Новости про безопасность

Скоординированная хакерская атака может стоить миру миллиарды долларов

Одна хорошо скоординированная хакерская атака, распространённая через уязвимые электронные почтовые ящики, может обойтись мировой экономике в сумму от 85 до 193 миллиардов долларов.

Таков результат анализа гипотетического сценария атаки, проведённого страховой компанией Ллойда. В заявлении говорится, что страховые претензии после такой атаки будут варьироваться в зависимости от приостановки деятельности бизнеса, уровня кибер-вымогательства, а также от затрат на реагирование.

Общая сумма претензий, выплачиваемых страховым сектором по этому сценарию, оценивается в размере от 10 до 27 миллиардов долларов США, исходя из лимитов политики в диапазоне от 500 тысяч до 200 миллионов долларов США.

Кибератака
Кибератака

Стресс-тест показал, насколько плохо компании застрахованы от такого рода убытков. Атака может затронуть несколько секторов по всему миру, при этом наибольшие потери будут нанесены в сфере розничной торговли, здравоохранения, производства и банковской деятельности.

Что касается регионов, то под большим ударом окажутся экономики, в которых доминируют сервисы, особенно экономики США и стран Европы. Они окажутся более уязвимыми к атаке и понесут большие потери.

На Google Play обнаружен поддельный криптокошелёк

В Google Play Store опять выявлено вредоносное ПО. На этот раз приложение воровало криптовалюту, обманом заставляя пользователей переводить деньги на кошелёк мошенников.

Как известно, адреса криптокошельков представляют собой длинные строки символов. И конечно, чтобы не вводить их вручную, люди просто копируют и вставляют длинный адрес. Этим и пользуется зловред, просто подменяя скопированный адрес на один из кошельков мошенников, в надежде, что человек не заметит подмены.

Иконка Google Play Store
Иконка Google Play Store

Зловреды, которые работают таким образом — не новы. В позапрошлом году ПО такого же действия было выявлено для Windows, а в прошлом — для Android в одном из сторонних магазинов. И только впервые подобный зловред просочился на Google Play Store.

По данным ESET, приложение маскировалось под другое средство работы с криптовалютами под названием MetaMask, которое является честным средством для работы с Ethereum. Однако MetaMask существует лишь в виде аддона к популярным браузерам, его не существует в виде отдельного приложения.

Настоящий MetaMask
Настоящий MetaMask

Поддельный MetaMask появился на Play Store 1 февраля. После обращения ESET компания Google удалила его, однако, сколько людей успело им воспользоваться и каковы суммы ущерба, вряд ли кто-то узнает.

Зловред Android прячется от исследователей, используя датчики движения

Вредоносные программы начинают вызывать серьёзное беспокойство, поскольку развивая их, авторы применяют всё более сложные и скрытые методики.

Исследователи Trend Micro нашли пару вредоносных инструментов для Android — Currency Converter и BatterySaverMobi, которые выполняют свою вредоносную функцию только, если устройство движется.

Эта техника съёма данных с датчиков движения позволяет прятать от исследователей свой противоправный функционал, поскольку обычно исследование приложений выполняется в эмуляторе, лишённом этих датчиков.

Болезненный Android
Болезненный Android

Выявленные безопасниками приложения снимают данные с датчиков движения, таким образом определяя, что они стоят на настоящем телефоне. После подтверждения, они обманным путём устанавливают зловред Anubis, либо иной вредоносный пакет, маскируя его как системное обновление.

Примечательно, что этот процесс также скрытый. «Одним из способов, которым разработчики прятали вредоносный сервер, стало кодирование страницы запроса в Telegram и Twitter. Дроппер банковского зловреда будет запрашивать Telegram или Twitter после получения разрешения на запуск на устройстве» — отметили в Trend Micro. Другим способом установки зловреда стало старое (не)доброе поддельное сообщение об обновлении.

Всё это в очередной раз указывает, что нам нужно проявлять особое внимание, устанавливая приложения и давая им разрешения на дополнительные действия.

Обнаружена база утечек личных данных объёмом 87 ГБ

Трой Хант, владелец сайта Have I been Pwned, обнаружил крупнейшую базу учётных данных, среди всех продаваемых в даркнете.

Эта база имеет объём 87 ГБ и содержит 770 миллионов адресов электронной почты и паролей. В виду её большого объёма база получила имя «Collection #1».

Хант заявил: «Всего есть 1 160 253 228 уникальных комбинаций адресов электронной почты и паролей. Это относится к паролю с учетом регистра, но к адресу электронной почты без учёта регистра. Она также включает некоторый мусор, потому что хакеры — это хакеры, они не всегда аккуратно форматируют свои дампы данных легко понимаемым способом».

Утечка данных
Утечка данных

Он добавил, что всего в базе 772 904 991 уникальных адресов. «Это число делает её единственной крупнейшей утечкой, загруженной на HIBP». Что касается паролей, то Collection #1 содержит 21 222 975 записей, и это после очистки данных от фрагментов SQL.

Хант отметил, что многие записи можно легко распознать в других утечках, но есть и много таких, которые раньше нигде не всплывали. Такие утечки очень опасны, поскольку открывают злоумышленникам доступ к почте, которая часто используется для восстановления паролей других учётных записей. Наибольшему риску подвергнуты те, кто использует один пароль в нескольких учётных записях.

Обнаружен первый вирус UEFI

Эксперты в области информационной безопасности, обследуя предприятие Sednit, выявили первый экземпляр руткита, нацеленного на Windows Unified Extensible Firmware Interface.

Фредерик Вахон, исследователь вредоносного ПО в ESET, опубликовал технический отчёт по этому руткиту, назвав уязвимость «значительной».

Поражение UEFI означает, что зловред может выживать во флэш-памяти материнской платы, оставаясь неуязвимым и скрытым при переустановке ОС. При этом впервые выявлен активно действующий зловред такого типа, хотя возможность его существования предполагалась ещё на этапе разработки концепции UEFI.

Руткит
Руткит

Руткит получил имя LoJax. Он является модифицированной версией утилиты LoJack от Absolute Software. Эта утилита, внедряясь в UEFI, предназначена для поиска украденных ноутбуков и позволяет тайно отследить местоположение устройства. В рутките применяется код утилиты образца 2009 года, который имел ошибки, позволившие Sednit получать доступ к загрузке ПО восстановления, для чего потребовалось изменить единственный байт.

Цепь заражения традиционна. Атакующие через фишинг принуждают пользователя запустить файл rpcnetp.exe, который затем добирается до браузера Internet Explorer, используемого для связи с доменами конфигурации.

Вахон пояснил: «Как только я захожу на машину, я могу использовать этот инструмент для размещения руткита в UEFI». Хакерский инструмент имеет привилегии поставщика прошивки, что позволяет удалённо перешить BIOS. Он добавил: «Руткит UEFI расположен во флэш-памяти в зоне BIOS, ответственной за последовательный интерфейс (SPI)».

Хакеры воспользовались уязвимостью домашних сетей для контроля над телевизорами

Шведский видеоблогер PewDiePie, известный обзорами видеоигр, получил небольшую помощь от группы хакеров, которые вывели его канал на домашние устройства с поддержкой Chromecast.

Атака CastHack была проведена двумя хакерами HackerGiraffe и j3ws3r. Первый из них через Twitter пояснил, что CastHack пользуется доступом у тех пользователей, которые включили сервис UPnP (Universal Plug'n'Play) в своих роутерах, пробросив специфичные порты из внутренней сети в Интернет.

Заставка-предупреждение о CastHack
Заставка-предупреждение о CastHack

Порты с номерами 8008, 8009 и 8443 обычно используются смарт ТВ, Chromcasts и Google Home для обеспечения различного функционала. Через эти порты пользователи могут отправлять команды со своих смартфонов на эти устройства для удалённого конфигурирования. Однако при неверной настройке эти порты становятся доступны всем.

Вебсайт, стоящий за атакой, подсчитал количество открытых телевизоров. Их количество перевалило за 3000, и все они посмотрели сообщение PewDiePie. Хакеры рекомендовали пользователям отключить UPnP в роутерах или запретить проброс портов 8008, 8009 и 8443.

Хакеры отметили, что таким образом «хотели помочь вам, а также любимым влогерам, в основном PewDiePie», — добавив, «Мы только пытаемся защитить и проинформировать вас об этой уязвимости до того, как кто-то реально воспользуется ею».

USB-C скоро получит дополнительную безопасность

Устройства с USB зарядками широко распространены и универсальны, но они могут служить целью для различных уязвимостей. Например, заряжая телефон в неизвестном месте можно легко считать с него данные или заразить вирусом.

Решения этой проблемы нет. Несколько лет назад мы писали о USB-презервативе, однако вряд ли обычный пользователь станет носить с собой дополнительный гаджет для безопасной подзарядки телефона в аэропорту или торговом центре.

Штекер USB Type-C
Штекер USB Type-C

Кардинально решить проблему должна помочь новая программа аутентификации USB Type-C, которую начал разработчик стандарта USB Implementers Forum. Программа определяет оптимальные средства криптографической аутентификации для устройств USB-C и зарядных станций. Любая хост-система, использующая данный протокол, сможет подтвердить подлинность устройства или источника питания, включая возможности и дескрипторы, прямо в момент подключения. Так что, если вы хотите зарядить телефон в общественном месте, вы можете быть уверены в безопасности процесса.

Ваш телефон может применять политики, позволяющие лишь зарядку от сертифицированных зарядных устройств. Компании же могут устанавливать политики для ПК, позволяя доступ лишь к сертифицированным USB накопителям.

На данном этапе программа является рекомендательной, однако её создание говорит о будущих намерениях USB-IF по продвижению «единого кабеля будущего».

Распознавание лица в Android можно обмануть 3D моделью

Технологический мир пытается найти реальную альтернативу паролям. Идеальной технологией считали распознавание лица, но пока она далека от активного использования, поскольку журналист из Forbes сумел обмануть её, напечатав модель своей головы на 3D принтере.

Томас Брюстер напечатал свою голову на 3D принтере и протестировал систему распознавания лица на четырёх телефонах с Android и iPhone X.

Из этой пятёрки только iPhone X не удалось одурачить, а вот устройства с Android открылись сразу же. Компания Apple возлагала на распознавание лиц большие надежды и вкладывала большие ресурсы. И сейчас компания готова противостоять хотя бы самым простым способам обмана.

Манекены
Манекены

В то же время Android больше полагается на сканер отпечатков пальцев. Посмотрите на Pixel 3. В нём нет распознавания лица по умолчанию, но зато его добавили в свои флагманские устройства Huawei, Samsung и OnePlus. Но работает она не так хорошо, как у Apple.

Не секрет, что распознавание лица пока находится на ранних этапах освоения, чем активно пользуются правоохранительные органы.

Microsoft готовит песочницу для безопасного запуска подозрительных приложений

Компания Microsoft в попытках обезопасить пользователей при запуске неизвестных exe-файлов, решила создать в Windows 10 песочницу.

Опытные пользователи для таких целей создают виртуальные машины, но если вы не хотите с ними заморачиваться, то у Microsoft вскоре будет готовое решение.

Скриншот Windows Sandbox
Скриншот Windows Sandbox

Среда Windows Sandbox создаётся безопасной и легкодоступной, а после закрытия теста приложения, вся песочница уничтожается. Никаких виртуальных машин для этого не потребуется, однако виртуализацию придётся включить в BIOS компьютера. Песочница должна войти в состав Windows 10 Pro или Windows 10 Enterprise, и, очевидно, нацелена на опытных домашних пользователей и предприятия.

В ходе работы Windows Sandbox будет каждый раз создавать новую легковесную виртуальную машину (порядка 100 МБ), в которой и будет запускаться неизвестное приложение. В компании будут использовать собственный гипервизор для создания отдельного ядра, изолированного от основного ПК. Тестеры Windows 10 смогу присоединиться к проверке новой функции начиная со сборки 18305.

Выявлен зловред Android, ворующий деньги с PayPal

Вредоносное ПО часто пытается украсть деньги, однако исследователи из ESET выявили подлое приложение Android, которое ворует деньги со счёта PayPal даже при двухфакторной аутентификации.

Приложение Optimization Android, описываемое как средство уменьшение энергопотребления, на самом деле ничего не оптимизирует, а просто закрывается после запуска. Однако остаётся фоновым процессом и ждёт подходящего момента.

Приложение Optimization Android
Приложение Optimization Android

При установке приложение просит доступ к сервисам Android Accessibility. Это разрешение позволяет вредоносному приложению отслеживать нажатия сенсорного экрана. И когда запускается PayPal, зловред просто перехватывает все нажатия, узнавая логин, пароль и даже код подтверждения. После этого приложение за 5 секунд снимает со счёта деньги и переводит на кошелёк хакера.

При тестировании приложение пыталось угнать 1000 евро, но эта сумма может меняться в зависимости от страны.

В ESET отмечают, что атака будет вестись до тех пор, пока будут деньги на счету, либо пока будут деньги на привязанной к счёту карте. Если этого мало, то зловред также может изменять контакты, совершать и перенаправлять вызовы и даже перехватывать и удалять SMS.

Исследователи отмечают, что Optimization Android выявлен только на альтернативных площадках, однако в Google Play были найдены другие приложения с аналогичным функционалом.