Архив тегов: malware

Сегодня разбираем свежие и знаковые новости кибербезопасности, и на повестке дня у нас угрозы от маленького устройства, с которым многие не расстаются даже в постели.

Каждый второй, если не каждый первый сейчас доверяет ой-как-много своему смартфону — банковские операции, доступ к важным рабочим и личным документам, переписку в мессенджерах порой с теми деталями, которые не очень-то хочется надо кому-то ещё показывать. Да вы сами всё знаете! Но как в старой поговорке – пока гром не грянет, мужик не перекрестится.

В конце августа наблюдался резкий рост распространения андройдного троянца Asacub, который бил по известной человеческой слабости – любопытству. Троян рассылал смс-ки типа: «Серёжа, и тебе не стыдно после этого?! (ссылка)» или «Серёга, тебе пришло MMS-сообщение от Васи: (ссылка)». Серёга чесал репу, удивлялся, что ж там за фото, кликал по ссылке, загружал приложение, а дальше невольно, веером заражал всю свою записную книжку, обращаясь к новым жертвам по имени записанному в своих же контактах. Хитрая малвара может ещё, например, читать входящие смс и отсылать их содержимое злоумышленникам или отправлять сообщения с указанным текстом на указанный номер. А возможность перехватывать и отправлять смс-ки позволяет авторам трояна, в том числе, переводить деньги с банковской карты жертвы, если эта карта привязана к ее номеру телефона. Ну, и счёт за отправку смс по всей адресной книге может быть очень нехилым.

Как себя обезопасить? 1. Не ходить по подозрительным ссылкам; 2. Внимательно проверять, какие права запрашивает скаченное приложение; 3. Ну, и самый очевидный и простой шаг — установить надёжную защиту для смартфона.

Картинки к этому выпуску не простые, а специально для нас нарисованные Васей Ложкиным, чьё творчество я давно люблю. Наслаждайтесь!

А вот ссылочка специально для тех, кто прочитал про Asacub и подумал: «Хорошо, что у меня айфон»:

Дальше: и ещё одна…

У меня для вас новый обзор новостей из мира кибербезопасности.

Начнём с двойных стандартов.

Гендиректор компании FireEye Кевин Мандиа на форуме по кибербезопасности выступил с интересным заявлением. Мол, малвара, от «Пяти глаз» (альянс разведок США, Великобритании, Новой Зеландии, Австралии и Канады) – это уже и не малвара вовсе, это «nice malware», то есть буквально – «хороший зловред».

Вот такие оксюмороны живут нынче в мире кибербезопасности!

То есть некоторые вредоносы бывают «хорошими», а некоторые, очевидно, не очень. В зависимости от страны происхождения. Удивительно! Не само по себе удивительно, а крайне странно слышать такое от руководителя компании, которая разрабатывает защитное ПО.

Я молчу, что в целом в рамках курса истории последнего столетия такая диалектика ни к чему хорошему не приводила. А вообще любая малвара – это бумеранг, который рано или поздно прилетает обратно (привет, WannaCry, NotPetya, Stuxnet и им подобным). Если не детектировать и не расследовать какой-то определённый тип малвары по территориальному признаку, то потом твоим же заказчикам прилетит от тех, кто сумел раздобыть и использовать технологии этой малвары. Именно так, например, Stuxnet «прилетел» в энергетическую компанию Chevron.

Для нас нет, не было и не будет оправданий кибератакам, вне зависимости от того, кто является их разработчиком. Нам, на самом деле, вообще фиолетово кто разработчик. И мы будем продолжать защищать от всех угроз, включая «nice malware», пользуясь термином Мандиа. Мы первые рассказываем про малвару, говорящую по-русски, по-китайски, по-английски, по-всякому. Наши пользователи спят лучше всех :)

Дальше: от политики к футболу…

Снова в эфире рубрика разбора всяческих интересных и важных киберновостей. Они хоть и несутся на нас нескончаемой лавиной, некоторые хочется выделить и почитать между строк.

За последние несколько недель меня много раз просили прокомментировать ситуацию с блокировкой Telegram в России. Честно говоря, лично меня эта история никак не коснулась – ни напрямую, ни опосредованно. Всё, чем я пользуюсь работало, работает и… ну, не будем загадывать :)

Ситуация странная нестандартная непонятная идиотская … даже трудно ёмко в одном прилагательном описать какая это ситуация, которая больше всего напомнила слона в посудной лавке. Увы, противостояние между политикой и Интернетом крепчает с каждым днём. В прошлом году мы это почувствовали на себе сполна. Во что это противостояние выльется предсказать трудно. Пока ясно, что «рубильник» против «софта» как-то не очень работает.

С другой стороны, блокировка неожиданно аукнулась не каким-то ИП «Рога и копыта», а серьёзным ребятам типа Amazon и Google. Да что далеко ходить, и наши корпоративные блоги на несколько часов слегли.

Этот «рикошет» натолкнул меня на мысль о вечных истинах – делаешь дело, делай хорошо! Разрабатывать продукты надо так, чтоб никакого рикошета не бояться. Иначе любой системный сбой выбивает из колеи. Всегда должен быть бекап, и ещё бекап на бекап. Только так выживем в нынешней буре, когда не знаешь из-за какого угла может прилететь.

Дальше: как ещё аукнулась блокировка Telegram…

Технологические базворды 21 века.

Раньше их называли «слова-паразиты», теперь же в Википедии они именуются как «умные слова» или «базворды». Периодически они появляются и исчезают. Например, кто не помнит такой важнейший научно-деловой термин как «синергия»? А ещё недавно без него не обходилось вообще ни одно бизнес-выступление или презентация (кроме моих, я этим словарным мусором не пользуюсь). А ещё раньше был страшный «Баг Y2K», но про него помнят уже совсем «бородатые» мальчики и девочки.

Модные технологические слова современности.

Что первым вам приходит на ум?

«Искусственный интеллект»? «Big Data»? «Интернет вещей»? «Квантовые вычисления»? Ручаюсь, что большинство читателей сейчас подумали о криптовалютах и блокчейне. И, кстати, Яндекс и Гугл с вами согласен – первые страницы выдачи на тематические запросы пестрит именно этими терминами.

Теперь нужно вернуться в прошлое не только для того чтобы купить биткоин, но и для того чтобы продать (источник)

На самом деле, не всегда базворды = плохо, маркетинговый хайп, развод инвесторов и потребителей. Особенно это применимо к блокчейну и основанным на нём технологиям. Например, в нашем бизнес-инкубаторе посеяно несколько блокчейн-идей, которые изменят мир к лучшему в своих прикладных нишах.

Но сегодня не об этом. Сегодня я поделюсь мыслями о влиянии криптовалют на глобальную кибербезопасность и как мы помогаем пользователям защититься от новых угроз. А также немного пофантазирую о будущем бесплатных интернет-сервисов и вариантах монетизации софта.

Дальше: быть начеку…

За последние несколько лет я много всякого разного начитался в американской прессе и вышедшая в прошлый четверг статья Wall Street Journal поначалу показалась очередной конспирологической кляузой.  Согласно анонимным источникам, несколько лет назад русские госхакеры, якобы, при помощи взлома продуктов вашего покорного слуги похитили с домашнего компьютера сотрудника АНБ секретную документацию. Наш формальный комментарий этой истории тут.

Однако, если отбросить шелуху про «русских хакеров Кремля», то в этой истории проступают очертания другого вероятного сценария, названного в статье «агрессивной борьбой с киберугрозами». Что же на самом деле могло произойти?

Итак, читаем статью ещё раз.

В далёком 2015-м году некий сотрудник АНБ, разработчик американских кибершпионских операций, решил поработать на дому и для этого скопировал на домашний компьютер секретную документацию. Для безопасности домашнего компьютера он справедливо выбрал лучший антивирус (догадайтесь какой), а для пущей надёжности (всё правильно сделал) включил защиту из облака (KSN). Вот в таком ландшафте он продолжил допиливать гос-вредоноса.

Ещё раз.

Разработчик шпионского софта трудился над проектом у себя дома, имея весь необходимый для этого инструментарий и документацию, защищая себя от мирового компьютерного зловредства нашим продуктом с подключением в облако.

Что должно произойти дальше?

Правильно: гос-вредонос должен быть распознан как подозрительный и отослан в облако для дальнейшего анализа. Это стандартный процесс обработки новых зловредов – и не только у нас. Все наши коллеги-конкуренты используют подобную логику в том или ином виде. Практика доказала, что это очень эффективное средство для борьбы с кибер-угрозами.

Что же происходит с данными в облаке? В 99,99% случаев анализом подозрительных объектов занимаются технологии машинного обучения, зловреды отправляются на детект и в архив, остальное – в мусор. Прочее уходит на «ручную обработку» вирусным аналитикам, у которых жёсткая инструкция: если к нам помимо малвары попадут какие-либо конфиденциальные данные, то они будут категорически уничтожены вне зависимости от их происхождения. Здесь всё чисто.

Далее – как я оцениваю вероятность взлома наших продуктов русскими гос-хакерами?

Теоретическая возможность есть (программы пишутся людьми, а людям свойственно ошибаться), но её практическую реализацию я оцениваю как нулевую. В том же году, когда случилась описанная WSJ история, мы выпасли в своей сети атаку неизвестной кибервоенщины – Duqu2. По этой причине мы провели тщательный аудит исходных кодов, обновлений и других технологий и не нашли никаких признаков стороннего проникновения. Впрочем, мы очень серьёзно относимся к любым сведениям о возможных уязвимостях продуктов и поэтому аудит повторим.

Вывод:

Если история с обнаружением госвредоноса на домашнем компьютере сотрудника АНБ действительно имела место быть, то это, дамы и господа, предмет для гордости. Проактивно задетектить неизвестную кибервоенную малвару – это очень круто! Это лучшее доказательство превосходства наших технологий и подтверждение принципа защищать от любой киберугрозы, вне зависимости от её происхождения и целей. Даже если это кому-то не нравится.

Ну, за Агрессивный™ детект зловредов!

Сегодняшний новостной выпуск в этой традиционной рубрике посвящен одной особенно противной и неприятной проблеме в киберпростанстве. Проблеме гопников шифровальщиков-вымогателей, также известных как ransomware.

Поток неприятных новостей про этот крайне подлый вид криминальной деятельности не просто не иссякает, а как раз наоборот. Причем, надежды на кардинальное улучшение ситуации в ближайшее время немного. Скорее наоборот: победная поступь информатизации и «Интернета вещей» пока что приводит к тому, что количество дырявых устройств и систем, соединенных с Интернетом растёт как на дрожжах. И вот к чему это приводит в нынешней неблагоприятной киберэпидемиологической обстановке:

Как заработать 140 тысяч долларов, наломав дров на миллиард

Дальше: межконтинентальная рансомварь стратегического назначения…

Мальчики и девочки, всем большие приветы!

Приношу всяческие извинения за молчания, но неделька выдалась очень боевая по полной программе.

Всё началось с того, что по причине совершенно неуместной для майской погоды в московском климате — вдруг пошёл снег, стало уныло и совершенно нелётно. Как результат: всем отменили воздушный парад на 9-е мая. А я его так ждал — фотобатарейку зарядил, объектив протёр, сам утеплился, изготовился… и облом-с. Вот мне интересно, там в наземной канцелярии управления погодными хлябями, там — в каких пропорциях были сложены именно эти небесные форс-мажорности и реальные «оптимизации бюджетных потоков»? Если проще — сколько неизвестно исчезнувшего бюджета там обнаружат и какие в процессе дознания истины будут определены сроки наказания? Мне просто любопытно, ничего личного. Просто чтобы в климатических погодных условиях следующего года не было досадных непредсказуемостей.

Но сначала было голубое небо, яркая контрастность пейзажей и праздничное, приподнятое над горизонтом настроение:

Дальше: зелёный город…

Так устроен homo sapiens, что ему постоянно и отчаянно хочется хоть одним глазком заглянуть за горизонт — увидеть какое будущее нам уготовано, как выглядит завтра? Да простится ему сие неразумное любопытство, поскольку homo sapiens «уготавливает» своё будущее сам, каждый божий день, своими собственными делами. Ну, если, конечно, не принимать в расчёт циклы Миланковича и другие силы природы :)

А по-научному заглянуть в будущее можно внимательно проанализировав настоящее. Это, кстати, относится и к кибербудущему, а особенно безопасности этого кибербудущего. Именно таким анализом мы занимаемся каждый год на киберслёте лучших секюрити-умов планеты — Security Analyst Summit (SAS):

Ой, не то. Вот:

Опс, вернее как-то так :)

В общем, каждый год я не перестаю удивляться как оно хорошо получилось и недоумеваю как это можно превзойти. И таки в следующий раз мы превосходим и улучшаем, делаем мероприятие «быстрее, выше, сильнее», привлекая всё больше экспертов по кибербезопасности и наглядно улучшая качество контента в том числе эксклюзивными материалами.

Вот о материалах сейчас и пойдёт речь. Предлагаю топ-5 на мой вкус самых-самых презентаций. Это не значит, что остальные были «соу-соу»: во-первых, все презентации, особенно происходящие в разных залах, посетить невозможно. А во-вторых, на вкус и цвет все фломастеры разные (c)

Ну, поехали!

Дальше: угнать дрон за 11 милисекунд…

Что общего между кибербезопасностью и палеонтологией?

Настолько много, что впору открывать новую науку «кибербез-палеонтологию». У нас даже есть отряд кибер-ниндзя (также известный как GReAT — Global Research and Analysis Team), который на ней специализируется. При этом анализ цифровых следов, останков и прочих костей невозможно переоценить. Наоборот — артефакты прошлого дают бесценные данные для изучения кибератак настоящего.

Об одном из таких случаев сейчас и пойдёт рассказ.

Не так давно в глобальном кибер-серпентарии буйным цветом расцвёл новый вид вредоносов под названием Wiper. Эта гадость действует довольно топорно – она полностью уничтожает данные на заражённых компьютерах, не оставляя шанса на их восстановление (если, конечно, нет резервной копии). Пожалуй, наиболее известным представителем этого вида является Shamoon, который в 2012г. уничтожил данные на 30+ тысяч девайсов в нефтяной компании Saudi Aramco. Только представьте себе тридцать тысяч неработающих компьютеров и разнообразных серверов в сети крупнейшего мирового производителя нефти.

С тех пор о Shamoon ничего не было слышно – казалось кибер-негодяи ушли в глубокое подполье. Новая инкарнация зловреда Shamoon 2.0 появилась только в конце 2016г. и всё там же – на Ближнем Востоке. Угрозу отловили, проанализировали, настроили защиту, начали изучать «останки и кости» вокруг и… немного прифигели. На поверхность всплыл принципиально новый «вайпер» — StoneDrill.

StoneDrill основан на своём оригинальном коде, отличном от Shamoon, и использует более продвинутые методы сокрытия в заражённой системе. Что самое неприятное в этой истории – StoneDrill целит за границы региона. На данный момент наши сенсоры нашли две жертвы, одна из которых находится в Европе. Это очень тревожный звонок, который свидетельствует о выходе серьёзного игрока кибервоенной сцены на глобальный уровень. К этому звонку необходимо прислушаться правительственным и коммерческим организациям во всём мире – мы видим, что ближневосточные «вайперы» расширяют свою географию.

Но вернёмся к киберпалеонтологии.

Дальше: неожиданная кульминация!…

Снова в эфире уже традиционная рубрика про хрупкость нашего всемирного цифрового дома. Интересных новостей про киберзловредство накопилось много! Да что там, поток таких новостей постепенно переходит из режима горного ручейка в масштаб полноценной Ниагары.

Как ветеран киберобороны скажу, что раньше катаклизмы планетарного масштаба обсуждались по полгода. А сейчас поток сообщений как лососи на нересте — толком и поговорить не о чем. «Слышал, хакнули Мегасуперкорпорацию, украли всё, и даже хомячка гендиректора самоуправляемый дрон унёс в неизвестном направлении?» — «Вчера ещё! А вот ты слышал…?»

Обычно в этой рубрике было в среднем по три новости зараз. Но приходится подстраиваться под обстоятельства, и сегодня будет горячая семёрка по-своему важных и интересных историй из мира цифровой опасности.

«Зарази братуху — получи скидку»

Киберпреступники давно ведут свою криминальную деятельность как бизнес. До нас доходили истории про «партнёрские конференции», когда одни преступные группы собирали другие, чтобы обсуждать сотрудничество и стратегию. Не чужды, в общем, негодяи учебников по менеджменту и маркетингу. А о чём надо думать, строя бизнес? О продуктах и услугах, разработке, организационной структуре, каналах — да много о чём!

Вот некие вымогатели почесали голову и предложили сделать своих жертв прямыми соучастниками в деле распространения малвары. Злобный сетевой маркетинг в худшем виде: зарази двух знакомых и получи ключ от своих файлов бесплатно.

Наступив в какую-нибудь гадость, ты получаешь предложение: плати или подгадь двум людям из списка контактов — пусть они платят (или дальше распространяют). И каждый будет потом чесать голову, то ли сам кликнул не на ту ссылку или забрёл в глубокие и заразные дебри без адекватной защиты, то ли какой-то друг сволочь виновата. Хорошо, что о реальных заражениях ничего неизвестно — это пока полуфабрикат, найденный исследователями в мутных тёмных глубинах даркнета.

Дальше: хэдхантинг по-хакерски…