Security Week 35: Кардеры донатят Хатчинсу, отозвано 500 тыс. кардиостимуляторов, в спам-боте нашли 711 млн имейлов

Security Week 35: Кардеры донатят Хатчинсу, отозвано 500 тыс. кардиостимуляторов, в спам-боте нашли 711 млн имейлов
 
Трагическая, но поучительная история молодого британского ИБ-специалиста Маркуса Хатчинса, арестованного в США месяц назад, начала скатываться в откровенный фарс. Надо сказать, Штаты обошлись с Маркусом относительно мягко: парня выпустили под залог в $30 тыс, так что он с браслетом на ноге дожидается суда на воле. Не ограничили даже доступ к компьютеру.

Между тем, в защиту Хатчинса выступили многие коллеги. Действительно, Маркус проявил себя достойно в истории с WannaCry, а выдавать себя за троянописателя мог и в исследовательских целях. В итоге доброжелатели организовали для него сбор денег. Ведь с деньгами-то защита всегда идет как-то бойчее. Сбором рулил нью-йоркский адвокат Тор Экеланд, специализирующийся на таких делах. За пару недель друзья и сочувствующие подтянули аж $150 тыс.

Однако друзья у Маркуса оказались какими-то подозрительными. Процессинговая компания, обрабатывающая транзакции, определила , что из сделанных пожертвований только $4900 легитимны, остальные деньги пришли с краденых банковских карт. Тор расстроился от таких новостей и объявил, что все честные жертвователи получат возврат.

Тем временем, стало известно о доказательствах обвинения по основному делу Маркуса. Помимо семплов банкера Kronos, который он якобы сварганил, следствие располагает 150 страницами Jabber-чата Хатчинса с какими-то неизвестными, 350 страницами с форума и записями допросов. О реальных свидетелях по делу пока ничего не слышно. И если история закончится цугундером, это станет очередным напоминанием о том, что в Интернете не стоит болтать лишнего. Ведь сетевой болтун — находка для следователя.
 
 
FDA отзывает полмиллиона кардиостимуляторов из-за уязвимостей

 
Новость . Есть в США влиятельное правительственное агентство – FDA, оно же Управление по санитарному надзору за качеством пищевых продуктов и медикаментов. Страшная сила, когда дело касается защиты граждан от вредных лекарств и опасной пищи. Так вот эти ребята примерно год расследовали уязвимости в медицинской технике компании St. Jude Medical и решили отозвать кардиостимуляторы особо отличившихся моделей. В общей сложности 465 тысяч штук.

Но вернемся в 2016 год, когда эта история только начиналась. Компания Med Sec опубликовала описания уязвимостей медицинского оборудования St. Jude Medical. Свое решение “обнародовать дыры” исследователи объяснили так: мол, от этих тюленей не добьешься латания уязвимостей, поэтому нам приходится выносить сор из избы. St. Jude ответила судебным иском , обвинив Med Sec в корыстной лжи. По версии истца, эта история была выдумана, чтобы зашортить акции St. Jude и заработать на их падении во время публикации новостей об уязвимостях.

Медсеки ответили, что таки да, зашортили, но лишь для того, чтобы окупить затраты на поиск этих уязвимостей. Компания молодая, заказчиков нет, денег нет, крутись как хочешь. Однако биржа биржей, а уязвимости оказались самыми настоящими – надо было что-то предпринять. Сначала FDA пыталась вразумить разработчиков девайсов “как-нибудь починить” их. Но в итоге приняла радикальное решение – отозвать кардиостимуляторы. Прямо из грудных клеток.

На самом деле изымать устройства, конечно, не понадобится. Пациентам придется навестить кардиолога, под наблюдением которого в кардиостимуляторе обновят прошивку. Процедура небезопасная – как и в случае обновления прошивки любого другого устройства всегда есть риск его «окирпичить», что, понятно, чревато летальными исходами. И все же сделать это необходимо, учитывая опасность уязвимостей:
  • CVE-2017-12712 позволяет управлять кардиостимулятором по радиоканалу без аутентификации;
  • CVE-2017-12714 при “правильном” использовании может быстро «выдоить» батарею устройства;
  • CVE-2017-12716 пригодна для слива данных мониторинга.
Пока доподлинно неизвестно, интересовались ли хакеры этими дырами за последний год, однако не так давно Reuters сообщал , что двое человек в Европе умерли из-за преждевременной разрядки батарей стимуляторов St. Jude.
 
 
Из ботнета извлекли 40 Гб чужих учетных данных
 
Новость . Многие троянцы созданы исключительно для того, чтобы красть у людей разные ценные данные – например, логины и пароли. А если не получилось, то даже электронная почта пойдет, ее можно продать спамерам. Вроде не очень страшно. Но масштабы такого дата-майнинга реально ужасают.

 
Ботнет Onliner, о котором исследователи узнали в 2016 году, специализируется на рассылке спама, в том числе и вредоносного – например, троянца-банкера Ursnif. Для работы Onliner нужны чужие учетные данные от электронной почты, чтобы рассылать свой спам от лица легитимных пользователей. Так он гораздо бодрее пролезает через спам-фильтры.

Товарищ Бенков из Benkowlab вломился на сервер управления и контроля Onliner и нашел там мощный пласт данных, настоящую биг-дату – 40 Гб файлов с почтовыми адресами, логинами и паролями от почты, конфигурацией SMTP-серверов и т.д., после чего связался с Троем Хантом, ведущим известного проекта Have I Been Pwned, который как следует покопался в найденном.
По результатам в базе данных Have I Been Pwned добавилось 711 млн записей. Это крышесносящая цифра – как будто взломали все население Европы, включая детей. На самом деле жертв, конечно, поменьше, да и не для всех имейлов есть учетные данные, но все равно находка, мягко говоря, неприятная. Пробить себя по этой базе можно на HIBP .
 
 
Древности
 
«Keydrop»

Неопасный вирус, стандартно поражает Boot-секторы дискет при обращении к ним и MBR винчестера при загрузке с зараженной дискеты. Проявляется эффектом «падающих букв» (коды этого алгоритма полностью скопированы из вируса «Cascade»). Перехватывает int 13h. Содержит текст «© Copyright 1990 Keydrop inc.».

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 102.
 
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.


Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться