-момент ликвидации ботнета, позволило владельцам ботсети осуществить показ более 10 миллионов рекламных баннеров, на которые было осуществлено 400 тысяч переходов, что в сумме и должно было принести около $14 тысяч.
«Проанализированный нами трафик указывает на то, что операторы ботсети так и не получили оплату… Им не удалось предоставить службе «pay-per-click» информацию, требуемую для оплаты при верификации», - отметил Маршу. Либо владельцы это сделать забыли, или оставили деньги специально, боясь "засветиться" при обнале. Ведь к тому моменту уже поднялась шумиха вокруг Flashback.
По словам представителей антивирусных компаний Symantec и Sophos инфраструктура вредоносного программного обеспечения вокруг Google Android постоянно растет и немалая заслуга в этом у хакеров из России и Китая, создающих большое количество вредоносных программ.
В Sophos и Symantec независимо друг от друга проанализировали последние Android-вредоносы, написанные русскоязычными хакерами. Компании говорят, что зачастую русскоязычные хакеры ограничивают действия своих программ такой же русскоязычной аудиторией, однако по методам распространения вредоноснов русские хакеры не далеко ушли от их западных коллег и в целом применяют похожие методы для инсталляции программ на устройства-жертвы.
Компании отмечают, что сейчас среди русскоязычных хакеров наметился выраженный тренд: популярностью пользуются мобильные псевдо-антивирусы и поддельные игры. Также обе компании сходятся во мнении, что у русскоязычных хакеров достаточно большие амбиции: многие начинают как местечковые коллективы с ограниченной сферой дистрибуции вредоносного ПО, но постепенно переходят национальные границы в поисках все большей наживы.
В Sophos говорят, что буквально на днях обнаружили в Twitter очень масштабную кампанию по распространению ссылок на вредоносное Android-ПО для корпоративного сектора, причем все серверы, ведущие на файлы, располагаются исключительно в России и на Украине. Здесь хакеры также пытаются распространить псевдо-антивирусы, упакованные в стандартные для этой системы пакеты .apk. Сами хакерские страницы были выполнены под сайт "Лаборатории Касперского".
Новая обнаруженная вредоносная программа BackDoor.IRC.Aryan.1 способна загружать с С&С сервера различные файлы и устраивать DDoS-атаки по команде с IRC-сервера. Вредоносное приложение BackDoor.IRC.Aryan.1 можно отнести к категории IRC-ботов. ПО распространяется самокопированием на съемные носители путем создания в корневой директории диска инфицированной папки и файла автозапуска autorun.inf. Кроме того, BackDoor.IRC.Aryan.1 применяет еще один способ заражения сменных носителей информации: бот копирует себя на съемный диск, прячет обнаруженные файлы в созданную им папку, а вместо них помещает ярлыки, ссылающиеся как на спрятанный оригинальный файл, так и на саму вредоносную программу. В результате при активизации такого ярлыка пользователем, помимо открытия искомого файла, запускается BackDoor.IRC.Aryan.1. Успешно инфицировав диск, бот отправляет соответствующее сообщение на специально созданный вирусмейкером IRC-канал.
Затем вредоносная программа копирует себя в одну из папок как svmhost.exe и помещает ссылку на данный файл в ветвь системного реестра, отвечающую за автоматический запуск приложений при загрузке Windows. Также бот пытается встроить код в процесс explorer.exe.
Помимо прочего, BackDoor.IRC.Aryan.1 обладает механизмом самозащиты: в отдельном потоке бот постоянно проверяет свое наличие на диске и, в случае отсутствия соответствующего файла в целевой папке, сохраняет его туда из оперативной памяти. Параллельно осуществляется проверка наличия соответствующей записи в системном реестре Windows. Также BackDoor.IRC.Aryan.1 пытается встроить код, задачей которого является систематический перезапуск вредоносной программы, в процессы csrss.exe, alg.exe и dwm.exe.
BackDoor.IRC.Aryan.1 обладает функционалом, позволяющим загружать с удаленного сервера и запускать на инфицированном компьютере различные исполняемые файлы, а также выполнять по команде DDoS-атаки.
14 мая текущего года компания Apple выпустила обновления безопасности для OS X 10.5, которые не устраняют ни одной уязвимости, однако прекращают поддержку Flash Player до версии 10.1.102.64. A 9 мая 2012 года Apple отключила поддержку устаревших версий Flash Player для ОС Snow Leopard и Lion в обновлениях для браузера Safari 5.1.7.
Выпущенные обновления безопасности содержат инструмент для удаления троянской программы Flashback, который предназначен для ОС Leopard. Отметим, что обновления не предусматривают автоматического отключения Java-плагина, который используется браузерами Safari, Chrome и Firefox. Такой же инструмент для пользователей Snow Leopard был выпущен 12 апреля текущего года. Напомним, что троянская программа позволила ее разработчикам создать ботнет, в состав которого вошли около 600 тыс. компьютеров на базе Mac OS X.
Стоит отметить, что в последний раз компания Apple выпускала обновления для Java в своей операционной системе в июне 2011 года.
Bitcoin-биржа Bitconica на прошлой неделе приостановила свою работу после того, как хакеры ограбили ее онлайн-кошелек на 18 547 виртуальных монет, общая стоимость которых оценивается примерно в 90 тысяч $. Вероятно, также была скомпрометирована база данных пользователей, сообщает администрация веб-сервиса. Несмотря на то, что пользовательские данные были защищены шифрованием, существует возможность раскрытия легких комбинаций путем прямого перебора.
Для синхронизации истории транзакций по биткоинам используется P2P-модель. Как подчеркивают операторы Bitcoinica, были украдены собственные средства самой биржи, а не ее пользователей. Создатель сайта Чжоу Тун одновременно с сообщением о взломе написал еще одно, где признался, что в ноябре продал биржу неназванному инвестору и собирается оставить ее, как только последствия инцидента будут устранены. Bitcoinica не впервые за последнее время становится жертвой хакеров: в марте у биржи были украдены 43 тыс. биткоинов в результате взлома серверов ее хостинг-провайдера Linode.
Подобные инциденты сказываются на всей экосистеме цифровой наличности: в июне прошлого года обменный курс виртуальных монет резко упал после взлома крупнейшей биткоин-биржи Mt.Gox. По мнению специалистов, достаточно хорошо продуманный алгоритм функционирования Bitcoin страдает от плохой реализации обслуживающего пользователей веб-интерфейса, который все чаще становится жертвой SQL-инъекций, порождающих утечку данных, а вместе с ней и виртуальной валюты.
Исследователи в области безопасности компании GFI Labs предупреждают о том, что в Twitter проводится очередная спам-кампания по распространению различного рода adware. На сей раз пользователям угрожает троян, который нацелен как на мобильную операционную систему Android, так и на платформу для персональных компьютеров.
Согласно сообщению, получить эту вредоносную программу можно перейдя по ссылке, которая содержится в тексте сообщения, рассылаемого среди пользователей Twitter. Данные послания сформированы как на русском, так и на английском языках и имеют содержание рекламного характера. В случае попытки просмотреть сообщение, пользователь направляется на ресурс в доменной зоне *.tk, например “good-graft.tk”.
Примечательным является то, что в зависимости от устройства, с которого просматривается ресурс загружается соответствующий файл установки трояна. При этом файл замаскирован под антивирусный сканер: VirusScanner.jar для ПК или VirusScanner.apk для Android. В случае инициализации установки Trojan.Android.Generic.a демонстрирует панель с логотипом антивируса "Kaspersky" и при этом пытается получить доступ к журналу вызовов, базе сообщений и ко всем платным сервисам мобильного устройства.
Представлено внеплановое обновление для выпущенной год назад бета-версии Skype 2.2 для платформы Linux. В представленном обновлении устранена критическая уязвимость в статически скомпонованной с приложением библиотеке libpng, позволяющая организовать выполнение кода хакера при обработке специально сформированных PNG-изображений. Проблема касается только статической сборки Skype 2.2, динамически связанный пакет подвержен проблеме только при использовании необновлённой в системе библиотеки libpng.
Подробности о том про какую уязвимость идёт речь не сообщаются. Последняя критическая уязвимость в библиотеке libpng была устранена в выпусках 1.5.10, 1.4.11, 1.2.49 и 1.0.59, представленных в конце марта. До этого проблема аналогичной степени опасности была устранена в середине февраля.
Клиенты HC.ru подверглись массовой хакерской атаке через незакрытую на виртуальном хостинге уязвимость PHP-CGI. В результате атаки на сайт внедрялся вредоносный PHP или JavaScript-код, производящий редирект на сайт, распространяющий вирусы.
Напомним, что после нескольких попыток, разработчикам PHP Group удалось закрыть уязвимости в модуле PHP-CGI, позволяющие задавать параметры выполнения скрипта через URL.
Кроме российского Хостинг-Центра, ранее жертвами аналогичной атаки оказались клиенты зарубежного DreamHost. Под угрозой продолжают находиться многие хостинг-провайдеры, предоставляющие услуги виртуального хостинга, при этом игнорирующие критические обновления прикладного серверного ПО.
HostExploit представляет дебютный выпуск «Отчета о глобальной безопасности». Исследование установило, что Литва располагается на первом месте мирового рейтинга уровня вредоносной активности, в то время как Финляндия имеет самые чистые серверы и сети.
Новое исследование нацелено на определение уровня вредоносной активности относительно каждой страны мира. На момент создания дебютного выпуска отчета первую строчку заняла Литва. Индекс HE «победителя» составил 369,02. Основная проблема этой прибалтийской страны заключается в высокой концентрации центров управления бот-сетями, фишинга и серверов Zeus. При этом стоит отметить, что такой плачевный результат обеспечили 92 автономные системы, расположенные в Литве.
Однако более всех исследователей удивили Британские Виргинские острова. Обладая всего 3 зарегистрированными автономными системами, они оказались аж на четвертом месте с Индексом HE равным 257,99. Так же, как и Литва, Виргинские острова доминируют по количеству C&C серверов, в особенности центров управления Zeus.
Отдельно стоит похвалить Финляндию, которая является самой «чистой» страной и занимает последнюю строчку рейтинга. Судя по Индексу HE, финские провайдеры обладают самым низким уровнем вредоносной активности на планете. Даже самая «худшая» автономная система в Финляндии находится на 1060 месте.
В смартфонах ZTE Score M от американского сотового оператора MetroPCS под операционной системой Android 2.3.4 обнаружен . Бинарник sync_agent лежит в папке /system/bin/sync_agent. Программа не выполняет никаких функций, а после ввода секретного пароля предоставляет удалённый доступ в систему с правами рута. Пароль ztex1609523. Избавиться от бэкдора можно перепрошитием ROM, или просто удалить файл вручную, имея права рута.
Пока не совсем понятно, по чьей инициативе бэкдор появился в телефонах. Под подозрение попадают сотовый оператор, производитель смартфонов, правительство США и правительство Китая. Простые американские пользователи склоняются к последнему варианту. Другие говорят, что правительственный бэкдор должен быть сложнее, чем этот. Возможно, здесь просто какая-то ошибка.
Компания ZTE уже в курсе проблемы и пообещала исправить её.
ФБР США обеспокоено потенциалом отмывания денег и другой криминальной деятельности в анонимной платежной системе Биткойн. Таковы выводы, которые можно сделать, ознакомившись с появившимся на этой неделе в сети документом под названием «Виртуальная валюта Биткойн: уникальные особенности представляют отдельные затруднения сдерживания незаконной деятельности» ().
Опубликованный 24-ого апреля отчет не засекречен, но помечен как документ исключительно для официального использования, и 9-ого мая произошла его утечка в Интернет. В документе показаны не только оценки системы, но и непреднамеренно описаны советы пользователям криптовалюты, следуя которым они могут оставаться более анонимными.
В документе ФБР замечает, что, поскольку ради исключения центральных органов управления Биткойн оперирует криптографией и архитектурой одноранговой сети, полиции будет значительно труднее идентифицировать пользователей. Однако, чтобы получить деньги на руки, получатель будет вынужден обменять через сторонний сервис бит-монеты на, например, доллары США. В ФБР выражают уверенность, что власти всё ещё в состоянии задерживать подозреваемых, которые используют сторонние связанные с Биткойном сервисы, требующие ввода персональных данных. Однако, в отчете замечается, что использование офшорных сервисов, не требующих достоверных личных данных может расстроить подобные планы.
В документе ФБР непреднамеренно перечисляет несколько советов, которые могут помочь повысить анонимность в сети BitCoin:
1. При каждом получении средств используйте новый адрес.
2. Перенаправляйте весь трафик Биткойна через анонимайзер.
3. Собирайте все монеты со своих адресов в один для нового платежа.
4. Используйте специализированные сервисы отмывания денег.
5. Используйте сторонние сервисы электронных кошельков для объединения адресов.
6. Возможно создание новых версий клиента, которые могут помочь увеличить анонимность за счет новых функций, например, выбора с какого адреса платить.
ssl)
||
Exploit.IO (
Безопасность
Другое