Обзор главных инцидентов безопасности с 16 по 22 ноября 2015 года


Incidenti bezopasnostiНа прошедшей неделе вновь возникли споры по поводу использования шифрования в телекоммуникационных сервисах. Причиной этому стали теракты в Париже 13 ноября 2015 года. Также за период с 16 по 22 ноября стало известно о кампании по распространению:

  • CTB Locker;
  • новом вредоносном ПО для PoS-терминалов;
  • "возрождении" набора эксплоитов BlackHole и т.д.


Подробнее о событиях
В связи с трагическими событиями в Париже 13 ноября, власти сфокусировали свое внимание на сервисах, поддерживающих шифрование. И хотя прямые доказательства отсутствовали, тем не менее, правоохранители уверены, что для планирования и координации своих действий террористы ИГИЛ использовали безопасные платформы, в том числе Telegram.

Операторы сервиса оперативно отреагировали на эту информацию, начав массовую блокировку связанных с организацией общественных каналов. Своими действиями они вызвали немалое беспокойство пользователей. Представителям Telegram пришлось сделать заявление, что перехват личной переписки не осуществляется, ведется лишь блокировка публичных каналов, посредством которых велась пропаганда ИГИЛ. Несмотря на данное заявление, многие стали сомневаться в безопасности мессенджера. Однако, предпринимаемых операторами сервиса мер было не достаточно. Террористы сумели разработать целую схему обхода блокировки, и продолжили вести пропаганду, вербуя приспешников.

В свою очередь активисты Anonymous, ранее объявившие "войну" ИГИЛ, развернули масштабную кампанию #OpParis. В рамках данной кампании было заблокировано несколько десятков связанных с деятельностью террористов учетных записей в Twitter.

На прошлой неделе отметились и эксперты из Microsoft, которые обнаружили крупную АРТ-группу под названием Strontium. Жертвами хакеров являются:

  • госорганы;
  • военные организации (в особенности НАТО);
  • дипломаты;
  • журналисты;
  • политические деятели.


Группировка осуществляет фишинг-атаки на пользователей продуктов от Microsoft, похищая их учетные данные Outlook. Злоумышленники рассылают фишинговые письма перед проводимыми компанией важными мероприятиями и публикуют в соцсетях вредоносные ссылки.

В свою очередь исследователи из Palo Alto Networks сообщили о кампании по кибершпионажу, которая вполне может быть продолжением операции Dark Seoul/Operation Troy, прекратившей свою активность два года назад.

Экспертам из Malwarebytes удалось обнаружить "возвращение" уже устаревшего набора эксплоитов BlackHole. Удалось это благодаря тому, что злоумышленник оставил сервер со всей инфраструктурой BlackHole открытым в интернете.

Исследователи из Heimdal Security выявили новую модификацию банковского трояна Dyreza, предназначенной для Windows 10 и браузера Microsoft Edge. Новое вредоносное ПО инфицирует системы с целью хищения финансовой информации, а также объединяет их в ботнет. До настоящего времени троян Dyreza инфицировал порядка 80 тысяч компьютеров.

Компания Lookout выявила вредоносное ПО для Android под названием Shedun, которому для установки не требуется разрешение пользователя. Для своей вредоносной активности он использует службу Accessibility Service - службу, обеспечивающую доступ к событиям, возникающим в пользовательском интерфейсе.

Эксперты компании Cyphort рассказали о новой вредоносной кампании, жертвами которой стали 60 web-сайтов с общей аудиторией в 20 млн. человек ежемесячно. Атака затрагивает ресурсы, пользующиеся услугами российского хостинг-провайдера "Рустелеком". Через взломанные сайты, используя набор эксплоитов Nuclear, распространяется троян-шифровальщик CTB Locker.

Эксперты из Proofpoint опубликовали информацию о вредоносном ПО AbaddonPOS, нацеленном на PoS-терминалы. Вредонос считывает все процессы в терминалах в поисках данных кредитных карт. Обнаружив необходимую информацию, AbaddonPOS переправлял ее на C&C-сервер с помощью реализованного двоичного протокола.

Также на прошлой неделе был обнаружен новый троян для Linux - Linux.Encoder2. Вредонос отличается от своих предшественников тем, что не сохраняет права доступа к файлу в заголовке зашифрованного файла, использованием другого генератора псевдослучайных чисел и применением для шифрования библиотеки OpenSSL.


Обновлено (23.11.2015 22:51)