Обзор инцидентов безопасности за прошлую неделю

Прошедшая неделя ознаменовалась рядом громких утечек данных и сообщениями о новом вредоносном ПО для различных платформ, включая считающуюся безопасной ОС Linux. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 12 по 18 сентября 2016 года.

Большой резонанс на прошлой неделе вызвал скандал с утечкой данных Всемирного антидопингового агентства (WADA). Называющие себя Fancy Bears хакеры опубликовали в открытом доступе документы, подтверждающие употребление допинга американскими спортсменами. В WADA уверены, что ответственность за инцидент лежит на русских хакерах (ранее гендиректор организации Оливье Ниггли заявлял , что «русские хакеры» ежедневно атакуют сайт WADA). По мнению президента агентства Крейга Риди, правительство РФ вряд ли имеет отношение к атакам, однако осуществившие их лица «связаны с Россией».

Во вторник, 13 сентября, группировка «Анонимный интернационал», также известная как «Шалтай-Болтай», опубликовала содержимое электронных ящиков сотрудников холдинга News Media (Lifenews, Life). Хакеры распространяют похищенные данные через файлообменник, но обещают самые интересные материалы опубликовать «у себя».

В этот же день хакер Guccifer 2.0 через посредника выступил на конференции по кибербезопасности The Future of Cyber Security Europe 2016 в Лондоне, где представил очередную порцию документов, похищенных у Демократической партии США. По словам хакера, он осуществил атаку, эксплуатируя уязвимости в используемом Демпартией ПО NGP VAN.

Как бы то ни было, некоторые эксперты не верят в существование Guccifer 2.0. По их мнению, за атакой  стоят русские группировки Fancy Bear и Cozy Bear, предположительно создавшие сайт DCLeaks. Как стало известно на прошлой неделе, данный ресурс опубликовал переписку бывшего госсекретаря США Колина Пауэлла. Политик подтвердил подлинность документов и заявил, что они были похищены в результате хакерской атаки.

Секретная служба США предупредила о новом способе похищения данных банковских карт, получившем название «перископический скимминг» (periscope skimming). Злоумышленники используют специальное устройство из двух модулей, один из которых подключается непосредственно к внутренней печатной плате банкомата и выполняет роль своеобразного перископа.

Много внимания на прошлой неделе привлек обнаруженный на Android-смартфоне Xiaomi Mi4 загадочный бэкдор, позволяющий производителю устанавливать на устройство любые приложения без ведома пользователя. Предустановленная программа AnalyticsCore.apk неизвестного назначения работает в фоновом режиме 24 часа в сутки 7 дней в неделю и восстанавливается после попыток ее удалить.

Эксперты компании «Доктор Веб» сообщили о новом Linux-трояне, предназначенном для осуществления DDoS-атак. Как полагают исследователи, Linux.DDoS.93 (по классификации «Доктор Веб») распространяется через уязвимости ShellShock в GNU Bash.

Исследователи из Palo Alto раскрыли подробности о трояне DualToy для компьютеров, работающих под управлением Windows. Вредонос способен незаметно загружать мобильные приложения на любые iOS- и Android-устройства, подключенные к зараженной системе с помощью USB-кабеля.

Не обошлось на прошлой неделе без сообщений о новых образцах вымогательского ПО. Исследователи «Лаборатории Касперского»  опубликовали подробный анализ вымогателя RAA, полностью написанного на языке JavaScript. Вредонос не только шифрует файлы на компьютере жертвы и требует выкуп, но также похищает сохраненные в браузере учетные данные.

ИБ-эксперт Якуб Крустек (Jakub Kroustek) обнаружил новую версию вымогательского ПО NoobCrypt. Вредонос интересен тем, что использует общий ключ шифрования для всех жертв, поэтому совершенно бесполезен. Ключи для каждого варианта шифровальщика: NoobCrypt 1 (сумма выкупа $299) - ZdZ8EcvP95ki6NWR2j, NoobCrypt 2 ($100) - ZdZ8EcvP95ki6NWR2j, NoobCrypt 3 ($50) – lsakhBVLIKAHg.  

Исследователь компании Emsisoft Фабиан Восар (Fabian Wosar) сообщил о новой версии вымогательского ПО Stampado, способной шифровать уже зашифрованные файлы. В списке расширений, которые вредонос ищет, попав на компьютер, эксперт обнаружил расширения, добавляемые к файлам другими шифровальщиками. То есть, если Stampado попадет на систему, где файлы уже были зашифрованы вымогательским ПО, для их восстановления жертве придется дважды платить выкуп.