• 2016-09-02 00:00 Армия США разрабатывает уникальное кибероружие
• 2016-09-05 00:00 "Ростех" подсчитал затраты на реализацию "закона Яровой"
• 2016-09-05 00:00 Уже более миллиона IoT устройств входят в состав различных ботнетов
• 2016-09-05 00:00 Банкам, использующим российский аналог SWIFT, придется применять повышенные меры безопасности
• 2016-09-05 00:00 Через Mac больше нельзя шпионить за пользователями
• 2016-09-06 00:00 Обнаружены свидетельства причастности российских хакеров ко взлому систем регистрации избирателей в США
• 2016-09-07 00:00 Путин допустил возможность внесения изменений в "закон Яровой"
• 2016-09-08 00:00 Халатность стала причиной утечки данных более 20 млн госслужащих США
• 2016-09-08 00:00 Работа сайта "Левада-центра" восстановлена
• 2016-09-08 00:00 Возрожден легендарный и скандальный антивирусный бренд McAfee
• 2016-09-08 00:00 Принтеры оказались самыми уязвимыми устройствами в сфере "Интернета вещей"

http://www.itsec.ru/newstext.php?news_id=112116

Киберкомандование США работает над новым оружием, существенно отличающимся от инструментов, используемых разведслужбами. Об этом сообщил представитель подразделения Шон Терски (Shawn Turskey) в ходе пресс-конференции Министерства внутренней безопасности США.

 Как пояснил Терски, в отличие от АНБ и других разведслужб, чей арсенал состоит из действующих скрыто эксплоитов, киберкомандованию нужны "громкие" инструменты, четко указывающие на армию США.

 "Мы продолжим сотрудничество с разведсообществом […], но нам нужны абсолютно отдельные инструменты и инфраструктура", - цитирует издание FedScoop слова Терски.

 За последние несколько месяцев в СМИ не раз появлялась информация о том, что администрация президента Обамы рассматривает вопрос о повышении статуса Киберкомандования до Единого боевого командования. Это позволит подразделению стать более независимым и получить больше полномочий при организации операций.

 По словам Терски, до конца сентября 2018 года военное командование планирует развернуть 133 подразделения общей численностью более 6 тыс. человек. В настоящее время уже создано 100 команд, число сотрудников в которых в общей сложности составляет порядка 4,7 тыс.

http://www.itsec.ru/newstext.php?news_id=112141

Согласно предварительным подсчетам "Ростеха", стоимость локализации оборудования и ПО для исполнения "закона Яровой" составит 10,3 млрд рублей.

 Как сообщает RNS со ссылкой на печатные СМИ, такие подсчеты приведены в приложении письма исполняющего обязанности гендиректора госкорпорации министру промышленности и торговли Денису Мантурову.

 Сообщается, что, в том числе, 7,15 млрд рублей нужно для разработки серверов — 5 млрд рублей на чипсеты и 2 млрд рублей на процессоры, их смогут производить "Микрон" и "Ангстрем-Т".

 Для разработки сетевого оборудования — коммутаторов и маршрутизаторов — потребуется соответственно 450 млн рублей и 900 млн рублей. Этим могут заняться обнинская Kraftway, Объединенная приборостроительная корпорация, ФГУП ЭЗАН "Черноголовка" или зеленоградская "Альтоника".

 Более того, 850 млн рублей понадобится для разработки локализации систем хранения данных (в том числе 300 млн рублей на дисковые полки и 450 млн рублей на контроллеры дисков), 650 млн рублей — на ПО, которым займется НЦИ.

 Отмечается, что о локализации модулей памяти в обозримом будущем говорить не приходится. Жесткие, твердотельные и ленточные накопители также будут по-прежнему закупаться за рубежом.

 Напомним, ранее глава комитета Совфеда по обороне и безопасности и соавтор скандального пакета антитеррористических поправок Виктор Озеров рассказал, сколько, по его мнению, будет стоить реализация законов. В частности, как пояснил сенатор, по московскому региону, по расчетам специалистов, ответственных в правительстве за данный закон, расходы на исполнение закона равнялись 287 млн рублей. "Если увеличить в 10 раз, то получается около 3 млрд в год", — уточнил он. Озеров также призвал не пугать людей нереальными суммами.

 Добавим, глава "Ростелекома" Сергей Калугин на прошлой неделе высказал мнение, что в России есть возможность производить оборудование, необходимое для реализации "антитеррористического пакета" законов Яровой-Озерова. При этом исполнителем он назвал корпорацию "Ростех".

http://www.itsec.ru/newstext.php?news_id=112140

В начале июля 2016 года специалисты компании Arbor Networks рассказали о том, что ботнеты, состоящие из различных IoT-девайсов и построенные на базе LizardStresser и его форков, множатся день ото дня. Тогда специалисты сообщали об обнаружении более ста активных командных серверов.

Согласно данным Level 3 и Flashpoint, ситуация продолжает ухудшаться. Инструменты, созданные на базе исходных кодов LizardStresser, которые были опубликованы в открытом доступе еще в 2015 году, позволяют с легкостью заражать IoT-устройства и использовать их для осуществления DDoS-атак. Особенно уязвимы девайсы, работающие на базе x86, ARM и MIPS. Так как LizardStresser был изначально написан на C и ориентирован на Linux-архитектуры, IoT-устройства стали для хакеров настоящей золотой жилой. Исследователи пишут, что уже более миллиона подключенных к интернету устройств стали чьими-то ботами. К примеру, 96% ботов Gafgyt — это различные IoT-гаджеты. Подавляющее большинство зараженных устройств находится на территории Тайваня, Бразилии и Колумбии.

Исследователи пишут, что самыми популярными мишенями злоумышленников по-прежнему являются IP-камеры и цифровые видеорегистраторы (DVR). Именно они составляют основу подобных ботнетов — на них приходится 95% всех ботов. Только 4% заражений приходятся на домашние роутеры и веб-серверы Linux.

О том, что камеры видеонаблюдения и DVR-системы стали одной из главных целей хакеров, еще в июне 2016 года писали специалисты компании Sucuri. Тогда им удалось обнаружить ботнет, состоящий из 25 000 камер. Хотя обнаруженный аналитиками Sucuri ботнет был создан на базе другой, куда более сложной малвари, в его состав входили CCTV-системы, принадлежащие H.264 DVR бренду. Похожую картину обнаружили и исследователи Level 3: чаще всего заражению подвергаются устройства Dahua Technology и H.264 DVR.

Совместно эксперты Level 3 и Flashpoint изучили деятельность более чем 200 управляющих серверов Gafgyt, Lizkebab, BASHLITE и Torlus. Данное семейство вредоносов достаточно примитивно. Малварь написана на C и позволяет осуществлять UDP или TCP флуд, но "не умеет" использовать техники усиления и отражения трафика.

Кроме того, адреса командных серверов жестко прописаны в коде малвари, так что если серверы, к примеру, были арестованы правоохранительными органами, операторы ботнета не имеют возможности просто поднять новый командный сервер и вернуть себе контроль над ботами. После подобных инцидентов злоумышленникам нужна новая малварь, а также приходится повторно заражать всех ботов. К сожалению, по словам исследователей, эти неудобства не останавливают атакующих, особенно в свете того, что "дырявых" IoT-устройств становится больше с каждым днем, а для их взлома, как правило, нужна лишь простейшая автоматизированная брутфорс-атака.

Согласно отчету, в среднем ботнеты на базе Gafgyt "живут" около 13 дней. Самый крупный замеченный специалистами ботнет насчитывал более 120 000 устройств, а самый маленький — всего 74 девайса. Исследователи полагают, что операторы IoT-ботнетов не стремятся наращивать мощности, так как им вполне хватает нескольких тысяч зараженных гаджетов. Дело в том, что большинство зараженных устройств — это DVR и камеры наблюдения, а значит, они имеют огромную полосу пропускания для работы с видео, и вполне пригодны для организации DDoS-атак, мощностью в сотни Гбит/с.

Правоту экспертов хорошо иллюстрирует новый отчет, представленный 1 сентября 2016 года их коллегами из Arbor Networks. По данными компании, мощность DDoS-атак, осуществленных во время Олимпийский игр в Рио на различные организации, связанные с проведением Олимпиады, доходила до 540 Гбит/с (см. иллюстрацию выше). При этом исследователи утверждают, что основным инструментом для организации атак до начала Олимпиады выступал один единственный ботнет из IoT-устройств, при поддержке нескольких менее мощных ботнетов. Хотя злоумышленники в данном случае все же пользовались отражением и усилением UDP-трафика, а также подключали к делу NS, chargen, ntp и SSDP, обычный UPD и SYN флуд сыграл важную роль в ходе этой кампании.

http://www.itsec.ru/newstext.php?news_id=112158

В Центробанке готовят финансовые учреждения к возможным угрозам атак с целью получения доступа к российскому аналогу SWIFT (системе передачи финансовых сообщений — СПФС). Как сообщили "Известиям" официальные представители ЦБ, в отношении СПФС предусмотрены такие же рекомендации в части обеспечения информационной безопасности, что и для платежной системы Банка России, так как базовые риски для этих систем одинаковые.

 Это означает, что банки, которые обмениваются сведениями и платежными поручениями через СПФС, должны принимать повышенные меры безопасности (а не только стандартный комплекс). У регулятора восемь программных документов на тему информбезопасности банков, включая стандарты Технического комитета №22, напоминает издание.

 По требованиям ЦБ к информбезопасности банки должны последовательно усиливать защиту на аппаратно-программном уровне, информировать персонал об активизации фишинговых рассылок (наиболее частая уловка, которую используют мошенники, чтобы попасть во внутреннюю сеть кредитной организации), правилах безопасности при работе с файлами и документами, приходящими на рабочую почту, выстраивать систему взаимодействия при выявлении и расследовании киберпреступлений, тестировать уровень знаний сотрудников (можно с помощью тестовых кибератак). Банки, обменивающиеся данными через СПФС, должны будут дополнительно использовать технологические, аппаратно-программные и криптографические средства защиты данных в комплексе, использовать в работе не только рекомендации ЦБ, но и рекомендации МВД по безопасности. А если у банка есть сомнения в уровне информбезопасности контрагента, сведения и платежки через СПФС направляться не должны.

 Российский аналог системы передачи финансовых сообщений в формате SWIFT (как по внутрироссийским операциям) запущен в рабочем режиме в декабре 2014 года. Сейчас к нему подключено 332 банка из около шести сотен работающих в России.

http://www.itsec.ru/newstext.php?news_id=112151

Обновления безопасности для OS X

Компания Apple выпустила обновления безопасности Security Update 2016-005 Yosemite и Security Update 2016-001 El Capitan для операционных систем OS X Yosemite 10.10.5 и OS X El Capitan 10.11.6 соответственно, призванное устранить ошибки, позволяющие шпионить за владельцами Mac.

Обновления устраняют уязвимости CVE-2016-4655 и CVE-2016-4656. Первая уязвимость позволяет узнать содержимое оперативной памяти. Вторая — вызвать сбой в оперативной памяти либо запустить произвольный код с привилегиями администратора. Обе "дыры" были найдены исследователями Citizen Lab и Lookout Security.

"Дыры" в iPhone и iPad

Уязвимости CVE-2016-4655 и CVE-2016-4656 содержатся не только в OS X, но и в iOS — операционной системе для iPhone и iPad, которая базируется на OS X. Неделю назад Apple выпустила обновление, которое устраняет эти "дыры" в мобильном программном обеспечении.

На вооружении у шпионов

Уязвимости CVE-2016-4655 и CVE-2016-4656 используются в приложении Pegasus, продаваемом израильским стартапом NSO Group Technologies. Данное приложение позволяет перехватывать практически все коммуникации на мобильном устройстве, включая сообщения в iMessage, Gmail, Viber, Facebook, WhatsApp, Telegram и Skype и даже пароли к Wi-Fi. Для того чтобы установить малварь на устройство, пользователя достаточно направить по заранее подготовленной веб-ссылке.

По данным Citizen Lab и Lookout Security, заказчиками NSO Group Technologies с большой долей вероятности могут быть государственные ведомства в Панаме, Мексике, США и ОАЭ.

Изучение программы Pegasus началось с того, что правозащитник из ОАЭ Ахмед Мансур (Ahmed Mansoor) получил 10 августа 2016 г. SMS-сообщение с неизвестного номера, со ссылкой на якобы вскрывшиеся злоупотребления. Он расценил сообщение как подозрительное и переслал информацию об этом в компанию Citizen Lab. В результате чего были обнаружены три критические уязвимости в iOS 9 (третья уязвимость была устранена в том же обновлении с двумя другими).

Примечательно, что, по данным Lookout Security, среди более чем 300 фишинговых сайтов, через которые распространялись вредоносные ссылки, часть маскировалась под популярные российские сайты: "Билайн", "Вконтакте", "Одноклассники", "Яндекс" и др.

Эксперты по безопасности предупредили, что теперь, когда об этих уязвимостях известно, злоумышленники могут использовать их для установки вредоносного программного обеспечения на те Mac, на которых уязвимости не устранены.

http://www.itsec.ru/newstext.php?news_id=112176

Специалисты компании ThreatConnect обнаружили связь между недавними атаками на системы регистрации избирателей в США и вредоносными кампаниями, осуществленными предположительно связанными с правительством РФ хакерами.

 В августе текущего года Федеральное бюро расследований США разослало предупреждение о кибератаках, в ходе которых злоумышленникам удалось получить доступ к базам данных систем регистрации избирателей в двух штатах страны.

 В оповещении ФБР указало технические подробности атак, в том числе IP-адреса, фигурировавшие в обоих инцидентах. Согласно результатам анализа, проведенного экспертами ThreatConnect, данные IP-адреса неоднократно связывались с подпольными российскими хакерскими форумами. В частности, некоторые из них принадлежат компании FortUnix Networks, чья инфраструктура эксплуатировалась в атаках на украинские энергокомпании в декабре прошлого года.

 По данным специалистов, один из IP-адресов (5.149.249.172 ) в прошлом использовался в фишинговых атаках, направленных на политические партии Турции и Германии, а также парламент Украины. В ходе исследования активности IP-адреса также обнаружился ряд дополнительных факторов, свидетельствующих о его связи с одной из российских группировок, предположительно работающих по заказу правительства РФ.

 Исследователям удалось получить доступ к C&C-серверу, использованном в вышеуказанной фишинговой кампании. Они обнаружили в общей сложности 113 писем, написанных на украинском, турецком, немецком и английском языках. Как выяснилось в ходе дальнейшего анализа, один из доменов, используемых для хостинга фишингового контента, был зарегистрирован на электронный адрес, связанный с доменом, ранее фигурировавшим в кампаниях группы APT 28, также известной как Fancy Bear, Pawn Storm, Sednit и Sofacy.

http://www.itsec.ru/newstext.php?news_id=112197

Президент РФ Владимир Путин допустил возможность корректировки законов из антитеррористического пакета Яровой/Озерова. Данное мнение глава государства высказал на встрече с представителями фракции "Единая Россия" и экспертами. Изменения могут быть внесены при условии обеспечения безопасности граждан и соблюдении интересов операторов связи.

 "Нужно внимательно смотреть, что происходит с применением законов и, если мы все вместе увидим, что возможны решения, которые и задачу решат (по обеспечению безопасности), и бизнес не поставят в сложное положение, то тогда, может быть, и здесь нужно будет какие-то коррективы внести", - цитирует ТАСС слова главы государства.

 Ранее Минпромторг, Минкомсвязи и ФСБ представили ряд решений по реализации требований "закона Яровой". Одна из моделей, предложенных ведомствами, предполагает создание распределенной системы ЦОД на базе Национального центра информатизации (НЦИ), входящего в "Ростех".

 Напомним, пакет антитеррористических законов, так же известный как "закон Яровой", с 1 июля 2018 года обязывает операторов связи и интернет-провайдеров хранить данные о фактах передачи информации в течение трех лет, а трафик клиентов – в течение шести месяцев. 

http://www.itsec.ru/newstext.php?news_id=112217

Пренебрежение базовыми мерами защиты информации руководством Управления кадровой службой США привело к масштабной утечке персональных данных более 20 млн американских граждан. К такому выводу пришел Комитет Палаты представителей по надзору и правительственной реформе США (United States House Committee on Oversight and Government Reform) по итогам проведенного расследования.

 Речь идет о кибератаках на компьютерные системы Управления кадровой службой США в 2014-2015 годах. В результате взломов неизвестные похитили конфиденциальную информацию, включая адреса, данные медицинских карт, финансовую историю и изображения отпечатков пальцев 21,5 млн бывших и настоящих госслужащих, а также соискателей на государственную должность. Предположительно, атакующие использовали бэкдор для доступа с правами администратора к системе Управления кадровой службой США. В совершении кибератак подозревались хакеры, спонсируемые правительством Китая, однако власти КНР категорически отрицали свою причастность к инцидентам.  

 Согласно докладу, с 2005 года государственные инспекторы неоднократно предупреждали руководство Управления кадровой службой США об уязвимости компьютерных систем ведомства, однако эти сообщения были проигнорированы. В 2012 году команда реагирования на компьютерные инциденты US-CERT предупредила ведомство о присутствии на сервере вредоносного ПО Hikit, а спустя некоторое время были обнаружены свидетельства несанкционированного проникновения в систему одного или нескольких хакеров.

 В марте 2014 года эксперты US-CERT сообщили, что неизвестным удалось похитить данные о спецификациях сети и ряд файлов. US-CERT и АНБ США развернули операцию под названием Big Bang, в ходе которой наблюдали за действиями злоумышленников. Когда хакеры загрузили несколько кейлоггеров на компьютеры, используемые сотрудниками с доступом к важным данным, специалисты отключили серверы. Тогда экспертам удалось пресечь деятельность только одного атакующего, второй так и не был выявлен. Как показал дальнейший анализ, хакеру удалось получить доступ к серверу при помощи похищенных у одного из подрядчиков Управления кадровой службой учетных данных.

 Согласно отчету, за первой кибератакой стояла группировка Axiom Threat Actor Group (единственная группа, использующая Hikit). Вторую осуществила команда Deep Panda. Обе группировки подозревают в связи с китайским правительством, поэтому, вполне возможно, хакеры координировали свои действия.

http://www.itsec.ru/newstext.php?news_id=112219

Сайт аналитической службы "Левада-центр" восстановил работу после хакерской атаки.

 Как рассказали RNS в организации, на сайт была произведена хакерская атака. В настоящее время ресурс работает в нормальном режиме.

 Напомним, в среду сайт был недоступен. Сообщалось, что при попытке зайти на ресурс появлялось сообщение о том, что сайт отключен администратором сервера, на котором находились данные ресурса.

 Отметим также, ранее Минюст России сообщил о признании "Левада-центра" организацией с иностранным финансированием. Как рассказал глава "Левада-центра" Лев Гудков, проверки в организации в период с 12 по 31 августа были связаны с жалобой представителей движения "Антимайдан". В свою очередь глава комитета Совфеда по международным делам Константин Косач

http://www.itsec.ru/newstext.php?news_id=112236

Intel сообщила о продаже контрольного пакета акций Intel Security американской инвестиционной компании TPG. В результате сделки будет образовано совместное предприятие под названием McAfee, которое продолжит заниматься информационной безопасностью. Таким образом, будет возрожден независимый антивирусный бренд McAfee, который исчез после ребрендинга в 2014 г., последовавшего за поглощением этой компании Intel в 2011 г.

Intel передаст покупателю 51% акций McAfee, оставив себе 49%. Сумма сделки составит $3,1 млрд. При этом TPG инвестирует $1,1 млрд. в уставный капитал совместного предприятия. При совершении сделки рыночная стоимость Intel Security оценивается в $4,2 млрд.

Генеральным директором возрожденной McAfee станет генеральный менеджер Intel Security Крис Янг (Chris Young). В открытом письме заинтересованным лицам, опубликованном 7 сентября 2016 г., Янг пишет, что надеется на усиление позиций компании при поддержке двух держателей акций вместо одного. Новое предприятие будет вести "чистую игру", то есть заниматься одним видом деятельности (информационной безопасностью) без диверсификации.

McAfee: история бренда

Это не первый случай исчезновения и возрождения бренда McAfee. Компания McAfee была основана в 1987 г. Джоном Макафи (John McAfee) шотландо-американским программистом, пионером в сфере антивирусного ПО. Изначально фирма была зарегистрирована как McAfee Associates. Основатель, в честь которого назван бренд, ушел из компании в 1994 г.

В 1997 г. произошло слияние McAfee с компанией Network General, в результате которого образовалась новая компания под названием Network Associates, из-за чего бренд McAfee прекратил свое существование в первый раз. Но в 2004 г. после реструктуризации и продажи части активов компания вернула себе прежнее название, хоть и в усеченном виде – McAfee.

В 2010 г. Intel объявила о приобретении McAfee за $7,68 млрд – на 60% дороже, чем стоили ее акции на бирже до сообщения о продаже. К этому времени McAfee уже устойчиво занимала вторую по объему выручки долю рынка антивирусного ПО (после Symantec). Сделка была завершена в феврале 2011 г.

В 2014 г. Intel объявила о переименовании McAfee в Intel Security. Так произошло повторное исчезновение бренда. Логотип McAfee с красным щитом модифицировать не стали, изменив только название. Продукты компании сохранили фрагмент "McAfee" в составе своих наименований.

Решение Intel о ребрендинге связывали с желанием дистанцироваться от фигуры Джона Макафи, который к тому времени успел стать одиозной личностью. Макафи не только вел богемный образ жизни, но и проходил в качестве подозреваемого по делу об убийстве своего соседа, застреленного в собственном доме в Белизе в ноябре 2012 г. Однако официального обвинения Джону предъявлено не было.

Кроме того, полиция Белиза, где Макафи жил на своей вилле, инкриминировала ему хранение и продажу оружия и нелицензированных медикаментов. После того, как его вилла подверглась обыску, Джон был вынужден изменить внешность и мигрировать Гватемалу, которая вскоре выдала его США. Впоследствии все обвинения были с него сняты.

С некоторых позиций пятном на бизнес-репутации Макафи можно было расценить и его заявление о намерении создать устройство под названием D-Central, с помощью которого пользователи смогут защититься от слежки со стороны Агентства национальной безопасности.

В мае 2016 г. Джон Макафи был назначен председателем и генеральным директором компании MGT Capital Investments В том же месяце компания объявила, что сменит название на John McAfee Global Technologies, породив таким образом еще один бренд McAfee

http://www.itsec.ru/newstext.php?news_id=112239

Маршрутизаторы более не являются самыми уязвимыми устройствами в интернете, уступив пальму первенства принтерам, утверждает исследователь компании BitDefender Богдан Ботезату (Bogdan Botezatu).

 "Мы получаем огромное количество данных телеметрии в нашей лаборатории. Маршрутизатор уже не является самым худшим устройством в интернете. Теперь это принтер", - приводит издание The Register слова эксперта.

 Это довольно громкое утверждение, учитывая, что в последнее время появилось немало сообщений об уязвимостях в маршрутизаторах того или иного производителя. К примеру, в конце августа нынешнего года в маршрутизаторе производства китайской компании BHU были обнаружены множественные уязвимости, позволяющие злоумышленникам осуществлять различные действия. В частности, обойти механизм аутентификации, просмотреть системный журнал, перехватить трафик, внедрить бэкдор и даже выполнить команды с правами суперпользователя.

 По словам исследователя, многие современные принтеры, поддерживающие протокол печати через интернет, предлагают общий доступ к файлам. При этом значительное количество пользователей не считают нужным менять заводские настройки и отключить данную опцию. Соответственно, злоумышленнику не составит труда получить доступ к важным конфиденциальным документам.

 Ранее исследователи из Нью-Йоркского университета предупредили о том, что подключенные к интернету 3D-принтеры могут использоваться не только для создания трехмерных объектов, но и для промышленного шпионажа. К примеру, преступники могут удаленно получить контроль над устройством и внести изменения в процесс производства.