Вирусы-майнеры теперь устраняют конкурентов

До сих пор вся эта возня с заражением компьютеров и добычей с их помощью криптовалют выглядела как-то не очень серьёзно. Киберпреступники внедряли программы-майнеры на различные сайты, в программы или же устанавливали их на заражённый ПК, после чего те начинали исправно трудиться на благо чужого дяди, добывая злоумышленнику монетку-другую. Конкурентов среди любителей обогатиться за чужой счёт становится всё больше, конкуренция среди «чёрных майнеров» растёт, поэтому появилась необходимость «убирать» конкурентов. И кажется, теперь зловредные программки, созданные для скрытой добычи криптовалюты, начали «мочить» друг друга.

История очень напоминает пародию на криминальный боевик, но такова жизнь. Эксперты по кибербезопасности отмечают, что вредоносные майнеры теперь могут «убивать» процессы запущенных программ-конкурентов в оперативной памяти. Это позволяет им получить полный и единоличный контроль над всеми ресурсами компьютера.

Ксавье Мартенс, специалист по кибербезопасности из ICS Sans, пояснил, что изученный им модифицированный майнер почти не отличался от «коллег по опасному бизнесу». Единственным исключением была функция Kill List, позволяющая вредоносной программе завершать работу конкурентов.

Создатель «программы-киллера» пошёл на этот шаг из-за того, что найти не заражённый майнером компьютер всё сложнее, поэтому, внедрив в своё детище новую функцию, он обеспечил ему существенное преимущество.

Мартенс уверен, что автор майнера-киллера сделал большую работу, результаты которой можно применить для разработки противовирусного ПО, позволяющего эффективно и сразу «убивать» все приложения, добывающие криптовалюту на чужих компьютерах без ведома владельцев.

Уязвимость в Cisco IOS оставила пользователей без интернета

В настоящий момент проводится мощная ботнет-атака. Все адреса в Интернете сканируются на предмет наличия свежей уязвимости в программном обеспечении Cisco IOS, позволяющей удаленно выполнять команды на устройствах Cisco. Бот заходит на устройство и удаляет конфигурацию, записывая вместо нее свои файлы.

Уязвимость получила идентификатор CVE-2018-0171 и набрала 9,8 балла по шкале CVSS. Если у вас только что выключался Интернет либо выключится в ближайшее время, то с большой долей вероятности это связано с вышеописанной уязвимостью. Проблемы работы Сети отмечаются уже сейчас. В том числе и у команды Hi-News.ru.

Команда Cisco опубликовала сообщение, согласно которому сотни тысяч устройств в Сети уязвимы благодаря технологии Smart Install. Компания предупредила объекты критической инфраструктуры о рисках использования уязвимых устройств.

Технология Smart Install позволяет автоматизировать процесс первоначальной настройки конфигурации и загрузки актуального образа операционной системы для нового сетевого коммутатора.

О проблеме всплеска сканирований, в попытке обнаружить незащищенные устройства, на которых активирована Smart Install, компания Cisco сообщала еще в феврале прошлого года. На тот момент говорилось, что хакерские группировки могут использовать Smart Install для получения копий конфигураций затронутых устройств клиентов. Кроме того, сообщалось, что злоумышленники использовали инструмент с открытым исходным кодом для сканирования в поиске уязвимых систем. Этот инструмент называется Smart Install Exploitation Tool (SIET).

Теперь же Cisco обратилась с новым заявлением:

«Cisco в курсе значительного роста числа попыток сканирования в поисках уязвимых устройств с активированной Smart Install. В результате успешной атаки злоумышленник может изменить файл конфигурации, принудительно перезагрузить устройство, загрузить на устройство новое изображение IOS, выполнить команды CLI с высокими правами».

По мнению экспертов, некоторые из этих атак были проведены группировкой, известной как Dragonfly, Crouching Yeti и Energetic Bear. В связи с этим администраторам рекомендуется как можно скорее установить обновление или отключить в настройках устройства технологию SMI, предназначенную для автоматизации начальной настройки и загрузки прошивки для новых коммутаторов.

Проблема связана с тем, что многие владельцы не настраивают или не отключают протокол SMI, и клиент продолжает ожидать команд «установки/настройки» в фоновом режиме. Воспользовавшись уязвимостью, злоумышленник может модифицировать настройки TFTP-сервера и извлечь конфигурационные файлы через протокол TFTP, изменить общий конфигурационный файл коммутатора, заменить образ ОС IOS, создать локальные учетные записи и предоставить возможность атакующим авторизоваться на устройстве и выполнить любые команды.

Для эксплуатации уязвимости атакующему нужно обратиться к TCP-порту 4786, который открыт по умолчанию. Сообщается, что проблема может использоваться и в качестве DoS-атаки, уводя уязвимые устройства в бесконечный цикл перезагрузок.

По данным Cisco Talos, в настоящее время в Сети доступно 168 тысяч коммутаторов с поддержкой SMI. Однако по данным аналитической группы Embedi в общей сложности в Интернете обнаружено более 8,5 миллионов устройств с открытым портом 4786, и заплатки, устраняющие критическую уязвимость, не установлены примерно на 250 000 из них.

Аналитики Embedi проводили тестирование уязвимости на устройствах Catalyst 4500 Supervisor Engine, а также коммутаторах серий Cisco Catalyst 3850 и Cisco Catalyst 2960, однако, вероятно, речь идет об уязвимости всех устройств, работающих на Smart Install, а именно о:

  • Catalyst 4500 Supervisor Engines;
  • Catalyst 3850 Series;
  • Catalyst 3750 Series;
  • Catalyst 3650 Series;
  • Catalyst 3560 Series;
  • Catalyst 2960 Series;
  • Catalyst 2975 Series;
  • IE 2000;
  • IE 3000;
  • IE 3010;
  • IE 4000;
  • IE 4010;
  • IE 5000;
  • SM-ES2 SKUs;
  • SM-ES3 SKUs;
  • NME-16ES-1G-P;
  • SM-X-ES3 SKUs.

Команда Cisco опубликовала ряд инструкций для администраторов по отключению протокола на уязвимых устройствах, а также выпустила инструмент для сканирования локальных сетей или интернета для поиска уязвимых устройств.

Обновление Windows 10 привело к бесконечному «синему экрану смерти»

Новое обновление безопасности для Windows 10 приводит к краху системы и демонстрации печально известного «синего экрана смерти». Предполагалось, что обновление устранит порядка 60 уязвимостей, некоторые из которых являются «критическими». При этом обновление устанавливалось на многие компьютеры автоматически.

Минувшей ночью компания «выкатила» обновление KB4041676, после которого пользователи стали жаловаться на бесконечный цикл перезагрузки системы и появление  «синего экрана смерти». Система выдает сообщение INACCESSIBLE BOOT DEVICE, после чего автоматически перезагружается. Пользователи сообщают о «крахе» целых парков машин в единой сети.

Эксперты выяснили, что «падают» прежде всего системы с поддержкой интерфейса USB Type-C System Software Interface (USCI). Поэтому перед обновлением можно перейти в BIOS системы и отключить UCSI. Однако некоторые пользователи сообщили об этой проблеме в системах без USB Type-C.

Microsoft решила проблему

Производитель заявил, что уже исправил проблему, отметив, что она не затронула пользователей, получивших обновление через Центр обновления Windows. Также представители компании заявили, что проблема затронула лишь корпоративных пользователей.

Летом была похожая ситуация

В июне мы писали, что новое обновление Windows 10 может привести к потере данных. Тогда тестовая сборка Windows 10 16212 для Windows Insiders случайно утекла в круг обычных пользователей и заставляла мобильные устройства на Windows 10 входить в бесконечный цикл загрузки. Единственным способом восстановить работу устройства был полный сброс, то есть уничтожение всех файлов и обнуление всех настроек.

Виртуальные SIM-карты: зачем, для чего и для кого?

Зачем вообще нужна SIM-карта, если это, по сути, всего лишь защищенное хранилище данных плюс несложное по нынешним меркам вычислительное устройство? Ведь точно такое же хранилище данных можно реализовать и в самом устройстве. Тогда как минимум не нужно будет производить эти самые SIM-карты, продавать их, менять при утере и повреждениях — зачем это все?

Но тогда мы получим то же самое, что было в сетях DAMPS или CDMA-800, — программируемые телефоны. А одно из преимуществ стандарта GSM перед ними заключается как раз в том, что это стандарт «отвязанный». То есть достаточно вставить свою SIM-карту в аппарат — и он сразу становится индивидуальным: не надо никуда ехать, ничего прошивать и так далее.

Но это было хорошо и удобно в те времена, когда у абонента, как правило, была одна SIM-карта для всех нужд. Сегодня же в ходу аппараты на две-три симки, а еще есть планшеты, модемы и так далее. Некоторые абоненты только для передачи данных держат несколько симок — скажем, потому, что у разных операторов в разных местах разное покрытие. И, конечно, роуминг. Про него это совсем отдельная тема для разговора.

Идея в самом деле очень проста: в устройстве предусмотрена защищенная область памяти, аналогичная таковой в SIM-карте, но данные в нее загружаются по радиоканалу, то есть все те же идентификаторы, соответствия которым хранятся у оператора в базе данных HLR, телефон получает по зашифрованному каналу связи и… всё!

Считайте, что вы купили симку в салоне, только она прилетела к вам «по воздуху». Практически то же самое, что вместо покупки альбома на диске в магазине скачать его в iTunes.

Технически все реализовано очень просто. Чтобы не городить огород, сама симка, в смысле смарт-карта в соответствующем формфакторе, остается с нами — но это просто болванка, в которой изначально нет никаких данных и, главное, некоторые области можно перезаписывать.

Такая возможность, в частности, поддерживается в новых моделях iPad — к ним можно купить болванку Apple SIM и записать на нее данные того или иного оператора. Для США и Великобритании поддерживаются местные тарифы, а для других стран, например, «туристическая» SIM-карта GigSky.

Ее тарифы, правда, пока что скорее близки к роуминговым и не слишком привлекательны, но и сама технология находится в зачаточном состоянии — довести ее до ума получится только тогда, когда сама Apple договорится с операторами по всему миру. Похожий проект запускает и Microsoft (приложение Cellular Data уже доступно в Windows Store).

У Google, в свою очередь, есть Project Fi, правда, он работает немного иначе (и пока только в США): устройство может подключаться автоматически к наилучшей сети, то есть, по сути, это виртуальный оператор, работающий на основе сразу двух национальных базовых сетей. Однако абоненты Project Fi могут пользоваться Интернетом и в 120 странах мира почти на тех же условиях, а именно с ограничением скорости. Правда, и этот проект находится в зачаточном состоянии, хотя уже работает не только по приглашениям.

Еще одна инициатива в этом направлении — это VSCA (Virtual SIM Card Alliance), облачный сервис по управлению виртуальными SIM-картами, работающий на основе принятой GSMA в 2014 году спецификации Remote SIM Provisioning. К нему могут подключиться как операторы, имеющие собственно виртуальные профили SIM-карт, так и агрегаторы, которыми могут стать и производители абонентских устройств, и турфирмы, и так далее. Виртуальную SIM-карту для каждой страны можно будет купить через мобильное приложение, а саму «болванку» будут продавать точно так же, как и сейчас, — в офлайновом магазине.Вопрос упирается опять же в партнерство с операторами, но они пока не очень охотно участвуют в таких проектах. Во-первых, они не желают терять повышенную выручку от роуминга данных. А во-вторых, боятся стать не просто «трубой» в Интернет, а и вовсе «безликой трубой» — без возможности заниматься маркетингом и, по сути, выкинув на помойку свою отнюдь не дешевую торговую марку.

Кроме того, много говорится о перспективах Local Breakout — в LTE-сетях роуминг данных будет работать так же, как работает доступ в Интернет для «своего» абонента, без маршрутизации через домашнюю сеть, что значительно снизит его себестоимость. Впрочем, это уже совсем другая история, а ближайшее будущее, похоже, за eSIM — виртуальными SIM-картами, которые уже не требуют использования «карты-болванки», а загружаются прямо в память устройства.

Virtual SIM Card Alliance ведет работу по созданию облачного сервиса по управлению виртуальными SIM-картами ComfortWay Virtual SIM Cloud.

И фактически стал первым глобальным независимым поставщиком профилей SIM из облака.
Функциональность облака:

  • безопасное хранение образов виртуальных SIM-карт операторов-участников (в партнерстве с ведущими производителями сим-карт)
  • биллинг — единый баланс пользователя и динамическое управление тарифами устройств или сим-картами
  • безопасная передача профилей на сим-картами с учетом стандартов GSMA
  • интеграция с сервисами партнеров — Интернет порталы, предоставляющие туристические услуги потенциальным клиентам
  • реализация защиты SIM

т. е. фактически, облако берет на себя функции коннектора или хаба между операторами, конечными потребителями, и производителями носимых устройств и это выгодно всем и позволит позволяет сгладить конфликты интересов сторон — производители смартфонов мобильных устройств не хотят производить устройства с ограниченным пулом, операторы не обеспечат, хотят выпускать продукты, готовые к работе по всему миру без дополнительных действий пользователя, а операторы хотят расширить клиентскую базу за счет приезжающих туристов и рынка M2M-устройств.
Cценарий использования облака оператором сотовой связи
В любое носимое устройство может быть установлена виртуальная SIM карта или чипсет встроен SIM-чип. Выбор оператора производиться пользователем из приложения. Для обеспечения безопасности профили операторов хранятся на сертифицированных платформах производителей сим-карт или в облаке IPVS — незавизмого провайдера виртуальных SIM. В профиль могут заливаться (выбираться из приложения) SIM-карты любого оператора, который реализовал возможность передачи самостоятельно или принял решение работать с независимым поставщиком профилей SIM из облака.

На данный момент виртуальные сим карты активно используются интернет маркетологами для продвижения сайтов, или продукции, это всегда обходится намного дешевле, чем покупка реальной сим карты. А как известно для подачи множества объявлений необходимы номера телефонов, к которым привязываются аккаунты.

На фоне всего этого обязывание мессенжеров предоставлять данные мобильных телефонов гос. структурам для “борьбы с терроризмом” выглядят ну нереально жалкими. Технические возможности позволяют вообще любому человеку обойти все виды защиты любых мессенжеров.

Виртуальный номер для приема SMS – предоставляет возможность получения сообщений без использования мобильного телефона, благодаря чему сервис будет доступен в любой стране мира где есть доступ к сети интернет. Работа услуги не зависит от покрытия мобильной сети, не требует оборудования или SIM-карт. Для приема сообщений достаточно начать использовани сервиса, преоставляющего такую возможность и все.

Важным преимуществом виртуального номера является небольшая стоимость и возможность гибкого использования в различных ситуациях. Гибкость заключается в том, что нет необходимости работать с физическими симкартами, оборудованием. В случаях когда необходимо большое количество смс подтверждений – виртуальные номера (или разовые номера для смс активаций) значительно упрощают процесс работы. Например при активации аккаунтов в социальных сетях, при подтверждении профилей на сайтах знакомств, при всевозможных рекламных подписках, при регистрации на сайтах азартных игр, а также во всех случаях когда вы не желаете афишировать свой реальный номер (чтобы потом вам не присылали на него спам).

СМИ сообщили о распространении глобальной кибератаки на «Мегафон», МВД, СК и других в России

Ряд СМИ сообщил и массовой кибератаке, в ходе которой новый вирус-вымогатель быстро распространился по всему миру. В России, по некоторым данным, вирус уже заразил компьютеры сотрудников «Мегафона» и МВД.

Речь идет о вирусе-шифровальщике, который ранее осложнил работу множества больниц в Великобритании. В каждом случае вымогатель требует перевести на счет хакеров $300 в биткоинах, чтобы расшифровать данные компьютеров.

Как сообщает Financial Times, позже вирус распространился на Испанию и Португалию. Как отмечает BBC, ряд экспертов в сфере кибербезопасности заявили о распространении вируса «по всему миру», а биткоин-кошелек, который указали хакеры, уже начал заполняться.

Один из сотрудников компании Avast, к примеру, показал карту, где 36 тысяч случаев заражения рассредоточены по большинству стран мира. По его словам, больше всего компьютеров заражено в России, Украине и на Тайване. Сам вирус он назвал WannaCry.

 

Издание «Медуза» сообщило о заражении вирусом компьютеров «Мегафона», а «Медиазона» – о заражении компьютеров Министерства внутренних дел. Оба издания ссылаются на источников внутри организаций. По данным источников «Газеты.ру», вирус также добрался до компьютеров Следственного комитета. В самом СК заражение опровергли.

 

О том, кто стоит за кибератакой, пока неизвестно. По данным BBC, некоторые эксперты связывают вирус с уязвимостью в Windows, о которой ранее рассказала анонимная группа The Shadow Brokers. Отмечается, что Microsoft исправила эту уязвимость еще в марте, однако некоторые пользователи могли не обновить свои ОС.

В интернете также появилась интерактивная карта, показывающая в реальном времени, где заражаются компьютеры.

Вечером 12 мая в Mircosoft сообщили, что добавили  «дополнительную защиту» от вируса в бесплатный антивирус Windows и обновленную версию ОС. В «Лаборатории Касперского» заявили, что обнаружили 45 тысяч попыток заражения шифровальщиком WannaCry в 74 странах, причем большинство из них зафиксировано в России.

В Twitter нашли уязвимость, позволявшую без взлома публиковать посты от чужих аккаунтов

Российская компания в сфере кибербезопасности Digital Security сообщила об уязвимости в соцсети Twitter, которая позволяла публиковать посты от любого чужого аккаунта без входа в него. Об этом пишет РБК со ссылкой на сообщение компании.

Уязвимость обнаружили в коде рекламного сервиса Twitter ads.twitter.com в феврале. Используя возможность делиться медиафайлами с другими пользователями Twitter через этот сервис, сотрудник Digital Security Егор Жижин смог подменить в коде идентификатор пользователя и опубликовать нужный твит в своем стороннем аккаунте.

В Digital Security отметили, что потенциальный злоумышленник мог использовать эту уязвимость для публикации ложной информации на страницах сразу нескольких СМИ, бизнесменов или политиков, что позволило бы ему повлиять на котировки акций или вызвать политическую нестабильность.

По словам Жижина, уязвимость была обнаружена 26 февраля, после чего данные о ней были переданы в Twitter. Через день – 28 февраля – уязвимость была устранена, а Жижин получил денежное вознаграждение от соцсети, отметили в Digital Security.

Напомним, в начале этого года в твиттере газеты The New York Times появилось сообщение о ракетном ударе России по США. Позже СМИ удалило этот твит и пообещало расследовать инцидент.