Исследователи компании Avast сообщили новые сведения о нашумевшем прошлогоднем инциденте с CCleaner. Согласно представленному на конференции SAS в Мексике докладу, хакеры, атаковавшие инфраструктуру CCleaner и внедрившие в утилиту бэкдор, готовились к заражению инфицированных компьютеров третьим вариантом вредоносного ПО, сообщает Bleeping Computer.   Напомним, инцидент имел место в сентябре 2017 года, когда исследователи Avast обнаружили, что в 32-разрядные версии CCleaner v5.33.6162 и CCleaner Cloud v1.07.3191 был внедрен инфостилер. По словам экспертов, вредонос инфицировал порядка 2,7 млн компьютеров, однако похищал только базовую информацию, такую как имя компьютера и данные о домене.   Как выяснилось позднее, внедрение инфостилера было лишь первым этапом масштабной кампании, предназначенным для выявления компьютеров, относящихся к внутренним сетям крупных технологических компаний, таких как Google, Cisco, Oracle, Intel, Akamai, Microsoft и пр. В ходе второго этапа злоумышленники заразили вредоносным ПО только 40 компьютеров, обнаруженных в этих сетях. По мнению экспертов Avast, Cisco Talos и «Лаборатории Касперского», ответственность за атаки лежит на киберпреступной группировке Axiom, предположительно имеющей китайское происхождение.   Согласно представленному на конференции в Мексике докладу, злоумышленники также готовили третий этап своей кампании. На компьютерах сотрудников Piriform (компании-разработчика CCleaner, приобретенной Avast в июле 2017 года) был обнаружен образец третьего вредоносного ПО, присутствующий там еще с 12 апреля 2017 года. Хакеры использовали сети Piriform для подготовки основного взлома, считают эксперты.   Речь идет о многофункциональном модульном фреймворке ShadowPad. Вредонос оснащен целым набором плагинов, предназначенных для самых разных целей. В частности, они выполняют функции бэкдора, кейлоггера и инфостилера. Судя по лог-файлам на зараженных компьютерах Piriform, в данном случае хакеры намеревались применять ShadowPad в качестве кейлоггера.   По мнению специалистов Avast, ShadowPad должен был использоваться на третьем этапе вредоносной кампании. Тем не менее, исследователи безопасности выявили зараженную версию CCleaner до запуска третьего этапа, и планы злоумышленников были расстроены.   securitylab.ru

  В воскресенье, 11 марта, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ (Роскомнадзор) ограничила доступ к более 4 тыс. адресов Amazon AWS. Основанием послужило постановление Генпрокуратуры, датированное 2015 годом, сообщается на одном из каналов Telegram. Речь идет о постановлении №27-31-2015/Ид4082-15.   Из-за блокировки была приостановлена работа некоторых представителей малого и среднего бизнеса. Сотрудники ряда компаний столкнулись с невозможностью доступа к внутренним ресурсам. Ознакомиться со списком заблокированных адресов можно здесь .   Amazon Web Services (AWS) – инфраструктура платформ облачных web-сервисов, представленная компанией Amazon в начале 2006 года. В AWS представлены сервисы аренды виртуальных серверов, предоставления вычислительных мощностей, хранения данных (файловый хостинг, распределённых хранилищ данных) и т.п.   securitylab.ru

  Китайские разведывательные агентства изменяют в Китайской национальной базе данных об уязвимостях (CNNVD) информацию о проблемах безопасности для содействия хакерам, связанным с правительством КНР. Об этом сообщили эксперты из аналитической компании Recorded Future в своем отчете.   Согласно докладу, за последние несколько месяцев были зафиксированы массовые внесения изменений в базу данных web-сайта CNNVD. В частности, операторы базы данных внесли информацию о нескольких сотнях уязвимостей задним числом.   По словам аналитиков, подобные случаи начались в ноябре минувшего года после публикации отчета, в котором Recorded Future обвинила CNNVD в задержке раскрытия критических уязвимостей для того, чтобы дать киберподразделениям китайской разведки больше времени на оценку потенциальной пользы от эксплуатации данных проблем.   Как сообщили специалисты, за последний год в CNNVD была отредактирована информация о дате публикации по меньшей мере 267 критических уязвимостей.   Например, публикация данных об уязвимости CVE-2016-10136 в прошивке AdU ps, присутствующей во многих моделях смартфонов, произошла на 235 дней позже указанного в базе срока.   «Выборочное редактирование данных о проблемах является по сути негласным подтверждением существования программы по оценке и оперативной эксплуатации уязвимостей», - отметили эксперты.   Как полагают аналитики, задержка раскрытия критических уязвимостей, скорее всего, осуществляется для сокрытия данных о проблемах безопасности от местных компаний, которые полагаются на CNNVD. Таким образом спецслужбы могут тщательно следить за китайскими внутренними организациями.   securitylab.ru

  На этой неделе в Сети были опубликованы PoC-коды для запуска масштабных DDoS-атак с использованием серверов memcached, а также список из 17 тыс. IP-адресов уязвимых серверов. Если точнее, в интернете появились сразу две утилиты, и каждая из них является по своему уникальной.   Первый PoC-код представляет собой скрипт на Python под названием Memcacrashed.py, сканирующий Shodan в поисках IP-адресов уязвимых серверов memcached и позволяющий в считанные секунды осуществлять DDoS-атаки на выбранную цель. Автором утилиты является исследователь безопасности, ведущий блог Spuz.me.   Второй PoC-код написан на C и был опубликован на Pastebin в прошлый понедельник. Автор его неизвестен. К опубликованному скрипту прилагается готовый список из 17 тыс. IP-адресов уязвимых серверов memcached. С помощью инструмента злоумышленник может осуществить DDoS-атаку на нужную цель, используя для усиления ее мощности серверы memcached из прилагаемого списка.   О методе усиления мощности DDoS-атак с помощью серверов memcached, получившем название Memcrashed, на прошлой неделе рассказали специалисты компании Cloudflare. В последнее время популярность данного метода стремительно растет. С его помощью была осуществлена новая рекордная DDoS-атака на GitHub мощностью 1,3 ТБ/с, а спустя четыре дня рекорд был побит неизвестными, атаковавшими неназванную компанию с мощностью 1,7 ТБ/с.   securitylab.ru

  Группа венгерских исследователей безопасности из CrySyS Lab и Ukatemi обнаружила в утекшем архиве инструментов Агентства национальной безопасности США (АНБ) набор скриптов и инструментов для сканирования, которые АНБ использует для отслеживания деятельности хакеров из других стран. Об этом сообщило издание The Intercept.   Согласно отчету исследователей, данные инструменты были разработаны специализированной командой АНБ, известной под названием Territorial Dispute (TeDi).   По словам экспертов, хакеры АНБ использовали эти инструменты для сканирования целевых систем на предмет «индикаторов компрометации» (indicators of compromise, IoC), чтобы защитить свои собственные операции от разоблачения, а также выяснить сферу интересов и методы хакерских группировок, связанных с правительствами иностранных государств.   «Когда АНБ взламывает устройства в Иране, России, Китае и других странах, его операторы хотят знать, не работают ли на данных устройствах другие хакеры, поскольку они могут украсть инструменты АНБ или шпионить за деятельностью АНБ в скомпрометированных системах», - следует из доклада.   Группа Territorial Dispute ведет базу данных цифровых подписей и инструментов различных хакерских группировок. Согласно данным исследователей, когда Shadow Brokers удалось взломать сети АНБ и похитить файлы в 2013 году, агентство отслеживало не менее 45 различных групп хакеров, связанных с правительствами других стран.   Группа исследователей планирует обнародовать данные о своих находках на саммите Kaspersky Security Summit в Канкуне (Мексика).   securitylab.ru

  Исследователи безопасности Шейла Берта (Sheila Berta) и Клаудио Караччиоло (Claudio Caracciolo) разработали набор инструментов для взлома и удаленного воздействия на подключенные автомобили (Connected Cars).   Исследователи намерены представить на предстоящей конференции Hack in the Box новый аппаратный бэкдор, получивший название Bicho, который может атаковать любые транспортные средства, оснащенные CAN (Controller Area Network) шиной. Бэкдор примечателен своим малым размером и способностью получать команды посредством SMS-сообщений. Bicho работает на микроконтроллере PIC18F2580.   Функционал бэкдора обеспечивается модулем SIM800L GSM, в который необходимо вставить GSM-чип с номером телефона для отправки бэкдору SMS-команд. Запрограммирован Bicho с помощью разработанного исследователями ПО с открытым исходным кодом Car Backdoor Maker.   Как пояснили исследователи, для использования Bicho необходимо сначала подключить его к компьютеру и с помощью Car Backdoor Maker загрузить на него различные полезные нагрузки, позволяющие управлять различными системами автомобиля. В частности, бэкдор может управлять фарами, положением дроссельной заслонки, тормозами и даже вывести машину из строя, отключив электронный блок управления. Помимо этого, Bicho способен атаковать автомобиль при превышении определенной скорости, достижении конкретного местоположения или израсходовании определенного количества топлива.   По словам экспертов, бэкдор подключается через расположенный под рулевым колесом порт OBD II и способен атаковать любой автомобиль, оснащенный CAN шиной вне зависимости от модели и производителя.   securitylab.ru

  Более половины почтовых серверов в Сети оказались под угрозой из-за критической уязвимости в агенте передачи сообщений Exim, используемом в операционных системах семейства Unix. Данное ПО работает на почтовых серверах и отвечает за передачу электронных сообщений. По состоянию на март 2017 года в интернете насчитывалось более 500 тыс. активных серверов Exim, а в ноябре того же года их число возросло до нескольких миллионов.   Уязвимость (CVE-2018-6789) была обнаружена исследователем безопасности из Тайваня Мех Чаном. Проблема позволяет злоумышленнику обмануть сервер Exim и выполнить вредоносные команды до того, как атакующему потребуется авторизоваться на сервере. Уязвимость представляет собой однобайтовое переполнение буфера в функции декодирования base64. Ошибка затрагивает все версии Exim.   Исследователь сообщил о проблеме команде Exim в начале февраля нынешнего года. Разработчики признали наличие уязвимости, отметив при этом, что не уверены в ее критичности, так как проэксплуатировать ошибку достаточно сложно. Команда уже выпустила обновление Exim 4.90.1, устраняющее проблему. Владельцам серверов рекомендуется установить его как можно скорее.   Мех Чан уже не впервые выявляет опасные уязвимости в Exim. В ноябре прошлого года он сообщил о двух проблемах, одна из которых позволяла выполнить вредоносный код на целевом сервере.   securitylab.ru

  Ученые Мичиганского университета продемонстрировали, как всего лишь один смарт-автомобиль способен обхитрить используемые в США «умные» системы управления дорожным движением. По словам исследователей, автомобиль может заставить систему «думать», будто на перекрестке образовался затор, и изменить алгоритм управления движением. Таким образом, злоумышленники способны косвенно замедлить скорость дорожного движения и даже заблокировать перекрестки.   В своих исследованиях ученые использовали технологию «подключенного автомобиля» (CV), набирающую популярность у автопроизводителей по всему миру. Понятие CV включает множество протоколов, однако в большинстве выпущенных в последние годы машин используются протоколы V2V, обеспечивающий взаимодействие автомобилей между собой, и V2I, ответственный за взаимодействие автомобиля с транспортной инфраструктурой.   Исследователи обнаружили уязвимости в реализации V2I под названием I-SIG – системы, используемой в Нью-Йорке, Тампе, Пало-Альто и других городах США. По их словам, в I-SIG отсутствует защита от спуфинга. Транспортное средство может отправлять системам управления движением на перекрестках повторяющиеся сообщения, выдавая себя за последнее прибывшее туда транспортное средствой.   На самом деле, трудно сказать, каким образом злоумышленники могут использовать обнаруженные исследователями уязвимости. Для того чтобы причинить ощутимый ущерб экономике и бизнесу, используя искусственно вызванные заторы на дорогах, им придется в течение продолжительного периода времени разъезжать по городу на тысячах «умных» автомобилей. Гораздо выгоднее для них было бы создать вирус, автоматически распространяющийся от машины к машине. В таком случае множество зараженных автомобилей ездили бы по всей стране, вызывая сбои в работе автоматических систем управления дорожным движением.   Как бы то ни было, исследование ученых Мичиганского университета демонстрирует недостатки в безопасности систем управления дорожным движением, приобретающих все большую популярность в городах США.   securitylab.ru