Хакеры взломали сайт знакомств и похитили сведения о 10 млн россиян

Автор сообщения потребовал пожертвования в Bitcoin в обмен на большее количество данных: чем больше криптовалюты получит хакер, тем больше данных он пообещал обнародовать. Cудя по всему, вначале он получил достаточно денег: в тот же день он опубликовал еще одну порцию учетных данных.

Dropbox — один из самых популярных в мире облачных сервисов хранения данных. Он интегрируется практически со всеми операционными системами и работает с любыми компьютерами и мобильными устройствами.

Как именно хакер получил доступ к логинам и паролям, остается неизвестным, однако, по словам представителей Dropbox, сам сервис не взламывали.

«Эти имена пользователей и пароли были, к сожалению, украдены с других сервисов и использованы в попытках подключиться к аккаунтам Dropbox, — говорится в сообщении компании. — Мы ранее обнаружили все эти атаки, и подавляющее большинство опубликованных паролей уже не актуальны».

По мнению ведущего вирусного аналитика компании ESET Russia Артема Баранова, не доверять словам Dropbox нет повода. «Как правило, если сервис реально скомпрометирован, компании публикуют официальное сообщение и предупреждают пользователей о необходимости смены пароля, чтобы минимизировать потери. В случае с Dropbox мы этого пока не наблюдали», — рассказал он «Газете.Ru».

С другой стороны, сервисы не всегда реагируют на такие события оперативно, признает эксперт: как показал недавний эпизод с компрометацией серверов eBay, подобные уведомления могут быть разосланы только спустя несколько месяцев с момента компрометации.

Несмотря на это, по информации портала The Next Web, Dropbox сбросила пароли учетных записей, упомянутых в посте на Pastebin. Если пользователи сервиса хотят еще надежнее защититься от возможной утечки, они могут не только сменить пароль, но и воспользоваться двухступенчатой аутентификацией, привязав свой аккаунт Dropbox к номеру телефона.

Любопытно, что данные об учетных записях Dropbox были опубликованы на следующий день после того, как экс-сотрудник АНБ Эдвард Сноуден в интервью рассказал о том, что пользоваться этим облачным хранилищем небезопасно.

«Вы должны избавиться от Dropbox, потому что он не поддерживает шифрование. Тем, кто волнуется о своей безопасности, следует рассмотреть альтернативы, например SpiderOak», — заявил Сноуден.

Пользователи зачастую недооценивают интерес хакеров к их личным данным и относятся к задаче выбора пароля с безразличием, отмечает антивирусный эксперт «Лаборатории Касперского» Сергей Ложкин. «Однако использование одного и того же или похожих паролей для доступа к различным онлайн-сервисам означает, что в случае утечки данных одного аккаунта пользователи рискуют потерять доступ и ко всем другим», — констатирует он.

Чтобы защитить себя от утечки, Ложкин рекомендует интернет-пользователям по возможности использовать двухфакторную авторизацию, регулярно менять пароли и следить за тем, чтобы они были уникальными и сложными, а также наблюдать за активностью собственных аккаунтов и при любых подозрениях обращаться в службу поддержки онлайн-сервиса.

Обвинения по 18 пунктам хакерам предъявили в апреле в суде штата Делавэр, однако обнародованы они были только 30 сентября. В ходе обысков у хакеров изъяли $620 тыс. наличными и другую собственность. Финальное слушание по делу состоится в январе 2015 года, на сегодняшний день расследование продолжается.

Двое подозреваемых признали свою вину. Один из них, 22-летний гражданин Канады Дэвид Покора, может стать первым иностранным гражданином, попавшим в тюрьму за взлом американских компаний для кражи секретной коммерческой информации.

Как сообщается в обвинительном заключении, члены этой международной хакерской группировки украли секретные данные, использовавшиеся в высокотехнологичных американских продуктах, начиная от ПО для тренировки американских солдатов до игр Xbox, которые развлекают миллионы пользователей во всем мире, — говорит помощник генерального прокурора Лесли Колдуэлл. — Американская экономика лидирует в сфере инноваций. Но американские инновации ценны только тогда, когда они защищены. Сегодняшние признания вины показывают, что мы будем защищать интеллектуальную собственность Америки от хакеров вне зависимости от того, отсюда они осуществляют взломы или из-за рубежа».

Взломы компьютерных сетей и цифровая кража персональных данных и интеллектуальной собственности стали слишком распространены, считает генеральный прокурор США Чарльз Оберли. «Это не безобидные преступления, и те, кто их совершает, не должны считать, что они находятся в безопасности и недосягаемы для нас», — предупреждает он.

Как отмечают опрошенные «Газетой.Ru» эксперты по кибербезопасности, судить о способностях хакеров, зная немногим более, чем просто названия взломанных ими компаний, сложно. Большее значение в этом вопросе имеет то, какие средства защиты информации применялись пострадавшими организациями.

«Теоретически, если доступ к корпоративным данным защищен только обычными паролями (легкими для подбора или перехвата) и используются незащищенные каналы связи, получить информацию при желании сможет любой студент технического вуза», — рассуждает руководитель отдела технического и маркетингового сопровождения ESET Russia Алексей Оськин.

Если же компания применяла средства шифрования, двухфакторную аутентификацию и защищенные каналы связи, украсть ее данные в одиночку без подготовки практически невозможно, говорит Оськин:

«В этом случае можно говорить о серьезной работе по изучению системы безопасности и поиску уязвимостей. Такая работа требует высокой квалификации — исполнители должны разбираться в средствах защиты информации, чтобы их обойти».

Для проникновения использовались SQL-инъекции с последующей кражей паролей сотрудников — это наиболее распространенный, древний, но все еще действенный способ проникновения в компании, чья сетевая защита находится на крайне низком уровне, отмечает главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. «Впрочем, для игровых компаний такие случаи пренебрежения усиленными мерами безопасности, увы, норма», — констатирует он.

Также эксперт обращает внимание на тот факт, что обычно в таких атаках традиционно обвиняют китайских хакеров, а тут внезапно оказались «свои» же.

Блокировка продлится до тех пор, пока владельцы аккаунтов не сменят пароли. Об этом сообщил в своем твиттере пресс-секретарь соцсети Георгий Лобушкин.

«Речь не идет о взломе инфраструктуры, — заявили «Газете.Ru» в пресс-службе «Яндекса». — Данные стали известны злоумышленникам в результате фишинга или вирусной активности на зараженных компьютерах некоторых пользователей. Это не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени».

По мнению руководителя группы исследования уязвимостей «Лаборатории Касперского» Вячеслава Закоржевского, ситуация с Mail.Ru абсолютна идентична ситуации с «Яндексом». «Мы предполагаем, что эти почтовые адреса собирались на протяжении большого промежутка времени с помощью традиционных методов мошенников: фишинг, вредоносное ПО, подбор пароля и т.п. Т.е. уместнее спрашивать, почему базу аккаунтов Mail.Ru выложили почти сразу же после базы «Яндекс.Почты»? Возможно, что хакеры таким образом соревнуются, у кого больше база похищенных почтовых аккаунтов», — заявил эксперт.

Специалисты по кибербезопасности рекомендуют читателям «Газеты.Ru» воспользоваться такими сервисами, как yaslit.ru, которые позволяют проверить, находится ли учетная запись в опубликованной базе. Если да, то следует немедленно поменять пароль и активировать двухфакторную авторизацию.

В пресс-службе Mail.Ru корреспонденту «Газеты.Ru» сообщили, что более 95% из 4,5-миллионной базы аккаунтов уже проходили в системе Mail.Ru как подозрительные, что означает, что они ограничены в отправке почты, а их владельцам рекомендовали сменить пароль.

Представители Mail.Ru считают, что опубликованная база аккаунтов и паролей старая и собрана из фрагментов, т.е. из нескольких баз, которые были украдены у пользователей в разное время и, скорее всего, разными способами (фишинг, вирусы).

При этом довольно большой процент паролей из списка Mail.Ru уже неактуален, то есть владельцы аккаунтов уже успели их сменить.

В компании заявили, что располагают системой, которая анализирует действия каждого аккаунта, начиная с регистрации по целому ряду критериев. В системе у каждого аккаунта есть динамический рейтинг. Как только рейтинг падает ниже определенного параметра, к аккаунту начинают применяться разные санкции, в том числе рекомендация сменить пароль.

«Таким образом, владельцы 95% ящиков, пароли для которых до сих пор актуальны, уже давно получили от нас уведомление, что с их ящика зафиксирована подозрительная активность и что им нужно как можно скорее сменить пароль, чтобы снять ограничение на использование почтового ящика. Что касается оставшихся 5%, которые оказались неизвестны нашей системе, они были добавлены в базу подозрительных сегодня и либо уже получили такое уведомление, либо получат его до конца сегодняшнего дня», — сообщили корреспонденту «Газеты.Ru» в пресс-службе компании.

Региональный директор по России и странам СНГ компании McAfee Павел Эйгес также считает, что речь не идет о хищении базы учетных записей или ее части.

«Скорее всего, мы имеем дело с результатом долговременной работы различных зловредных программ по хищению учетных данных пользователей популярных почтовых сервисов. С точки зрения технологии реализации мы не видим в этих инцидентах ничего нового — кейлогеры существуют не один десяток лет. Обращает на себя внимание, конечно, масштаб, хотя и он не является рекордным

Однако, учитывая степень проникновения в нашу жизнь информационных технологий и то, что для многих из нас почтовый ящик, по сути, является чем-то вроде паспорта в интернете, то такого рода инциденты имеют очень серьезное значение. Будем надеяться, что внедрение двухфакторной авторизации и более серьезное отношение пользователей к политике смены паролей позволят свести к минимуму ущерб от подобного рода инцидентов в будущем, ведь то, что подобные инциденты продолжаться, увы, сомнений ни у кого нет», — считает Эйгес.

Анализируя основные причины взлома почтовых аккаунтов, специалисты выделили несколько основных причин: фишинг, вирусы, простые пароли, одинаковые пароли на разных сервисах. Ранее угроза исходила также от публичных сетей Wi-Fi, однако сейчас практически все почтовые службы перешли на безопасный протокол https.

Сначала полиция в Санкт-Петербурге задержала жителя Кингисеппа Ленинградской области. Молодой человек 1989 года рождения, который, предположительно, выполнял роль хакера, и уже имеющий судимость за мошенничество с банковскими картами, сейчас находится под стражей.

"Под видом клиента фирм, на их электронную почту он направлял информационные письма, в которых содержались вирусные программы. С помощью этих программ он получал пароли для беспрепятственного входа в системы бронирования и приобретал от имени и за счет организаций электронные железнодорожные билеты", - поясняет пресс-служба ведомства.

Второй предполагаемый участник банды - 28-летний житель Москвы - сейчас задержан по подозрению в совершении аналогичных преступлений в Барнауле, Новосибирске и Красноярске. Третий фигурант, уроженец Астраханской области, по версии следствия, руководил бандой. Сейчас он находится в федеральном розыске.

Всего, по версии следствия, в банду входили порядка 30-ти лжепокупателей билетов. А руководили ими четыре человека в возрасте от 21 до 28 лет.

Целями хакерской группировки, которой дали название песчаного червяка, или пескожила (Sandworm), стали как минимум один американский ученый, специализирующийся на украинских вопросах, а также участники международной конференции по вопросам внешней безопасности GLOBSEC, которая прошла в Братиславе с участием лидеров и глав МИД европейских государств.

Шпионаж был основан на так называемой уязвимости нулевого дня — когда об атаках или утечках становится известно лишь после того, как производитель программного обеспечения выпустит обновления для исправлений ошибок.

Раскрытие кампании стало возможным в рамках работы iSIGHT Partners по отслеживанию растущей хакерской активности со стороны России.

Атака была частью двухлетней российской кампании, отражающей растущие аппетиты России в плане разведки за США и ЕС в ответ на их действия на Украине и по всему миру», — пишет Bloomberg. В поле зрения специалистов iSIGHT Partners российские хакеры попали в конце 2013 года, следы деятельности ячейки прослеживаются с 2009 года. Хакеры используют метод так называемого направленного фишинга — рассылки вредоносных прикрепленных файлов, преимущественно в формате PowerPoint.

Стоит жертве хакеров открыть приложенный файл, как система запускает исполняемый файл, открывающий брешь в безопасности.

Отмечается, что многие утечки были связаны с конфликтом на Украине и многими другими геополитическими вопросами, связанными с Россией.

Совсем недавно эти хакеры стали применять в своей работе распространенный для слежки вирус BlackEnergy, который предположительно использовался летом 2008 года во время российско-грузинского военного конфликта при кибератаках на грузинские государственные интернет-сайты.

В минувшем августе слежка за хакерами показала, что «пескожил» особенно оживился, используя фишинговые атаки против нескольких украинских организаций и как минимум одной американской во время саммита НАТО в Уэльсе. Сообщается, что хакеры использовали уязвимости всех ОС, серверных операционных систем Windows Server 2008 и 2012, кроме XP.

«Мы тут же оповестили пострадавшие стороны и наших клиентов среди множества правительственных структур и начали работать с Microsoft по отслеживанию этой кампании и разработке «заплаток», — говорится в сообщении iSIGHT Partners.

Но программисты уверены: несмотря на то что уязвимость существует почти во всех версиях Windows и представляет потенциальную угрозу для миллионов пользователей, анализ показал, что о «дырах» известно не многим, и проникновение сквозь них осуществлялось преимущественно русским червем.

Две особенности работы червя убедили специалистов в том, что он имеет российские корни и поддерживать его могут правительственные структуры. Во-первых, файлы-приманки, которыми привлекают потенциальных жертв, написаны на русском языке. И во-вторых, названия этих файлов говорят о том, что они должны представлять интерес для недругов России. Так, один из подобных файлов обещал показать список пророссийских «террористов», который откроется при просмотре, сообщает издание Wired.

«Можно подумать, что это обыкновенные жулики. Но они не охотились за личными данными. Их интересовало то, что могли использовать лишь избранные люди. И это — относящаяся к вопросам безопасности и дипломатическая информация, а также разведданные НАТО, Украины и Польши», — считает Джон Халтквист, высокопоставленный сотрудник iSight Partners.

Данная схема будет удобна как для потребителя (не нужно думать о том, какой продукт выбрать, покупать различные версии для каждого девайса), так и для Symantec. Производитель сокращает издержки за счет необходимости продажи одного, а не 9 приложений, кроме того, ему не нужно будет ежегодно «упрашивать» пользователя купить новую версию своей программы — раз в год у того будет списываться разовый платеж за продление доступа к сервису.

Hi-Tech.Mail.Ru получил официальный комментарий компании Symantec:

Мы в Norton делаем системы безопасности проще, чем когда-либо, потому что сейчас это важно, как никогда. Мы переходим от девяти разных продуктов к одному флагманскому продукту — Norton Security, который позволит пользователям упростить выбор, применение и поддержку защиты их устройств. В рамках сервиса по подписке (с опцией резервного копирования), новый продукт будет обеспечивать защиту всех устройств пользователя. Этот переход в стратегии показывает, что Norton ставит потребности потребителя на первый план: вместо того чтобы покупать защиту для отдельного устройства, мы помогаем пользователям приобрести защиту для себя, охватывающую весь спектр устройств. Мы будем предлагать наивысший уровень безопасности для всех клиентов вместе с возможностью установки нашего продукта на любое из возможных устройств (PC, Mac или мобильное устройство). Подробное описание функциональности, цены и дополнительная информация о предложениях Norton Security будут объявлены осенью.

По данным полицейских, распространением программы занимался ее создатель - безработный житель подмосковного города Домодедово. Задержанный использовал интернет и круг знакомств для привлечения клиентов и продавал программу по цене от 30 до 150 тыс. рублей.

Компьютерная техника, мобильные телефоны и электронные носители, изъятые в ходе обыска в квартире мужчины, "полностью изобличают задержанного в совершении правонарушения", сообщает МВД.

В отношении разработчика возбуждено уголовное дело по статье "Создание, использование и распространение вредоносных программ" (статья 273 УК РФ). Сейчас следователи выясняют, сколько подозреваемый заработал на своей программе.

"Gameover Zeus — самый сложный и вредный ботнет, который мы когда-либо встречали", — сказал Коул. По его словам, злоумышленники перехватывали пароли и другую информацию малого и среднего бизнеса и использовали ее, чтобы пересылать с помощью компьютера жертвы деньги на иностранные компьютеры, контролируемые злоумышленниками.

"Индивидуальные денежные переводы, проведенные в Gameover Zeus, в настоящее время превышают 1 миллиард долларов. По крайней мере одна транзакция составила 6,9 миллиона долларов. Эксперты по безопасности оценивают, что от 500 тысяч до 1 миллиона компьютеров по всему миру были заражены Gameover Zeus", — сказал Коул.

РИА Новости http://ria.ru/world/20140602/1010397049.html#ixzz3PyAVbVdq

"Общие потери по всему миру неизвестны, но мы думаем, что ущерб превышает 100 миллионов долларов только для граждан США", — сказал заместитель генерального прокурора США.

По его словам, помимо ботнета Богачев также создал вирусную сеть Cryptolocker. "Это наиболее сложная форма вируса, созданного с целью получения выкупа, которую мы когда-либо видели", — заявил Коул. По его словам, вирус блокировал компьютеры и все файлы на них, требуя выкуп в виртуальной валюте биткоин в размере сотен долларов. "На апрель 2014 Cryptolocker атаковал более 200 тысяч компьютеров, и более половины подвергшихся нападению находятся на территории США", — сказал он. По его словам, злоумышленники собрали выкуп за разблокировку компьютеров в размере более 27 миллионов долларов.

РИА Новости http://ria.ru/world/20140602/1010397049.html#ixzz3PyAeMZlb

Прокуроры США говорят, что шпионы контролировали до полумиллиона компьютеров, имея доступ к фото, видео и другим файлам.

«Всего за 40 долларов программа Blackshades позволяла любому человеку проводить информационную атаку, красть собственность и вторгаться в личную жизнь другого человека», - сказал Прит Бхарара.

Один из разработчиков программы – 24-летний швед Алекс Юсел. Его арестовали в Молдове в ноябре прошлого года. Теперь хакера должны экстрадировать в США.

Дорин Речан, Министр внутренних дел Молдовы: «Завтра состоится судебное заседание. После этого мы сможем предоставить всю необходимую информацию».

В разоблачении хакерской сети участвовали правоохранительные органы Нидерланд, Бельгии, Франции, Германии, Великобритании, США и Молдовы.

Специалисты международной компании по производству антивирусных программ Symantec охарактеризовали вирус Regin как самую совершенную шпионскую программу, известную на настоящий момент, передает ТАСС со ссылкой на Financial Times.

Эксперты Symantec сравнили Regin с другим шпионским вирусом Stuxnet, который серьезно затормозил ядерную программу Ирана в 2010 году. Однако Regin совершеннее: «В некоторых отношениях это более совершенная программа, чем вирус Stuxnet, который был разработан хакерами, работающими на правительства США и Израиля, в 2010 году для подрыва иранской ядерной программы».

«Напоминающий Stuxnet вирус занимается сбором информации, его называют самой изощренной вредоносной программой в мире, его целью являются российские и саудовские телекоммуникационные компании», – добавили специалисты.

Известно, что Regin в основном поражал компании связи и интернет-провайдеров в России, Саудовской Аравии, а также в Мексике, Ирландии и Иране.

Каким образом вирус поражает корпоративные системы, эксперты пока не поняли. Однако они считают, что Regin позволяет прослушивать разговоры по мобильным телефонам крупных мировых операторов, а также просматривать электронную почту на серверах компании Microsoft.

При этом в компании Symantec не исключили, что вредоносной программой может управлять одна из западных спецслужб.

«Мы, возможно, наблюдаем работу какой-то западной спецслужбы, – отметила директор одного из отделов компании Орла Кокс. – Иногда после вируса практически ничего не остается, никаких следов. Иногда «инфекция» исчезает полностью, сразу после того, как вы замечаете ее. Это показывает, с кем вы имеете дело».

Основными мишенями вредоносной программы были не только интернет-провайдеры и компании в сфере телекома, но и представители гостиничного бизнеса, правительственные учреждения, научно-исследовательские институты и частные лица, добавляет Forbes.

Большинство кибератак Regin пришлось на Россию – 28%. Чуть меньше – 24% – на Саудовскую Аравию. По 9% – на Ирландию и Мексику. По 5% – на Индию, Афганистан, Иран, Бельгию, Австрию и Пакистан.

По оценке специалистов, работа хакеров над этим вирусом велась на протяжении нескольких месяцев или даже лет. А использование его для сбора информации началось не позднее 2008 года.

Добавим, что источник газеты Financial Times в одной из западных спецслужб уже прокомментировал подозрения в причастности разведчиков. Он заявил, что говорить о происхождении и целях вируса Regin пока сложно. Однако то, что вирус использовался в конкретных государствах, не исключает версию о том, что он был разработан именно там.

Как сообщил газете ВЗГЛЯД руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского» Костин Раю, вирус, о котором идет речь, действительно очень опасен.

«Regin обладает возможностью таргетированно заражать целые корпоративные сети для перехвата управления на всех возможных уровнях. Вредоносная программа ворует конфиденциальную информацию и обладает способностью осуществлять разнообразные сценарии и виды атак», – сказал он.

По словам эксперта, в некоторых чертах Regin напоминает другое «хитроумное вредоносное ПО» под названием Turla. С помощью Turla злоумышленникам удалось заразить несколько сотен компьютеров в 45 странах, а главными его целями были государственные учреждения, посольства, военные, образовательные, исследовательские и фармацевтические компании.

«Схожести наблюдаются в использовании виртуальной файловой системы и развертывании коммуникационных модулей для связи подсетей. Однако в вопросе гибкости, организации кода, применения техник скрытия своего присутствия и реализации модульной системы Regin является на данный момент самой сложной и изощренной вредоносной платформой, которую мы когда-либо изучали», – отметил Раю.

Директор технического департамента компании по информационной безопасности ARinteg Сергей Трещалин рассказал газете ВЗГЛЯД: «Regin представляет собой многоступенчатую модульную угрозу, используемую для проведения направленных атак с использованием «уязвимостей нулевого дня», отличительной особенностью такого рода атак является сложность их обнаружения и последующего отражения».

«Сегодня многие разработчики предлагают решения для обнаружения вредоносного кода, использующего такого рода уязвимости. Мы рекомендуем использование решений класса APT для защиты от целевых направленных атак как наиболее эффективные в части их обнаружения и предотвращения», – добавил он.

В свою очередь доцент кафедры «Компьютерные системы и сети» МГТУ им. Баумана Алексей Попов заявил газете ВЗГЛЯД, что информация о новом вирусе вполне может быть правдой.

«Конечно, вирусами можно заразить и компьютеры в научно-исследовательской лаборатории и начать качать данные. Как туда вирус попадет и как он там распространится – через целенаправленные действия, случайно или шпионским методом Джеймса Бонда, в зависимости от усилий спецслужб», – отметил он.

При этом Попов назвал странным «набор стран», которые были атакованы вредоносной программой: «Возможно, он рассчитан на одно и то же ПО... Вероятнее всего, кто-то может использовать его против России, но сам он интернациональный», – заключил он.

Наконец, ведущий вирусный аналитик ESET Russia Артем Баранов рассказал, что некоторые модули рассматриваемой вредоносной программы были добавлены в антивирусные базы продуктов ESET NOD32 еще несколько лет назад.

«В целом речь идет об инструменте, который использовался атакующими на протяжении нескольких лет. Очевидно, что антивирусные компании обнаруживали различные файлы этой вредоносной программы. Просто на тот момент эксперты не могли точно определить, кому принадлежат эти модули», – предположил он.

При этом специалист затруднился ответить на вопрос о том, направлен ли вирус против России и управляется ли он западными спецслужбами. Но оговорился: «Можно с уверенностью утверждать, что такая вредоносная программа – не дело рук простых хакеров, скорее всего речь идет о state-sponsored malware (так называемое кибероружие)».

По словам Баранова, за последние годы появилось уже несколько семейств вредоносных программ, которые используются спецслужбами разных стран. Некоторые из них представляют собой такой же тип вредоносного ПО – являются «бэкдорами».

На вопрос, как противостоять вирусу, специалисты пока однозначно ответить не могут.

Другие угрозы

Об обнаружении новых опасных компьютерных вирусов СМИ сообщают достаточно часто.

Так, 6 ноября специалисты по кибербезопасности предупредили о выявлении вируса WireLurker, атакующего устройства от Apple, включая смартфоны iPhone, планшеты iPad, компьютеры Mac.

Причем нередко сообщения о вирусах касаются России. 29 октября американские СМИ обвинили в кибератаках на Белый дом и НАТО хакеров, «работающих на русское правительство».

14 октября хакеров из России заподозрили в слежке за чиновниками НАТО при помощи уязвимости операционной системы Microsoft Windows.

Тогда же британское издание Daily Mail обвинило российского программиста в массовом «сливе» в Сеть фотографий и видео обнаженных знаменитостей.

Взлом Anthem стал очередным эпизодом в целой серии кибератак на крупные американские компании, в число которых входят Target Corp., Home Depot Inc. and JPMorgan Chase & Co. Эти нападения коснулись личных данных сотен миллионов американцев и стали еще одним поводом для требования решительных действий от правительства США, отмечает издание, напоминая, что после крупных взломов Sony Pictures Entertainment Барак Обама пообещал предпринять решительные действия против Северной Кореи.

ФБР привлекло для расследования атаки на Anthem калифорнийскую охранную компанию FireEye Inc. В ходе расследования удалось получить сведения о возможной связи подозреваемых с Китаем. Официальный представитель МИД КНР Хун Лэй заявил, что Пекин считает все сообщения о причастности китайских хакеров к атаке на американскую медицинскую страховую компанию, уточняет ТАСС.

Как предупреждает Bloomberg, с помощью украденных данных хакеры могут незаметно получать доступ к информации компаний и организаций, на которые работают клиенты пострадавшей страховой компании. Кроме того, личная, финансовая или медицинская информация может использоваться для шантажа с целью получения секретной информации.

Среди клиентов Anthem были сотрудники американской военно-промышленной компании Northrop Grumman Corp. и корпорации Boeing. И те и другие вполне могут представлять интерес для иностранных разведывательных организаций. Представители обеих компаний отказались комментировать ситуацию, в ФБР также не стали обсуждать с прессой детали расследования.

Утечку данных в Anthem обнаружили 29 января, когда системный администратор обнаружил, что запрос к базе данных выполняется с использованием его идентификационного кода. По данным Bloomberg, картина взлома вписывается в тактику группировки Deep Panda, которая на протяжении последних месяцев целенаправленно атакует американских оборонных подрядчиков и компании, имеющие отношение к здравоохранению. В атаке также подозреваются члены шанхайского подразделения Народно-освободительной армии Китая N61398. Это подразделение отвечает за проведение военных операций в области компьютерных сетей.

Специалисты по защите информации полагают, что в Китае существуют гигантские объединенные базы данных, в которых содержится информация о людях, способных вызвать интерес разведки. При этом, как отмечается, хакеры могли преследовать двойные цели - передать полученную в Anthem информацию китайскому правительству и перепродать ее на черном рынке. Таким образом, не исключается попадание сведений о клиентах страховщика к преступным сообществам.

Как отмечает The Wall Street Journal, взлом второй по величине страховой компании США актуализирует дискуссию об уровне защиты персональных данных в корпоративных сетях. Эксперты издания отмечают, что шифрование данных не может быть панацеей от утечек, поскольку хакеры могут получить информацию в тот момент, когда она будет в открытом состоянии.

В прошлом месяце губернатор Нью-Джерси Крис Кристи подписал закон, требующий от медицинских страховых компаний, работающих в штате, шифровать информацию о клиентах, в том числе номера социального страхования, данные водительских прав, адреса и другую идентификационную информацию. Этот закон был принят после того, как в результате кражи двух ноутбуков к преступникам попали данные 840 тыс. клиентов страховой компании.

Сейчас, поясняет издание, медицинские страховщики не всегда шифруют данные своих клиентов, поскольку федеральное законодательство этого не требует.

Напомним, ранее американские власти неоднократно обвиняли китайское руководство в потворствовании киберпреступникам и неправомерном получении информации. Официальный Пекин неизменно отвергает обвинения в свой адрес.

Шпионские программы были написаны, по информации издания, для устройств на iOS 7. После установки "шпиона" злоумышленники могут получить доступ к фотографиям, текстовым сообщениям, списку контактов, Wi-Fi-сетям, управлять голосовыми записями, приложениями, делать скриншоты и собирать данные о местоположении со взломанных устройств.

В то же время программы не могут замаскировать себя на устройствах iOS 8.

Отмечается, что в дополнение к заражению устройства вследствие соединения с компьютером, юзеры также могут получить вирус, нажав на ссылку "Кликнуть здесь, чтобы установить приложение".

По данным блога TrendLabs, Рawn Storm - это активная экономическая и политическая операция кибершпионажа, которая направлена на широкий спектр субъектов, как военных, так и государственных, а также оборонную промышленность и СМИ.

Напомним, ранее сотни тысяч гаджетов Apple заразил вирус, который невозможно уничтожить.

Затем мужчина начал операцию по обналичиваю незаконно полученных денег. Для этого он перевел 880 миллионов рублей на карту своего сообщника. Тот перевел больше 75 миллионов на свою долларовую карту, а остальные деньги перевел на счета еще 12 подельников. Те в свою очередь распределили деньги уже между своими картами и сняли через разные банкоматы Москвы и Подмосковья, а также перевели деньги на открытые карты других банков. За три часа аферисты успели перевести на карты других банков и обналичить 22 миллиона рублей. Затем сотрудники безопасности банка, наконец, заметили крупные переводы и заблокировали карты. Возбуждено уголовное дело.

NYT утверждает, что на след злоумышленников сотрудники "Касперского" вышли случайно: их вызвали в Киев разобраться со "взбесившимся" банкоматом, периодически выплевывавшим купюры прямо под ноги прохожим-везунчикам. Вскоре выяснилось, что это была самая малая из проблем кредитного учреждения. Оказалось, что на компьютерах банка много месяцев работала программа-червь, мониторившая буквально каждое нажатие клавиш и отсылавшая информацию злоумышленникам.

По данным "Лаборатории Касперского", есть доказательства кражи со счетов около 300 млн долларов, но общая сумма ущерба может быть втрое выше. Злоумышленники использовали множество транзакций скромного размера, чтобы переводить средства, избегая внимания систем оповещения о крупных переводах.

Программу в Касперском назвали "Carbanak", по ней же дали имя шайке хакеров. Директор Kaspersky North America в Бостоне Крис Доггерт назвал разработанную программу чрезвычайно продвинутой, а саму атаку - "по-видимому, самой высокотехнологичной в мире в плане тактики и методов, которые использовались, чтобы сохранить все в тайне".

По данным Kaspersky Lab, большинство банков, ставших жертвами мошенников, расположены в России, но среди них есть и американские, и европейские, и японские компании - в общей сложности из 30 стран.

Пока ни один банк не признал факт взлома, о котором сообщает газета. По предположению NYT, это может свидетельствовать не только о нежелании банков признавать слабость своих систем защиты, но и том, что атаки продолжаются и в настоящее время.

Отметим, что о группировке хакеров еще в конце прошлого года писал журнал Forbes со ссылкой на отчеты двух компаний - российской Group-IB, специализирующейся на расследовании киберпреступлений, и голландской Fox-IT, компании-эксперта в области технологий информационной безопасности.

Группировку киберпреступников Forbes называл Anunak ("Анунах") и связывали ее с разгромленной в России группировкой Carberp, которая специализировалась на кражах денег из систем дистанционного банковского обслуживания. Название червя Carbanak, упоминаемое в отчете "Касперского", очевидно, составлено из этих двух слов. Forbes оценивал объем хищений намного скромнее - в миллиард рублей, а не долларов.

В публикации Forbes также называются три банка, которые подверглись атаке: это Интерактивный банк, Инвестторгбанк, OTП Банк.

После публикации в NYT "Лаборатория Касперского" дала разъяснения о расследовании, которое проводилось совместно с Европолом и Интерполом. Злоумышленники похитили до миллиарда долларов за два года.

"Эксперты полагают, что за этим громким инцидентом стоит международная группировка киберпреступников из России, Украины, ряда других европейских стран, а также Китая", - цитирует ТАСС сообщение "Лаборатории".

Криминальная группировка, получившая название Carbanak, использовала методы, характерные для целевых атак, однако деньги мошенники крали уже не у простых пользователей, а напрямую у банков.

Наиболее крупные суммы денег похищались в процессе вторжения в банковскую сеть: за каждый такой "рейд" киберпреступники крали до 10 млн долларов. В среднем ограбление одного банка - от заражения первого компьютера в корпоративной сети до кражи денег - занимало у хакеров от двух до четырех месяцев. "Преступная схема начиналась с проникновения в компьютер одного из сотрудников организации. После заражения машины вредоносным ПО злоумышленники получали доступ к внутренней сети банка, находили компьютеры администраторов систем денежных транзакций и разворачивали видеонаблюдение за их экранами", - пояснили в "Лаборатории Касперского".

В связи с этим РАЭК (письмо подписано основателем и руководителем компании Group-IB и сопредседателм комиссии РАЭК по киберпреступности Ильей Сачковым) просит министра образования в обязательном порядке ввести в школьную программу новый предмет "Основы информационной безопасности". По мнению экспертов, курс уроков по этой тематике "значительно повысит уровень грамотности пользования современными электронными устройствами среди подростков, сделает школьников информационно, юридически и психологически защищенными".

По замыслу ассоциации, обучение основам информационной безопасности необходимо проводить неотрывно от школьных предметов "Информатика", "Основы безопасности жизнедеятельности" и "Психология". Причем предварительно необходимо организовать на базе педагогических вузов кафедры по подготовке преподавателей соответствующей специальности.

"Оценки необходимых для реализации этого предложения затрат у меня нет, но с учетом того, что во-первых, каждый компьютер на территории РФ является элементом национальной безопасности, а во-вторых, что ущерб от компьютерной преступности в прошлом году составил $2,5 млрд, и большинство инцидентов происходит из-за элементарного незнания основ безопасности, - данное направление быстро окупится, - сказал "Интерфаксу" Сачков. - В свою очередь мы можем поделиться и учебными программами и помочь с контентом для учебных курсов - соответствующий опыт у нас есть. Например, сейчас мы организуем курс по компьютерной криминалистике на факультете ИУ в МГТУ имени Баумана".

По данным экспертов, потери бизнеса и граждан от действий киберпреступников постоянно растут. Так, ранее "Лаборатория Касперского" оценивала заработок киберпреступников на одном российском пользователе в $1185.

По данным "Лаборатории Касперского" средний ущерб для крупного бизнеса в России от одного серьезного инцидента в области кибербезопасности составил в 2014 году около 20 млн рублей.

В свою очередь аналитический центр российского разработчика DLP-систем Zecurion оценил финансовые потери среднего и крупного российского бизнеса от одного инцидента с утечкой данных в $820 тыс.

Group-IB посчитала, что прямой ущерб российских компаний от инцидентов в области информационной безопасности составил в 2014 году в среднем около $1,5 млн.

В то же время в "Лаборатории Касперского" РИА "Новости" опровергли версию, согласно которой сами производители дисков по требованию американских спецслужб якобы могли содействовать внедрению шпионского ПО в свою продукцию.

По данным экспертов Kaspersky Lab, зараженные вредоносным ПО компьютеры были обнаружены в 30 странах мира - больше всего в Иране, затем следуют Россия, Пакистан, Афганистан, Китай, Мали, Сирия, Йемен, Алжир. Целями хакеров были правительственные и военные учреждения, телекоммуникационные компании, банки, энергетические компании, специалисты, связанные с ядерными исследованиями, представители СМИ и исламские активисты.

Бывший сотрудник АНБ заявил Reuters, что обнародованные "Лабораторией Касперского" сведения соответствуют действительности. По его словам, представители спецслужб оценивают эти шпионские программы так же высоко, как Stuxnet. Другой экс-сотрудник разведки подтвердил агентству, что АНБ разработало технику сокрытия шпионских программ в жестких дисках, однако отметил, что не знает, какие задачи им отводились. По данным "Лаборатории Касперского", некоторые шпионские программы были созданы еще в 2001 году.

По мнению экспертов, расследование может нанести еще более сокрушительный ущерб имиджу АНБ, и так серьезно пострадавшему от массовых утечек, связанных с бывшим сотрудником американских спецслужб Эдвардом Сноуденом, отмечает Reuters. Из-за откровений Сноудена продажи американской высокотехнологичной продукции за рубежом уже значительно снизились. Сообщения о новых инструментах кибершпионажа может привести к резкой реакции, особенно в таких странах, как Китай, пишет агентство.

"Лаборатория Касперского" дала пояснения: пострадали 500 структур, в том числе в РФ

В понедельник "Лаборатория Касперского" опубликовала технические подробности своего исследования. По данным специалистов, создатели вредоносного ПО совершили настоящий технологический прорыв, разработав модули, способные перепрограммировать заводскую прошивку жестких дисков. В итоге злоумышленники имеют возможность контролировать компьютер даже в случае форматирования диска или переустановки операционной системы, сообщает Reuters.

Исследователи установили, что шпионское ПО может встраиваться в жесткие диски более десятка ведущих производителей, охватывающих по сути весь компьютерный рынок, - Western Digital Corp, Seagate Technology PLC, Toshiba Corp, IBM, Micron Technology Inc и Samsung Electronics Co Ltd. Компании Western Digital, Seagate и Micron заявили Reuters, что ничего не знают о шпионских модулях, речь о которых идет в исследовании "Лаборатории Касперского". Toshiba и Samsung отказались комментировать полученные данные.

Хотя хакеры могли заразить тысячи компьютеров, они были избирательны и лишь установили полный удаленный контроль над машинами, принадлежащими наиболее ценным иностранным объектам слежки, сообщил глава отдела по глобальным исследованиям и анализу Kaspersky Lab Костин Райю.

В "Лаборатории Касперского" пояснили, что речь идет об обнаруженной специалистами кибергруппе Equation Group, превосходящей по размаху и эффективности всех известных хакеров. Equation Group, по данным специалистов, ведет свою деятельность на протяжении почти двадцати лет, и ее действия затронули тысячи пользователей в более чем 30 странах мира. От Equation Group пострадали более 500 компаний и организаций, большая часть в России и Иране, сообщили РИА "Новости" в компании.

"В России среди пострадавших - правительственные учреждения, исследовательские институты, объекты энергетики и инфраструктуры, университеты, военные ведомства, предприятия аэрокосмической отрасли, телекомы и медицинские учреждения", - сообщили в "Лаборатории Касперского". Название конкретных организаций в антивирусной компании не привели.

В инфраструктуру Equation Group входит более 300 доменов и 100 контрольно-командных серверов, расположенных в разных странах, в частности в США, Великобритании, Италии, Германии, Нидерландах, Панаме, Коста-Рике, Малайзии, Колумбии и Чехии. В настоящее время "Лаборатория Касперского" контролирует около 20 серверов группы, говорится в сообщении компании.

В арсенале Equation Group имеется множество вредоносных программ, в том числе "Лаборатория Касперского" впервые в своей практике обнаружила модули, которые позволяют перепрограммировать операционную систему жестких дисков 12 основных производителей, отмечают в компании. Как пояснили РИА "Новости" в "Лаборатории Касперского", "эти модули являются вредоносными программным обеспечением, никак не имеющим отношения к разным производителям дисков".

Кроме того, Equation Group использует червя Fanny, который позволяет получать данные с компьютера, даже если он отключен от глобальной сети. Также "Лаборатория Касперского" установила, что Equation Group взаимодействовала с другими кибергруппировками, в частности с организаторами кампаний Stuxnet и Flame, отмечается в сообщении российской компании.

Напомним, обнаруженный в 2010 году компьютерный червь Stuxnet поражал компьютеры с операционной системой Microsoft Windows. Вирус был обнаружен как на компьютерах рядовых пользователей, так и в промышленных системах. Сообщалось, что червь может быть использован в качестве средства шпионажа и диверсий в АСУ ТП промышленных предприятий, электростанций, аэропортов и других важных объектов. По мнению экспертов, Stuxnet разработали совместно спецслужбы Израиля и США, червь был направлен против ядерной программы Ирана.

В минувшее воскресенье "Лаборатория Касперского" сообщила о еще одном раскрытом ее сотрудниками грандиозном киберпреступлении - банковской афере. Сообщалось, что жертвами аферистов стали более сотни банков, преимущественно из России, а ущерб оценивался в сумму от 300 млн до 1 млрд долларов.

Ранее интернет-издание Intercept со ссылкой на данные, предоставленные экс-сотрудником американских спецслужб Эдвардом Сноуденом, сообщило, что спецслужбы США и Великобритании похитили шифровальные ключи крупнейшего мирового производителя sim-карт Gemalto.

Помимо карт, производимых Gemalto, Deutsche Telekom пользуется услугами других компаний-производителей sim-карт. Тем не менее, алгоритм кодирования, традиционно применяемый для продукции Gemalto, был изменен.

РИА Новости http://ria.ru/world/20150220/1048887835.html#ixzz3SIvUzSWF

На данный момент мы не располагаем информацией, был ли скомпрометирован дополнительный защитный механизм. Тем не менее, мы не можем исключить такой возможности", — сообщила Сэйлер.

Она также отметила важность того, что компания Gemalto предоставляет оперативные данные относительно произошедшего, а также предостерегает о возможных последствиях.

Сообщалось, что кража данных произошла в результате взлома внутренней сети базирующейся в Нидерландах компании Gemalto. В операции якобы участвовали сотрудники Агентства национальной безопасности (АНБ) США и их британские коллеги из Центра правительственной связи.

РИА Новости http://ria.ru/world/20150220/1048887835.html#ixzz3SIvcSO00

Комментируя поступившие сведения, Gemalto заявила, что за последние годы они регистрировали множественные попытки взлома, однако в настоящий момент нет доказательств наличия связи между ними и вчерашним сообщением. Кроме того в Gemalto отметили, что компания приложит все силы, чтобы провести полноценное расследование и понять масштаб произошедшего.

Gemalto производит около 2 миллиардов sim-карт в год, а также чипы для кредитных карт нового поколения. Среди ее клиентов телекоммуникационные гиганты AT&T, T-Mobile и Verizon.

РИА Новости http://ria.ru/world/20150220/1048887835.html#ixzz3SIvjb5Jb