Новости про безопасность

Обнаружен зловред, заражающий UEFI

Исследовательская лаборатория Касперского выявила новый зловред, который может заражать компьютерную прошивку UEFI.

Названный MoonBounce, этот буткит отличается от большинства аналогов. В то время, как другие буткиты размещаются в разделе жёсткого диска ESP (EFI System Partition), где обычно и хранится некоторый код UEFI, этот зловред заражает память SPI, которая расположена на материнской плате.

Для гарантии удаления традиционных буткитов достаточно переустановить операционную систему с полным удалением всех разделов, однако в данном случае это не поможет. Чтобы избавиться от MoonBounce нужно физически заменить микросхему SPI, перепрошить её, или заменить материнскую плату.

По данным Kaspersky буткит MoonBounce является третьим UEFI-зловредом, который может существовать внутри памяти SPI. Ранее были выявлены буткиты LoJax и MosaicRegressor.

Кроме того, в январе исследователи также обнаружили буткиты ESPectre, FinSpy's UEFI bootkit и прочие. Это привело специалистов Kaspersky к выводу, что ранее невозможный тип вредоносного ПО теперь уже становится нормой.

Linux столкнулась с массовым ростом зловредов

Многие годы операционная система Linux считывалась достаточно безопасной в плане киберугроз. На ней работало очень мало вирусов, а если рассматривать Unix-системы, то их вообще единицы. Однако ситуация стремительно меняется, притом не в лучшую сторону. За прошедший год деятельность зловредов на Linux выросла на 35%.

Операционная система Linux получила широкое распространение среди устройств Интернета вещей. И по мере того, как всё большее число людей оснащают свои дома подобными устройствами, создавая смарт-окружение, в мире становится всё больше целей для кибератак, несравнимо больше, чем во времена одиноких энтузиастов на PC и системных администраторов.

Согласно опубликованным данным, устройства на Linux в 2021 подвергались атакам в основном со стороны трёх семейств зловредов: XorDDoS, Mirai, и Mozi. Все они объединяли уязвимые устройства IoT в бот-сеть для дальнейшего проведения атак типа DDoS и на крупные ресурсы.

Эти три типа зловредов заняли 22% среди всех на Linux IoT устройствах в 2021 году. Троян XorDDoS показал рост на 123%, по сравнению с 2020 годом. Mozi вырос в 10 раз. Наконец, случаи использования Mirai выросли на 83%. Он является прародителем для Sora (рост 33%), IZIH9 (39%) и Rekai (рост 83%).

Кроме использования устройств IoT для проведения DDoS атак, есть ещё одна сфера, для которой применяют взломанные устройства — майнинг криптовалют. И эту проблему не удастся решить в обозримом будущем.

Аналитики из Crowdstrike ожидают, что за три года к Интернету будет подключено более 30 миллионов устройств IoT. Это огромное количество потенциальных целей для злоумышленников, что означает необходимость в приложении больших усилий для защиты домашней инфраструктуры.

Xiaomi создаёт общий стандарт безопасности для своих устройств IoT

Компания Xiaomi выпустила новый стандарт Cyber Security Baseline for Consumer Internet of Things Device Version 2.0, который посвящён правилам безопасности при создании и эксплуатации устройств IoT.

Компания Xiaomi сама будет соблюдать эти правила, а также, по её словам, эти правила подходят и для других компаний, которые хотели бы защитить своих пользователей повышенными средствами безопасности и защитой приватности.

Новые инструкции устанавливают набор различных требований для аппаратного обеспечения устройств, ПО и методов коммуникации, используемых устройствами. По сути, они включают требования по безопасности данных и приватности, безопасности связи, аутентификации и контроля доступа, безопасной загрузки и удаления данных.

Конечно, зная, что правительство Китая следит за своими (а иногда и чужими) гражданами, многие могут усомниться в безопасности решения Xiaomi. Чтобы развеять сомнения компания напомнила, что её mesh-система AX3000 стала третьим продуктом компании в области IoT, который получил сертификат IoT Kitemark Certificate от Британского института стандартизации, что подтверждает «эксплуатационную и информационную безопасность и функциональность» её устройств IoT.

Raspberry Pi может выявлять хакерскую атаку «слушая» электромагнитные волны

Учёные из исследовательского института компьютерных наук и случайных систем обучили компьютер Raspberry Pi активно следить за хакерскими атаками на своих пользователей.

Учёные разработали, по сути, уникальное решение в области безопасности. Их система выявления зловредов на основе Pi не использует какое-либо ПО на машине пользователей, не изучает пакеты данных и никак не подключается к компьютеру. Вместо этого используется Raspberry Pi, которые анализирует электромагнитные волны, излучаемые компьютером.

Raspberry Pi на страже ПК

Создавая такую систему учёные присоединили Raspberry Pi к осциллоскопу (Picoscope 6407) и зонду ближнего поля для выявления электромагнитных полей. После чего они обучили этот одноплатный компьютер излучению, которое генерируется компьютером при исполнении безопасного и зловредного ПО, чтобы Pi мог сам выявлять потенциальные опасности. Исследователям пришлось загрузить огромное количество образцов ПО и собрать их электромагнитные образы. В результате Pi научили распознавать атаки с невероятной точностью в 99,82%.

Самым большим преимуществом данной системы является её полная автономность. Для выявления угроз не требуется никаких подключений к компьютерам, устройство совершенно независимо и является исключительно внешней системой мониторинга.

Прежде чем устройство будет готово к коммерческой реализации учёным предстоит ещё длительный процесс дополнительного обучения Pi, а также тестов на угрозах, которым Pi пока не обучен.

AV-TEST подтвердил высокую безопасность Windows Defender

Немецкий институт кибербезопасности AV-TEST опубликовал исследование домашних антивирусов для операционной системы Windows 10.

В тесте, проводившемся в октябре, принимали участие 21 антивирусная программа от различных разработчиков, включая Microsoft, с её Windows Defender.

Тестирование антивирусов для Windows 10

На радость Microsoft её «защитник» набрал высочайшие баллы, то есть 18 баллов из 18, войдя в группу лучших продуктов в области безопасности. К лучшим аналитики отнесли антивирусы, которые набрали как минимум 17,5 баллов.

Также в эту группу вошли антивирусы Avira, AVAST, AVG, Bitdefender, ESET и другие, многие из которых также распространяются бесплатно. Тестирование проводилось по трём критериям: защита, производительность и юзабилити, и по каждой из категорий можно набрать максимально 6 баллов.

Октябрьское тестирование антивирусов от AV-Test

На слайде ниже приведены результаты проверки лучших продуктов. Исходя из них можно заключить, что Windows Defender работает наравне с другими конкурентными решениями, а потому смысла устанавливать сторонний антивирусный продукт нет. С другой стороны, все популярные антивирусы работают одинаково эффективно, быстро и удобно, а потому закрадывается мысль о необходимости изменения методики тестирования.

Хакеров не интересует брутфорс длинных паролей

По информации компании Microsoft, собранной с серверов-ловушек, большинство хакеров пытаются взломать простые пароли, даже не связываясь с длинными.

По всей видимости хакеры даже не хотят заморачиваться, и в качестве своих целей не выбирают сложные длинные пароли, независимо от того, содержат ли они сложные символы. То, что смешивание чисел, маленьких и больших букв осложняет жизнь взломщику, известно годами. Большинство ресурсов даже не разрешает использовать «простые» пароли, состоящие лишь из букв. Но оказалось, что использование «какогонибудьзамысловатогопароля» из одних букв тоже достаточно эффективно, и хакеры скорее всего не станут его взламывать, а попробуют подобрать короткий пароль, типа «pArsew0rd».

Эту информацию опубликовал Росс Бевингтон, исследователь в области безопасности в Microsoft. Он сообщил, что после изучения миллиона брутфорс-атак на SSH за 30 дней в сети Microsoft, 77% попыток связаны с использованием паролей длиной от 1 до 7 символов. Пароли, длиной более 10 символов пытались взломать в 6% случаев.

Сам Бевингтон занимает в компании весьма интересную должность, которая называется Глава отдела дезинформации. Это значит, что у него довольно широкие полномочия и задачи, и среди них есть создание ловушек, законно-выглядящих систем, которые хакеры пытаются взломать, что позволяет изучать тенденции и применяемые пути взлома.

По интернету гуляет поддельный активатор Windows

Специалисты в области кибербезопасности из Red Canary в своём блоге рассказали о вредоносном инсталляторе KMSPico, который гуляет по Интернету. Этот фейковый активатор, среди прочего, крадёт учётные данные криптовалютных кошельков. Делается это при помощи криптобота.

Red Canary отмечают, что криптобот, поставляемый с этим ПО, может собирать информацию из следующих приложений:

Atomic cryptocurrency wallet.
Avast Secure web browser.
Brave browser.
Ledger Live cryptocurrency wallet.
Opera Web Browser.
Waves Client and Exchange cryptocurrency applications.
Coinomi cryptocurrency wallet.
Google Chrome web browser.
Jaxx Liberty cryptocurrency wallet.
Electron Cash cryptocurrency wallet.
Electrum cryptocurrency wallet.
Exodus cryptocurrency wallet.
Monero cryptocurrency wallet.
MultiBitHD cryptocurrency wallet.
Mozilla Firefox web browser.
CCleaner web browser.
Vivaldi web browser.

В этом списке есть много браузеров, но нет Microsoft Edge, что наверняка заставит Microsoft ещё больше рекламировать свой продукт и препятствовать работе конкурирующих решений.

Кошелёк криптовалюты

Приложение KMSPico, если вы вдруг не знали, является неофициальным активатором Windows и Office, который превращает пиратские копии в «легальные», эмулируя сервис Mircosoft Key Management Services (KMS).

Аналитики отмечают, что основанная проблема заключается в том, что этим активатором пользуются не только домашние пользователи, но и предприятия, где утечка данных особенно опасна.

Заразится криптоботом предельно просто. Достаточно просто установить KMSPico из поддельного инсталлятора. Поддельный инсталлятор содержит настоящую версию KMSPico, что приводит к абсолютной скрытности заражения. Ситуацию усугубляет и тот факт, что при поиске в Google огромное количество сайтов уверяет, что именно они публикуют официальную и самую свежую версию активатора, так что отличить подлинную от инфицированной версии практически невозможно.

DuckDuckGo остановит слежку Android-приложений за вами

Популярный поисковый движок DuckDuckGo специализируется на безопасности. Однако история поиска является не единственным способом построения вашего цифрового профиля.

Компания уже предлагает собственный браузер Privacy Browser, который блокирует различные трекеры на сайтах. Теперь же разработчики пошли ещё дальше, внедрив функцию под названием App Tracking Protection. Эта функция входит в состав браузера DuckDuckGo для Android, и по своей сути повторяет возможности новой функции iOS, позволяя напрямую блокировать слежку за пользователями сторонними приложениями, установленными на телефоне. Приложение DDG позволяет выявлять рекламные трекеры в других приложениях и прекращать передачу данных от них рекламным компаниям, включая Google и Facebook.

Браузер DuckDuckGo

Обновлённое приложение DuckDuckGo сможет предложить панель управления, где будет показано, какое приложение пытается передать данные слежения, с возможностью эффективной блокировки в реальном времени благодаря собственной работе в фоне. Периодически инструмент будет показывать обобщённый отчёт по заблокированным трекерам.

Блокировка трекеров в браузере DuckDuckGo

К сожалению, функция повышения приватности пока находится на этапе бета-тестирования и требует ручной настройки. Подписаться на ожидание этой функции можно в настройках браузера DuckDuckGo Android в разделе «Приватность» / «Защита от трекинга приложений».

AMD EPYC имеет 22 уязвимости безопасности

Новости о том, что в процессорах Intel выявлена очередная уязвимость, уже редко удивляет. При этом AMD таких проблем не имела. Отчасти это связано с популярностью. Рыночная доля Intel была намного выше, а потому всё внимание исследователей обращено именно на эти CPU.

Сейчас же популярность AMD выросла, процессоры AMD EPYC стали обычным делом в серверах, а потому вопросы безопасности резко обострились. И вот, компания AMD официально объявила о том, что её серверные процессоры EPYC обладают 22 уязвимостями безопасности, которые имеют средний и высокий уровни опасности.

Процессор AMD EPYC

Проблемы касаются всех трёх поколений процессоров AMD EPYC, правда, некоторые из них ограничены определёнными поколениями. Данные уязвимости были выявлены при помощи таких технологических гигантов, как Google, Microsoft и Oracle. Сами проблемы выявлены в таких узлах, как Platform Security Processor (PSP), System Management Unit (SMU), Secure Encrypted Virtualization (SEV) и других компонентах платформы.

К счастью, эти ошибки уже исправлены с помощью свежего обновления AGESA. Чтобы его применить пользователи материнских плат для EPYC должны будут обновить BIOS своих систем.

Компания AMD детально рассказала об этих уязвимостях на своём сайте.

Microsoft подписала драйвер-зловред FiveSys

Зловреды всегда несут опасность пользователям операционной системы. Однако худший вариант — если они получили на это разрешения от самих разработчиков. Такое произошло со зловредом-драйвером под названием FiveSys.

Исследователи в области безопасности из Bitdefender выявили новый зловред, который на самом деле является руткитом. Особенным его делает то, что он подписан самой Microsoft. Вредоносный драйвер FiveSys получил сертификат Windows Hardware Quality Labs (WHQL), после того, как компания внимательно проверила пакет драйвера, как и остальные, направляемые партнёрами по программе Windows Hardware Compatibility Program (WHCP).

Вирусы

Безопасники рассказали о действии выявленного руткита:

Цель руткита проста: он нацелен на перенаправление интернет-траффика инфицированных машин на специальный прокси, который содержит список из 300 доменов. Перенаправление работает как на HTTP, так и на HTTPS. Руткит устанавливает собственные корневой сертификат для перенаправления HTTPS. Таким образом, браузер не предупреждает об использовании неизвестного прокси-сервера.

Подпись и сертификат вируса FiveSys

Важно отметить, что FiveSys распространяется исключительно в Китае, что потенциально говорит о нацеленности зловреда на этот регион. Также исследователи сообщили, что руткит блокирует модификации реестра, чтобы не допустить аналогичные действия от конкурирующих зловредов.