кибер атака на телефон
Мировая атака. Хакер предположил причину единовременного сбоя социальных сетей
Хакер Варской: причина падения социальных сетей может быть в DDoS-атаке
Вечером 4 октября наблюдается масштабный сбой в работе популярных сервисов. Рухнули Facebook и Instagram, не работает WhatsApp, пользователи жалуются на сбои в Google и TikTok, появляются сведения, что перебои затронули даже сеть «ВКонтакте». Хакер Александр Варской в беседе с «360» предположил, что это может быть очень сильная DDoS- атака.
Эксперт отметил, что сбои не обязательно вызваны действиями злоумышленников. Сеть — очень сложная структура, в которой могут происходить какие-то неполадки. Но если это действительно атака, то ее авторы обладают сильнейшими ресурсами, состоящими из многих машин. По словам Варского, атакующие могут просто демонстрировать силу людей, которые орудуют на черном рынке.
Хакер добавил, что сейчас нужно дождаться официального ответа от представителей рухнувших ресурсов. Хотя не факт, что этот ответ будет правдивым, полагает эксперт. Он надеется, что сбой не растянется на продолжительное время, и что завтра популярные порталы все-таки начнут исправно работать.
На данный момент одной из немногих корректно работающих зарубежных социальных сетей остается Twitter. Пользователи массово начинают писать именно в нем, и администраторы вовсю шутят над этим в официальном аккаунте. Они уже сообщили, что приветствуют вообще абсолютно всех.
Стало известно о новой опасной тактике хакеров
Хакеры научились вторгаться в деловые переписки российских компаний с зарубежными партнерами, чтобы в дальнейшем высылать иностранцам фальшивые счета на оплату тех или иных услуг. Как сообщают «Известия» со ссылкой на представителей компании RTM Group, средний ущерб от одной такой атаки обходится компании-жертве в 100 тысяч евро.
Новая опасная тактика хакеров в третьем квартале 2021 года применялась сотни раз, хотя о ее существовании стало известно намного раньше. За указанный период мошенники заработали таким образом до 15 миллионов евро. Рост числа подобных случаев за последние полгода составил 50 процентов, а пик активности киберпреступников пришелся на август и сентябрь.
Как отмечают в RTM Group, проникновение в чужие бизнес-переписки становится возможным благодаря применению методов социальной инженерии или брутфорса (перебора с помощью специальных программ различных комбинаций паролей для поиска верного). Иногда хакеры после изучения деталей переписки создают отдельную почту, отличающуюся от названия ящика жертвы на одну-две буквы, и продолжают переписку уже с этого адреса.
После установления контакта поддельный партнер сообщает потенциальной жертве о смене реквизитов счета для отправки денег за товар. Как правило, предоставляются реквизиты специально созданной для этого компании-однодневки. После того как жертва переводит деньги, преступники отправляют их на свои счета и закрывают подставную фирму, рассказали в RTM Group.
Аналитики в области информационной безопасности отмечают, что для проведения одной такой атаки требуются серьезные ресурсы и длительное время. С момента начала попытки внедрения и до поступления денег на счет может пройти несколько месяцев. Чаще всего страдают организации, занимающиеся производством, технологиями и инжинирингом.
Ранее выяснилось, что каждый пятый россиянин хотел бы стать хакером, хотя представление о том, чем занимаются люди этой профессии, у жителей страны достаточно размытое. Говоря о том, чем конкретно занимаются хакеры, 85 процентов россиян выбрали пункт «взламывают чужие сайты». Также оказались популярны варианты «воруют или удаляют данные» (72 процента), «выводят из строя программы и технику» (61 процент) и «шантажируют компании или людей» (40 процентов).
5 самых выдающихся кибератак
Эпидемии, шпионаж, разрушения — рассказываем про самые запомнившиеся кибератаки последних лет.
Чаще всего кибератака выглядит довольно обыденно: в худшем случае на экране у пользователя появляется уведомление, что его компьютер зашифрован, и требование заплатить выкуп. Зачастую же ничего видимого вообще не происходит — многие зловреды стараются вести себя максимально тихо и незаметно, чтобы успеть украсть как можно больше ценной информации до того, как их заметят.
Но бывают кибератаки, которые привлекают внимание — либо своим масштабом, либо своей изощренностью. В этом посте мы расскажем о пяти наиболее выдающихся кибератаках последнего десятилетия.
WannaCry: настоящая эпидемия
После этой атаки о шифровальщиках в частности и о компьютерных зловредах вообще узнали даже те, кто раньше ничего похожего в жизни не слышал. Используя эксплойты из арсенала Equation Group, которые стали доступны публике благодаря хакерам Shadow Brokers, злоумышленники создали страшное чудовище — шифровальщика, который был способен быстро распространяться по Интернету и локальным сетям.
В результате четырехдневной эпидемии WannaCry из строя вышли более 200 000 компьютеров в 150 странах. В том числе досталось и критической инфраструктуре — в некоторых больницах WannaCry зашифровал все устройства, включая медицинское оборудование, а некоторые заводы были вынуждены остановить производство. Из недавних атак WannaCry — самая масштабная.
Подробнее о WannaCry читайте здесь, а о бизнес-аспектах эпидемии можно узнать здесь и здесь. Кстати, WannaCry до сих пор гуляет по миру, и о том, как правильно настроить Windows, чтобы от него защититься, написано вот тут.
NotPetya/ExPetr: самая дорогая атака за всю историю
При этом самой дорогостоящей атакой стала эпидемия не WannaCry, а другого шифровальщика (на самом деле вайпера, но суть от этого не меняется) — ExPetr, также известного как NotPetya. Принцип действия у него был тот же самый: используя эксплойты EternalBlue и EtrernalRomance, червь перемещался по Сети и безвозвратно шифровал все на своем пути.
Эпидемия оказалась менее масштабной по общему количеству зараженных машин, однако в случае NotPetya основными жертвами стали бизнесы — в том числе потому, что одной из изначальных точек распространения было финансовое программное обеспечение MeDoc. Злоумышленникам удалось получить контроль над сервером обновлений MeDoc — и в результате множество клиентов, использующих это ПО, под видом обновления получили зловреда, который затем отправился распространяться по сети.
Подробнее об эпидемии NotPetya/ExPetr можно узнать в отдельном посте; о том, какие неприятности она доставила бизнесу, можно почитать тут; а вот здесь мы рассказываем, почему эпидемия, выводящая из строя крупные бизнесы, касается не только тех, чьи компьютеры заразились, но и всех остальных.
Stuxnet: выстрелившее кибероружие
Наверное, самая легендарная атака — сложный, комплексный зловред, который вывел из строя центрифуги для обогащения урана в Иране, замедлив иранскую ядерную программу на несколько лет. Именно после появления Stuxnet начали говорить об использовании кибероружия против промышленных систем.
Ничего более сложного и хитроумного в то время просто не существовало — червь умел незаметно распространяться через USB-флешки, проникая даже в те компьютеры, которые не были подключены к Интернету или локальной сети.
Червь вышел из-под контроля, быстро разошелся по миру и заразил сотни тысяч компьютеров. Впрочем, повредить этим компьютерам он не мог, потому что был создан для весьма специфической задачи. Как-либо проявлял себя червь только тогда, когда оказывался на компьютерах, управляющих программируемыми контроллерами и софтом Siemens. В этом случае он перепрограммировал контроллеры. Задавая слишком большие значения скорости вращения центрифуг для обогащения урана, он становился причиной их физического разрушения.
Вообще про Stuxnet написана целая книга, но для общего понимания, как червь распространялся и что заражал, хватит, наверное, вот этого поста.
Dark Hotel: шпионы в нумерах
Не секрет, что публичные сети Wi-Fi в кафе или аэропортах могут быть не слишком безопасными. Но при этом многие верят, что в отелях-то все должно быть лучше: пусть даже сеть там и открытая, но хотя бы с какой-то нормальной авторизацией.
Некоторым топ-менеджерам и высокопоставленным чиновникам такие представления дорого обошлись — при подключении к сети отеля им предлагали установить легитимное на первый взгляд обновление какого-нибудь популярного программного обеспечения, и как только они это делали, их устройства заражались шпионской программой Dark Hotel, которую злоумышленники специально внедряли в сеть за несколько дней до их приезда и убирали несколькими днями позже. Незаметный шпион считывал нажатия клавиш, а также позволял злоумышленникам организовывать целевые фишинговые атаки.
Подробнее о том, как происходило заражение Dark Hotel и что случалось после заражения, читайте вот в этом посте.
Mirai: падение Интернета
О существовании ботнетов было известно давно, но появление «Интернета вещей» буквально вдохнуло в ботнеты новую жизнь: злоумышленники принялись массово заражать устройства, о безопасности которых никто толком не заботился и антивирусы для которых никто не писал. Дальше эти устройства искали другие такие же — и заражали уже их. Вся эта зомби-армада, построенная на зловреде с романтичным именем Mirai (в переводе с японского «будущее»), расширялась, росла и ждала команды.
И однажды — 21 октября 2016 года — владельцы гигантского ботнета, просто пытаясь понять его возможности, заставили все эти миллионы цифровых видеорекордеров, роутеров, IP-камер и прочей «умной» техники завалить обращениями DNS-провайдера Dyn.
Это называется DDoS-атака, и такой массированной атаки Dyn не выдержал. А вместе с DNS перестали быть доступны и сервисы, на него полагавшиеся: в США невозможно было пользоваться PayPal, Twitter, Netflix, Spotify, онлайн-сервисами PlayStation и много чем еще. Со временем Dyn удалось отбиться, но масштабная атака Mirai-ботнета заставила мир всерьез задуматься о безопасности «умных» вещей — это была более чем наглядная демонстрация того, что может произойти, если ей пренебрегать.
Подробнее о ботнетах Mirai, атаке на Dyn и сломавшемся в 2016 году Интернете можно почитать вот в этом посте.
5 признаков АРТ-атаки и советы по ее предотвращению
Кибератаки становятся все более распространенными. Под ударом могут оказаться крупные и маленькие компании. Чаще всего, хакеры «сливают» конфиденциальную или любую ценную информацию. Взлом данных представляет серьезный риск для компаний, а так же для их клиентов, но существует еще большая угроза, захватившая киберсферу: целевая продолжительная атака повышенной сложности или APT-атака. Мы объясним, что такое APT-атака и о том, как вы можете защитить свою компанию и данные.
Что такое целевая продолжительная атака повышенной сложности (APT)
АРТ-атака (Advanced Persistent Threat) – это целевая продолжительная атака повышенной сложности, задача которой является обнаружение на устройстве пользователя секретной, конфиденциальной или любой ценной информации и использование ее в интересах киберпреступников. Хакер проникает в вашу компьютерную сеть и проводит в ней много времени, отслеживая перемещение данных, действия основных пользователей и важную информацию. Злоумышленники делают все, чтобы остаться незамеченными, и могут использовать для этого сложные инструменты.
Эти атаки не являются случайными. Хакеры тщательное выбирают своих жертв. Ими обычно являются крупные компании или даже правительственные организации, которые имеют дело с сверхсекретными данными, например, военными и финансовыми вопросами или патентами.
Важно отметить, что хакеры могут инициировать атаки, используя методы тагетирования, которые не являются ни новыми, ни постоянно применяемыми. Некоторые злоумышленники жертвуют продолжительностью атаки ради ее скрытости в надежде на то, что тактика «необнаружения» поможет скрыть их действия в системе, что уменьшит необходимость в проведении продолжительных атак. Другие киберпреступники на начальном этапе атаки используют инструменты администрирования вместо новых специализированных инструментов. Совершенствование методов проведения атак подчеркивает важность использования проверенного и надежного программного обеспечения для обеспечения безопасности.
5 признаков APT-атаки
Эти атаки могут быть очень сложными и трудно обнаруживаемыми. Как узнать, стала ли ваша компания жертвой APT-атаки, особенно если учесть, что киберпреступники идут на все, чтобы остаться незамеченными? Сочетание нескольких признаков может предупредить вас о потенциальной APT-атаке. Однако также очень важно установить партнерские отношения с опытным поставщиком решений кибербезопасности и использовать специализированные средства защиты от APT-атак для их своевременного обнаружения и устранения. К предупреждающим знакам относятся:
1) Целевые фишинговые сообщения в электронной почте
Хакерам нужен вход в систему, и для этого они часто используют электронную почту. Основываясь на данных разведки, проводимой перед атакой, злоумышленники выбирают темы, которые могут вызвать интерес у нужных им сотрудников. Сообщения могут содержать зараженное вложение или ссылку, которая загружает программу, предоставляющую доступ к вашей системе.
Это называется мошенничеством с использованием целевого фишинга. Оно отличается от обычного фишинга, когда электронные письма не являются персонализированными, а рассылаются всем подряд с целью «выудить» личную информацию или данные у как можно большего количества людей. Тагетированный фишинг нацелен на конкретных людей в конкретных компаниях, а злоумышленники используют добытую ранее личную информацию, чтобы казаться более убедительными и придавать достоверность своим сообщениям. Любые отправляемые руководителям высшего звена электронные письма с вложениями неизвестных лиц помечаются красным флагом. Очень важно, чтобы сотрудники знали об опасности фишинга и рисках, связанных с открытием вложений и переходом по ссылкам в незапрошенных сообщениях.
2) Старые логины
Отслеживайте и анализируйте количество входов в вашу сеть. Если вы заметили, что в нерабочее время выполняется много входов в систему или используются какие-то необычные шаблоны входа, насторожитесь. Это особенно актуально, если вход в систему осуществляется сотрудниками руководящего звена с высоким уровнем доступа в вашей сети. Киберпреступники могут находиться в других странах на другом конце света, чем может объясняться необычное время входа в систему. Также они стараются действовать, когда в офисе мало или вообще нет людей, которые могли бы заметить и остановить подозрительную активность.
3) Распространенные трояны-бэкдоры
4) Перемещение данных
5) Данные сгруппированы и готовы к экспорту
Советы по предотвращению APT-атак
APT являются сложным типом атак, однако, ваша компания может принять меры для их предотвращения. Воспользуйтесь нашими советами для защиты от APT-атак.
Проводите среди сотрудников разъяснительную работу о том, что такое фишинговое мошенничество
Убедитесь, что все исправления безопасности установлены
APT-группировки всегда готовы использовать любые уязвимости в вашей системе. Именно поэтому так важно регулярно обновлять программы кибербезопасности. Если вы не устанавливаете обновления и исправления или делаете это с опозданием, ваша компания становится уязвимой для атак.
Обеспечьте лучшую защиту ваших конфиденциальных данных
Обеспечьте большую безопасность вашей конфиденциальной информации. Не предоставляйте автоматически права администратора сотрудникам, которым они им не нужны. Ограничьте доступ к данным и возможность их редактирования, чтобы уменьшить вероятность случайных изменений. Примите меры к тому, чтобы ваши наиболее ценные данные было сложнее найти и скопировать.
Сотрудничайте с компанией по кибербезопасности
Ваша организация имеет дело с важными данными? Вам нужна компания по кибербезопасности с опытом противодействия APT-атакам. Такая компания проанализирует ваши потребности, развернет защитное решение и будет активно отслеживать ваш цифровой отпечаток для обеспечения максимальной безопасности.
Что случилось с Twitter, PayPal, Amazon и другими американскими сервисами
Как у киберпреступников получилось прервать работу Twitter, PayPal, Amazon, Netflix, Sony и восьми десятков других компаний.
Возможно, вы слышали, что в прошлую пятницу более восьми десятков крупных сайтов и сервисов, включая Twitter, Amazon, PayPal и Netflix, не работали из-за хакерской атаки. Давайте разберемся, что произошло, почему это так опасно и как это происшествие касается всех и каждого — и нас с вами тоже.
Что случилось?
21 октября кто-то (и до сих пор неизвестно кто) провел серию атак на американскую интернет-инфраструктуру. Делалось это в три захода. От первого больше всего пострадало Восточное побережье Северной Америки. Вторую волну ощутили жители Калифорнии и Среднего Запада, а также Европы. Третью волну заметили по большому счету только сотрудники американского DNS-провайдера Dyn, который и был целью всех трех атак. Собственно, третью атаку ИТ-специалистам компании удалось отразить, но, пока Dyn решал свои проблемы, 85 крупных сайтов работали с перебоями или вообще были недоступны.
Например, американцы не могли смотреть сериалы на Netflix, отправлять денежные переводы с помощью PayPal, играть в онлайн-игры на Sony PlayStation, и даже рассказать о произошедшем в Twitter тоже было нельзя, поскольку соцсеть «лежала».
Также пострадали музыкальные сервисы Spotify и SoundCloud, новостные сайты The New York Times, CNN и многие другие ресурсы. Особого внимания хакеров удостоилось подразделение Amazon в Западной Европе — его преступники атаковали отдельно, и оно тоже не работало какое-то время.
Так как же это произошло? Для того чтобы ответить на этот вопрос, надо пояснить, что такое DNS — система доменных имен — и как устроены современные атаки.
Can’t get on a website? This is a live map, right now, of the massive DDoS attacks on Dyn’s servers. It is creating many issues right now. pic.twitter.com/fekUqNgaL7
Что такое DNS и что такое DDoS-атака?
Начнем с DNS — системы доменных имен, или Domain Name System. Простое объяснение такое. Каждому сайту соответствует цифровой адрес. Например, сайт blog.kaspersky.ru живет по IP-адресу 161.47.21.156. DNS-сервер служит своего рода адресной книгой — с его помощью браузер определяет, по какому IP-адресу искать тот или иной сайт.
Если DNS-сервер не отвечает на запрос, браузер не может понять, откуда получать информацию. Поэтому DNS-серверы — это часть критической инфраструктуры Интернета, а DNS-провайдеры — важные организации, которые обеспечивают их работу.
DDoS-атака (Distributed Denial of Service — распределенная атака типа «отказ в обслуживании») вызывает перебои в работе или падение сайта из-за того, что его серверы не справляются со множеством ложных, мусорных запросов. Для проведения DDoS-атак преступникам нужно отправить очень много запросов, а для этого нужно очень много устройств. Так что в большинстве случаев они используют целые армии из взломанных устройств — ботнеты.
Как злоумышленники одолели Dyn?
Скорее всего, вы уже все поняли, но мы на всякий случай все же расскажем. DDoS-атака на Dyn проводилась с помощью гигантского ботнета, включавшего десятки миллионов устройств: IP-камеры, роутеры, принтеры и другие устройства из Интернета вещей. Все вместе они передавали данные на серверы Dyn со скоростью 1,2 Тбит/с. Злоумышленники не просили выкуп и не предъявляли никаких других требований.
Собственно, они вообще себя никак не проявляли. Так что пока неизвестно, кто на самом деле в ответе за произошедшее. Хакерские группировки New World Hackers и RedCult взяли ответственность на себя. RedCult к тому же обещала провести другие подобные атаки в будущем.
При чем тут обычные пользователи?
Чтобы сформировать ботнет, злоумышленникам нужно взломать подключенные к Интернету устройства. После этого они служат двум хозяевам: работают для своего владельца, как обычно, а также атакуют веб-сайты по команде киберзлодеев. В атаке на Dyn были задействованы миллионы таких взломанных устройств.
Для создания ботнета злоумышленники использовали вредоносное программное обеспечение Mirai. Работает оно довольно просто: находит устройства из Интернета вещей и перебирает пароли, пока не получит доступ с правами администратора. В основном рядовыми зомби ботнета Mirai становятся гаджеты пользователей, поленившихся или не сумевших изменить настройки и пароли, установленные производителем по умолчанию. То есть, например, ваша подключенная к Сети ТВ-приставка тоже могла оказаться частью ботнета и принять участие в атаке, просто вы об этом не знаете.
И еще раз про «интернет вещей», которому пока что больше подходит название «интернет угроз»: http://t.co/sYO2wox3ZY pic.twitter.com/oQ8f5aJJVb
В сентябре этого года неизвестные использовали это ПО, чтобы прервать работу блога специалиста по безопасности Брайана Кребса. 380 тысяч зомбированных устройств обрушили на сервер сайта непосильную нагрузку — до 665 Гбит/с. Провайдер долго держал оборону, но потом сдался, не выдержав натиска. Блог заработал вновь, только когда Google взял его под свое крыло и защитил от преступников.
Вскоре после этой атаки пользователь Интернета с ником Anna-senpai опубликовал исходный код зловреда на подпольном форуме, и преступники всех мастей тут же взяли его на вооружение. С тех пор число ботов Mirai постоянно растет. Буквально через месяц после публикации исходного кода неизвестные использовали зомбированные устройства для атаки на Dyn.
Почему самый мощный ботнет получился именно из Интернета вещей?
DDoS сейчас очень популярный вид атаки. Преступники уже создают ботнеты с помощью устройств из Интернета вещей, и дальше будет только хуже: как мы уже неоднократно писали, Интернет вещей дыряв и уязвим, и в ближайшее время это не изменится.
Производители умных устройств мало что делают, чтобы защитить свои гаджеты и объяснить пользователям, как важно менять стандартные пароли на камерах, роутерах, принтерах и других устройствах. Собственно, они не всегда позволяют их менять.
Сейчас к Сети подключено от 7 млрд до 19 млрд IoT-устройств, и, по самым скромным оценкам, в ближайшие пять лет это число вырастет до 30–50 млрд. Почти наверняка значительная часть этих устройств будет не очень хорошо защищена. Мало того что устройства, скомпрометированные Mirai, все еще активны — новые гаджеты пополняют ряды армии ботов с каждым днем.
Боты Mirai продолжают вербовать IoT-устройства с быстротой, достигшей рекордных высот после публикации исходников: https://t.co/k6AOVZLtp9
Почему это так опасно?
В качестве целей для атак своих сверхмногочисленных армий ботов злоумышленники почему-то все чаще выбирают объекты критической инфраструктуры — электрические подстанции, коммунальные компании и, да, DNS-провайдеров.
Уже два года сотрудники компаний, обеспечивающих работу глобальной сетевой инфраструктуры (провайдеры DNS, магистральные провайдеры и другие организации), наблюдают, как неизвестные злоумышленники проверяют Интернет на прочность с помощью мощных и продолжительных DDoS-атак.
Ботнеты растут, так что рано или поздно проверки на прочность закончатся и начнется полномасштабная атака. Представьте себе несколько десятков взломов вроде того, что приключился с Dyn, но произошедших одновременно, — и вы примерно поймете, чего ждать. Такими темпами можно просто остаться без Интернета.
Как не стать частью ботнета?
Каждый отдельный человек вряд ли может сделать что-то с проблемами такого глобального масштаба. Но здесь важна коллективная ответственность — если все люди будут заботиться о безопасности своих устройств, ботнеты вроде Mirai если и останутся, то как минимум станут значительно меньше.
Если вы хотите уменьшить вероятность того, что ваш принтер, роутер или термостат однажды будет использоваться для того, чтобы оставить весь мир без соцсетей, платежных сервисов и онлайн-кинотеатров, то нужно сделать несколько простых вещей.