Top.Mail.Ru
Видеонаблюдение
СКУД
СКС
Телефония
IT Аутсорсинг 
АТТ

Уточняется, что среди взломанных порталов сайты президента Армении, главы Нагорно-Карабахской Республики, а также всех министерств государства. На этих электронных площадках злоумышленники разместили снимки с выступления президента Азербайджана Ильхама Алиева, генерала Полада Гашимова и Мубариза Ибрагимова.

В число взломанных сайтов входят сайты президента Армении, главы "Нагорно-Карабахской Республики", все министерства Армении, в том числе министерство обороны, министерство энергетики, аппарат совета национальной безопасности, министерство здравоохранения, служба государственной безопасности, министерство юстиции, генеральная прокуратура и управление гражданской авиации, полиции и др. ресурсы.

Напомним что сегодня эксперты сообщили о вредоносной кампании, в рамках которой хакеры тайно взломали IT-сети правительства Азербайджана и получили доступ к дипломатическим паспортам некоторых официальных лиц. Вредоносное ПО преступников получило название PoetRAT, поскольку код был переполнен литературными отсылками. Раньше злоумышленники упоминали Уильяма Шекспира, но в последних обновлениях кода есть намеки на русского писателя Федора Достоевского.

Источник: https://www.securitylab.ru/news/512838.php

Большинство госструктур уязвимы для киберхулиганов даже с самым низким уровнем квалификации. Основные причины такой доступности – отсутствие своевременного обновления ПО, использование устаревших версий программ и отказ от базовых средств защиты.

Примитивные бреши в ИТ-структурах

90% госструктур при желании могут взломать не только продвинутые кибергруппировки, но и киберхулиганы с низким уровнем квалификации. К таким выводам пришли эксперты компании «Ростелеком-Солар», которые проанализировали данные о 40 госорганизациях и органах власти федерального и регионального уровня.

Одной из простейших схем «заражения» по-прежнему остается фишинговая рассылка. В 70% государственных организаций отсутствуют специализированные средства для фильтрации входящей электронной почты. Часто не используются даже базовые инструменты – антиспам и антивирус. Злоумышленникам даже не обязательно маскировать вредоносное тело – достаточно просто отправить файл. Для подобных атак используется самое примитивное вредоносное ПО, которое распространяется в даркнете бесплатно.

Еще одна самая распространенная причина уязвимости в том, что часть госструктур используют системы с устаревшим кодом и протоколами шифрования. Нередко системы опираются на версии ОС, снятые с поддержки более пяти лет назад.

Кроме того, информационные системы госсектора требуют возможности предоставления доступа клиентам или пользователям, а также часто связаны с системами других ведомств. Более 50% организаций используют незащищенное соединение, например, протокол http, в котором передаваемые данные не шифруются и могут быть перехвачены. Более 70% организаций подвержены классическим web-уязвимостям, которые злоумышленники используют в качестве точки входа в инфраструктуру жертвы. Например, подверженность SQL-инъекциям (язык программирования структурных запросов), которые позволяют взломать базу данных сайта и внести изменения в скрипт. Также организации подвержены уязвимости XSS (межсайтовый скриптинг), с помощью которой злоумышленник может интегрировать в страницу сайта-жертвы собственный скрипт. CNews уже писал, что многие госсайты, согласно данным мониторинга МОО «Информация для всех», в среднем загружают ресурсы с четырех посторонних сайтов.

90% госструктур могут взломать не только квалифицированные хакеры, но и обычные киберхулиганы

Более 60% организаций имеют уязвимости различных компонентов (серверов Apache или решений для запуска веб-приложений Apache Tomcat, систем управления сайтом WordPress, языка программирования PHP), и даже самой операционной системы (серия уязвимостей Shellshock, которые считаются одними из наиболее опасных).

Одна из основных причин уязвимости заключается также в отсутствии обновлений серверов и рабочих станций в изолированных сегментах сети. Даже в самой «продвинутой» с точки зрения применения ИТ-решений в сфере безопасности – кредитно-финансовой, обновления устанавливаются, в среднем, 42 дня. В случае с госсектором ситуация усугубляется формированием закрытых и изолированных сегментов, не подключенных к глобальной сети. В этом случае необходим формализованный ручной или полуручной процесс по обновлению, который отсутствует в 96% организаций. Из-за неправильной конфигурации служб обновления более 90% рабочих станций и серверов в госсекторе имеют ошибки в реализации протокола удалённого рабочего стола, а более 70% — ошибки в реализации протокола удалённого доступа к сетевым ресурсам.

Как действуют продвинутые хакеры

Эксперты определили, что в отличие от обычных киберхулиганов, которые занимаются шифрованием серверов и компьютеров, скрытым майнингом криптовалюты, созданием из полученных ресурсов бот-сетей для организации DDoS-атак или фишинговых рассылок, профессиональные киберпреступники стараются получить длительный контроль над инфраструктурой. Причем они не брезгуют результатами деятельности предыдущих группировок для первого проникновения в инфраструктуру, а далее последовательно стремятся получить доступ к конфиденциальным данным и длительный контроль.

Продвинутые кибергруппировки используют в первую очередь не технические, а процессные уязвимости. Они проникают в инфраструктуру жертвы через неучтенные точки доступа к системе. Согласно отчету, в 90% госорганизаций обнаруживаются от 3 до 10 точек связанности публичного и закрытого сегментов. При внедрении новой информационной системы в государственных структурах крайне редко проводится анализ состояния текущей инфраструктуры (сегменты, доступы, маршрутизация). В итоге появляются лишние точки входа в систему, например через VPN из соседнего федерального органа исполнительной власти (ФОИВ). Также в 80% случаев происходит «склеивание» различных сегментов сети для обеспечения работоспособности вновь создаваемой системы (например, соединение сегмента DMZ, содержащего общедоступные сервисы, и изолированного сегмента Database). В результате злоумышленник получает доступ к слабо защищенному элементу инфраструктуры и беспрепятственно попадает к критическим информационным активам.

Также кибергруппировки и кибервойска могут атаковать ИТ-систему жертвы через подрядчика: они взламывают слабозащищенного контрагента и через его инфраструктуру попадают в нужную систему. Причем сотрудники подрядных компаний часто выступают админами, то есть обладают высоким уровнем прав и привилегий. Часто после окончания контракта их учетные данные остаются активными.

Полный набор вирусов

Согласно отчету, более 90% рабочих станций и серверов уязвимы перед BlueKeep и DejaBlue. Они позволяют мгновенно распространить вируса-червя или шифровальщика через ошибки в реализации протокола RDP (протокол удаленного рабочего стола). BlueKeep — это компьютерная уязвимость в реализации Microsoft Remote Desktop Protocol, позволяющая осуществить удалённое выполнение кода. Уязвимости DejaBlue затрагивают Windows Remote Desktop Services. По аналогии с BlueKeep уязвимость DejaBlue может использоваться злоумышленниками для распространения вредоносных программ с одного компьютера на другой без вмешательства пользователя.

Более 70% рабочих станций и серверов уязвимы перед EternalBlue (эксплуатирует ошибки Windows-реализации протокола SMB, который нужен для удаленного доступа к файлам, принтерам и другим сетевым ресурсам).

В каждой организации выявляется не менее пяти рабочих станций, уязвимых перед MS08-067, которая была устранена в обновлениях более 12 лет назад. Ошибка позволяет удаленно выполнить произвольный код, в контексте службы «Server» (обеспечивает поддержку удаленного вызова процедур), в результате чего злоумышленник может получить дистанционный контроль над всей системой.

Эксперты также обнаружили, что 55% госорганизаций оказались поражены червем Conficker, эксплуатирующим уязвимость MS08-067, признаки вируса Wannaсry были обнаружены у 60% организаций. 85% ИТ-систем госструктур заражены вирусами DbgBot, Mirai, Monero Mine, а у 90% – есть признаки вредоносного ПО, переносимого через внешние носители.

Источник

Следственной частью Главного управления МВД России по Северо-Кавказскому федеральному округу завершено расследование уголовного дела по обвинению группы лиц в совершении преступления, предусмотренного ч. 2 ст. 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ».

Оперативное сопровождение уголовного дела осуществлялось сотрудниками Управления «К» МВД России и окружного полицейского Главка.

Следствием установлено, что организатор противоправной деятельности, 20-летний уроженец Республики Северная Осетия-Алания, в 2017 году создал вредоносные компьютерные программы, предназначенные для несанкционированных модификации и копирования компьютерной информации. В последующем, привлек к распространению программ шесть соучастников, которые в период с ноября 2017 г. по март 2018 г. распространили на территории страны более 2100 экземпляров программ, получив доход в размере более 4,3 миллионов рублей.

Следственные действия и оперативные мероприятия проведены на территории Республик Северная Осетия – Алания, Татарстан, Волгоградской, Рязанской, Тульской, Оренбургской и Владимирской областей, а также на территории иных регионов Российской Федерации.

Уголовное дело с обвинительным заключением, утвержденным заместителем Генерального прокурора Российской Федерации, направлено для рассмотрения по существу в Ленинский районный суд города Владикавказа Республики Северная Осетия - Алания.

Источник: https://www.securitylab.ru/news/512465.php

Эксперты Cisco Talos выявили две критические уязвимости в Zoom класса Path traversal. Они открывают самые широкие возможности для кибератак прямо через чаты в клиенте Zoom.

Чат и вредоносный GIF

Две уязвимости в Zoom позволяют злоумышленникам прямо через чат взламывать систему, в которой установлен клиент.

В одной из самых популярных в мире платформ для проведения видеоконференций обнаружились две критические уязвимости, позволяющие злоумышленникам проникать в систему жертвы удалённо, используя групповой или персональный чат, пишет ресурс Securityaffairs.

Обе уязвимости - CVE-2020-6109 и CVE-2020-6110 - относятся к категории path traversal (обход пути), и позволяют злоумышленникам размещать или запускать в системе жертвы произвольный код - для этого понадобится просто отправить специально подготовленные сообщения.

Уязвимость CVE-2020-6109 связана с некорректным использованием службы GIPHY, позволяющей искать и пересылать друг другу анимированные изображения в формате GIF.

Эксперты Cisco Talos обнаружили, что Zoom не проверяет источник файлов GIF, что позволяет использовать файлы из сторонних источников; кроме того, не производится очистка имени файлов, что может привести ещё и к обходу каталога. В итоге у злоумышленников появляется возможность разместить любые файлы, закамуфлированные под GIF, в любой папке целевой системы.

Фрагменты кода - двоичного, вместо исходного

Уязвимость CVE-2020-6110 связана с некорректной обработкой фрагментов программного кода, пересылаемых через чат клиента. Специально сформированное сообщение может привести к запуску вредоносного кода на целевой системе.

Отправителю кода, впрочем, необходимо установить специальный плагин. Зато на получателей это ограничение не распространяется.

Как установили эксперты, при отправке фрагмента кода Zoom формирует архив ZIP, который разворачивается в системе получателя; но при этом содержимое архива не подвергается никаким проверкам, так что злоумышленник вполне может отправить жертве исполняемый код, а не исходники, и тем или иным способом заставить запустить его. Мало того, злоумышленник может вписать вредоносный файл в любой произвольный каталог в системе.

«Проблема проверки вводимых величин по-прежнему стоит остро, и разработчики даже самых раскрученных платформ до сих пор совершают ошибки, открывающие злоумышленникам самые широкие возможности, - указывает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - Zoom сейчас находится в зоне особо пристального внимания и со стороны экспертов по кибербезопасности, и со стороны злоумышленников, в силу взрывного роста популярности. Уязвимости в нём ищут очень активно и, как видим, небезуспешно».

Обе уязвимости затрагивают версию клиента 4.6.10; обновление 4.6.12 их устраняет.

Источник

Эксперты обнаружили уязвимость, с помощью которой можно взломать миллионы смартфонов. На проблему обратило внимание издание XDA Developers.

В связи с инцидентом разработчики NULS планируют осуществить хардфорк.

На осуществление атаки неизвестный преступник потратил от $3600 до $7200.

В ходе преступных действий банкоматам был нанесен ущерб на сумму около 18 тыс. руб.

Команда исследователей за 20 минут «клонировала» отпечаток пальца и взломала мобильное устройство.

Возникшая проблема распространяется только на сервера работающие под NGINX с включенным PHP-FPM.

Страница 1 из 3

© 2007-2020 ООО "Центр Информационных Технологий"

Яндекс.Метрика