Так или иначе, Chimera причиняет достаточно неприятностей определенному числу пользователей. И теперь у них есть повод для оптимизма. Интересно, что ключи Chimera опубликованы не специалистами по кибербезопасности, как это обычно бывает, а кибрепреступником, скрывающимся под ником Janus. Ему принадлежит авторство другого зловреда-шифровальщика – Petya – также распространенного в основном в Германии. И Janus не скрывает, что пошел на публикацию ключей Chimera для устранения конкурентов с рынка. Такая ситуация исчерпывающе описывается русской поговоркой «Вор у вора дубинку украл».

Специалисты компании Malwarebytes, первыми обнаружившие опубликованные ключи шифрования Chimera, призывают жертв зловреда запастись терпением. Анализ ключей и создание инструмента расшифровки могут занять некоторое время. Тем не менее, ни платить выкуп, ни удалять заблокированные файлы не стоит – шансы на успех выглядят весьма неплохими.

Глава управления операциями по законному доступу АНБ Роберт Джойс не стал комментировать конкретную атаку, но отметил, что у агентства есть технические возможности и правовые полномочи для того, чтобы «взломать в ответ» вызывающие подозрения хакерские группировки и собрать необходимую развединформацию. «В том, что касается миссии внешней разведки, одна из наших задач — попытаться понять, кто взломал нашу систему. Это тяжелая работа, но это входит в наши обязанности», — пояснил он.

Раджеш Ди, бывший главный консультант АНБ, считает, что в этом деле спецслужба может действовать в силу своей компетенции, поскольку российское правительство «вне сомнения является целью разведки». По его мнению, АНБ может в такой ситуации действовать самостоятельно или оказывать ФБР, ведущему расследование взлома DNC, техническую поддержку.

Кроме этого, США рассматривают возможность введения санкций против стороны, ответственной за взлом, заявила помощник президента США Барака Обамы по борьбе с терроризмом Лиза Монако.

По ее словам, в настоящее время Белый дом точно не знает, кто осуществил кибератаки, в которых представители партии демократов обвинили связанных с Россией хакеров, однако пытается это установить.

Вчера The New York Times написала, что компьютерные системы, используемые предвыборным штабом демократов, были взломаны, по-видимому, в результате кибератаки, проведенной российскими спецслужбами.

Добавим, накануне российская ФСБ сообщила о выяслении фактов внедрения вредоносного программного обеспечения, предназначенного для кибершпионажа, в компьютерные сети порядка 20 организаций РФ.

«Заражению подверглись информационные ресурсы органов государственной власти и управления, научных и военных учреждений, предприятий оборонно-промышленного комплекса и иные объекты критически важной инфраструктуры страны. Данное обстоятельство указывает на целевой характер распространения вируса, профессионально спланированную и осуществленную операцию», — говорится в поступившем в «Интерфакс» сообщении.

После внедрения в систему вредоносная программа подгружает необходимые модули, с учетом особенностей «жертвы», после чего способна осуществлять перехват сетевого трафика, его прослушивание, снятие скриншотов экрана, самостоятельное включение web-камер и микрофонов ПЭВМ, мобильных устройств, запись аудио и видео файлов, данных о нажатии клавиш клавиатуры. Угроза была локализована, отметили в ведомстве.

Утечка данных

Сторонняя клавиатура Swiftkey для iPhone, iPad и Android раскрывает персональные данные пользователей без спроса и без их ведома, сообщает The Telegraph. Так, один из владельцев смартфона с удивлением увидел, что Swiftkey подставляет ему незнакомый адрес электронной почты при вводе текста. Другой пользователь начал получать подсказки на иностранном языке, на котором он никогда не общался прежде.

Клавиатура Swiftkey

Приложение Swiftkey было разработано тремя выпускниками Кембриджского университета. В феврале 2016 г. Microsoft объявила о приобретении компании Swiftkey за $250 млн.

SwiftKey запоминает, что пользователь вводит, и затем, после определенного периода обучения, пытается угадать следующие слова при вводе очередного текста, в том числе имена и названия, адреса электронной почты и телефонные номера. Клавиатура продолжает обучаться для того, чтобы повысить точность угадывания.

Чужие адреса и телефоны

Вводимые данные SwiftKey хранит в базе данных, информация из которой затем служит для подстановки. Возникший сбой привел к тому, что пользователи начали получать чужие подсказки.

Swiftkey раскрыла персональные данные третьим лицам

Один из пользователей SwiftKey рассказал, что ему на электронный ящик написал незнакомец. Тот рассказал, что только что купил новый смартфон, установил SwiftKey, и клавиатура предложила ему ввести чужой электронный адрес, поэтому он решил написать по нему и предупредить.

В своем письме незнакомец перечислил все, что предлагала ему клавиатура SwiftKey. Это был целый список подстановок с именами друзей и адресами частных серверов, используемых в работе.

Реакция SwiftKey

В компании SwiftKey сообщили The Telegraph о том, что изучают проблему. А также сказали, что отключили функцию синхронизации базы данных с сервером 29 июля 2016 г. Это привело к некоторым трудностям. Пользователи теперь не могут на новом устройстве получить накопленные ранее подсказки.

Разработчики добавили, что планируют убрать подстановку адресов электронной почты для большей безопасности.

В блоге компании сообщается, что проблема не затронула основную часть пользователей.

В середине июля PoodleCorp пообещали 1 августа «повалить» сервера Pokemon GO и уничтожить игру, но никакой атаки так и не произошло. Позже LeakedSource сообщили в своем Twitter, что к ним в руки попали данные с сервера злоумышленников, а также копия контрольной панели, с помощью которой те управляют своим ботнетом.

Кроме того, эксперты сумели идентифицировать четверых членов группы и теперь собираются передать всю найденную информацию представителям правоохранительных органов.

Группировка PoodleCorp известна своими атаками на ряд звезд YouTube, в том числе Pewdiepie, а также серверы Stream и игры League of Legends. В июле злоумышленники пообещали «уничтожить» Pokemon GO с помощью массовых DDoS-атак. «Мы положим их сервера, и никто нас не остановит. Мы сделаем это, потому что можем, и нам нравится нести хаос», — отметил один из участников группировки.

$20 млн за отслеживание любого мобильника

Израильская компания Ability готова обеспечить заказчика возможностью отслеживания любого мобильного телефона в мире. Для этого потребуется решение Unlimited Interception System (ULIN), стоимость которого достигает $20 млн, в зависимости от того, какое количество абонентов нужно отслеживать одновременно, сообщает Forbes со ссылкой на конфиденциальный документ, который оказался в распоряжении редакции.

Прослушка и перехват

Под отслеживанием подразумевается не только определение местонахождения абонента, но также прослушивание его разговоров и перехват SMS-сообщений. Для всего этого системе ULIN необходим лишь номер мобильного телефона отслеживаемого или международный идентификатор мобильного абонента IMSI (International Mobile Subscriber Identity).

Без ограничений по географии

Возможности у решения гораздо более широкие, чем у IMSI-считывателей (широко известных как StingRays). Такими устройствами пользуется американская полиция. Они позволяют узнавать IMSI абонента и отслеживать мобильники — но только если цель находится в радиусе действия.

У ULIN нет ограниченного радиуса действия. Система работает по всему миру. Она может отслеживать мобильник в любой стране и в любой мобильной сети, даже если оператор не давал на этого разрешения (и без его ведома).
За $20 млн можно получить доступ к любому мобильнику в мире

Уязвимости в протоколе

Для обеспечения работы и всей заявленной функциональности ULIN использует уязвимость в протоколе Signalling System No. 7 (SS7) — ключевом элементе мировой инфраструктуры мобильной связи. С помощью SS7 осуществляется маршрутизация телефонных вызовов между различными центрами коммутации и различными операторами. SS7 также используется для роуминга. Например, когда абонент американского оператора Verizon уезжает в Испанию в отпуск, местные операторы посредством этого протокола обмениваются данными с домашним оператором абонента для того, чтобы определить, кто его обслуживает.

Используя уязвимости в SS7, злоумышленники, например, могут перенаправлять входящие звонки на телефон жертвы на свой собственный голосовой ящик. Такая возможность существует, потому что операторы не предпринимают достаточных мер для защиты от атак такого рода.

Ранее компании, работающие на правительство США, передавали эксплойты (средства эксплуатации уязвимости) для SS7 операторам связи для того, чтобы те затем предоставляли данным компаниям доступ к своим абонентам. Согласно публикации Washington Post от 2014 г., это позволяло узнавать их местоположение, но не давало возможности перехватывать коммуникации.

Предполагаемые принципы работы

Ability не раскрывает принцип работы системы ULIN. По мнению консультанта по безопасности Дрю Портера (Drew Porter) из компании Red Mesa, описанные в документе возможности системы технически реальны. Он рассказал, что использовать их можно двумя способами: либо взломав сеть SS7, либо воспользовавшись системой у какого-либо оператора, который имеет возможность «общаться» со значительной частью сети.

Портер считает, что первый вариант «предпочтительнее», так как он не требует кооперации с операторами. Второй вариант требует налаживание контакта с телекоммуникационной компанией и потому «не такой идеальный», так как позволяет отследить тех, кто осуществляет прослушку.

«Обладать доступом к SS7 — это как иметь золотой ключ в области наблюдения. Я не удивлен, что [Ability] смогла воспользоваться возможностью», — заявил Forbes адвокат по правам человека и специалист по безопасности Клаудио Гарньери (Claudio Guarnieri).

Взлом мессенджеров

В конце мая 2016 г. хакеры опубликовали в Сети видео взлома аккаунтов WhatsApp и Telegram. Для этого им не потребовалось преодолевать защиту самих мессенджеров, которые задействуют сквозное шифрование данных.

Они также воспользовались уязвимостями в протоколе SS7 для того, чтобы обмануть оператора и перенаправить SMS-сообщение с кодом аутентификации, которое получает каждый пользователь мессенджера при его установке, с телефона жертвы на собственный мобильник.

Ранее Peace уже выходил на хакерский черный рынок с большими массивами данных пользователей социальных сетей MySpace и LimkedIn. В обоих случаях компании признали утечку данных, уточнив, впрочем, что информация относится к 2012-2013 годам. Сам хакер датирует полученные им данные также 2012 годом. Корпорация Yahoo уже подтвердила, что ей известны заявления Peace, однако пока не признала факт утечки.

Между тем специалисты ресурса Motherboard, в распоряжении которых оказалась небольшая часть данных, предоставленная самим хакером, провели собственную выборочную проверку. Из двух десятков выбранных ими имен учетных записей Yahoo большинство оказались реально существующими. В то же время многие из 100 сообщений электронной почты, отправленных на произвольно выбранные адреса, вернулись с указанием, что данный адрес заблокирован либо не существует.

В список этих объектов входят ведущие предприятия энергетического, оборонного и других секторов, атака на которые может нести критическую угрозу безопасности государства. «Но система выборов точно так же критически, жизненно важна для института демократии», – подчеркнул Джей Джонсон. Он, впрочем, не назвал каких-либо конкретных мер, которые могут защитить эту систему, а потому специалисты по кибербезопасности восприняли слова министра достаточно сдержанно. По их мнению, одна только «смена вывески» не даст никаких результатов: нужен продуманный план и серьезные инвестиции в обеспечение защиты выборов.

Между тем, глава компании CrowdStrike Дмитрий Альперович полагает, что угроза выборам вполне реальна. Наиболее слабым звеном в системе он считает компьютеры на избирательных участках, откуда результаты передаются в вышестоящие инстанции. И если сами машины для электронного голосования защищены достаточно надежно, то на рядовых избирательных участках установлены чаще всего обычные персональные компьютеры, степень защиты которых оставляет желать лучшего. Это открывает возможности фальсификации пересылаемых результатов.

Однако главную угрозу Альперович видит даже не в этом. Пусть выборы пройдут без всяких намеков на подтасовки и стороннее вмешательство, – говорит он. Но достаточно будет некой хакерской группировке заявить на следующий день, что она подменила результаты – и это посеет сомнения в сердцах избирателей. А неверие в систему выборов – и есть самый страшный удар по демократии.

По утверждению Ubergizmo, взлом произошел месяц назад, но о его последствиях стало известно только сейчас.

Основная масса украденных аккаунтов (чуть более миллиона) были зарегистрированы на почтовые ящики gmail, что ставит под угрозу пользователей электронной почты от Google. На втором месте стоит Hotmail (более 170 тысяч), за ним следует Yahoo (чуть более 44 тысяч).

Администрация форума сообщила, что база данных не содержит учетных данных и финансовую информацию, которая может быть связана с аккаунтом Steam (сервис распространения компьютерных игр и программ, принадлежащий компании Valve).

Парень сообразил, что обманщиков можно наказать их же оружием. Злоумышленники под видом обычного установочного файла отправляли жертвам вирус, тем самым ставя их в безвыходное положение.

Хакер не попался на их удочку, и не установил приложение. Когда пришло время «платить», парень назвал заведомо ложные банковские реквизиты, а когда злоумышленники сообщили, что произошла ошибка, хакер отправил им переименованный «под фотографию» файл с вирусом. Им же сообщил, что отправил фото своей карточки. Они открыли отправленный файл. Таким образом обманщики попались на свою же удочку.

ИБ-эксперт Майкл Гиллеспи обнаружил новый вариант вымогательского ПО EDA2, которое он назвал FSociety. Вредонос получил такое название, поскольку после инфицирования компьютера на экран выводится логотип FSociety – вымышленной хакерской группировки из телесериала «Мистер Робот».

Троян-шифровальщик базируется на проекте с открытым исходным кодом EDA2, разработанным в начале 2016 года турецким ИБ-экспертом Ютку Сено в образовательных целях. Как и остальные варианты EDA2, FSociety шифрует файлы на компьютере жертвы с использованием алгоритма AES, а затем загружает на C&C-сервер ключ для дешифровки, зашифрованный алгоритмом RSA.

Вымогатель исправно шифрует файлы, однако в остальном выглядит недоработанным. Похоже, FSociety все еще находится на стадии разработки и не распространяется активно. Помимо логотипа, на экране инфицированного компьютера не отображаются ни сообщение с требованием выкупа, ни какие-либо контакты его авторов.

1. Попробуйте двухфакторную аутентификацию. «Фактор» №1 — обычный пароль, фактор №2 — одноразовый код, который отправляется вам через СМС. Такую функцию предлагают все крупные интернет-сервисы — Google, Twitter, Facebook и т. п. Это один из самых простых и действенных способов защитить свою информацию.

Кремниевая долина осознала значение двухфакторной аутентификации в 2012 году, когда журналист Мэт Хонан, не использовавший эту технологию, пострадал от рук хакеров и подробно описал свой опыт. Злоумышленники отправляли расистские и гомофобные сообщения с его аккаунта в Twitter, получили доступ к его электронной почте и присвоили учетную запись iCloud, удалив все данные с его устройств Apple.

Развернуть для просмотра
2. Скачайте приложение для аутентификации. Google Authenticator снимает необходимость в получении кода по СМС. Приложение синхронизируется с серверами Google и генерирует код, который существует только в облаке и на телефоне — никакие данные, которые можно было бы перехватить, не отправляются. Другое аналогичное приложение, Duo Security, распространяется бесплатно для частных пользователей, а компании могут заплатить за него от $1 в месяц. Приложения Facebook и Twitter встроенные механизмы аутентификации; Snapchat использует Google и Duo.

3. Чистите «куки». Данные о посещенных страницах, которые хранит ваш браузер, не только позволяют жутким объявлениям преследовать вас в Сети, — ими также могут воспользоваться хакеры. Документы из тайников Сноудена показывают, что даже Агентство национальной безопасности использует cookies, чтобы идентифицировать и отслеживать свои цели. Очистка cookies прерывает этот процесс и вынуждает тех, кто пытается следить за вами, начинать все сначала. Поищите это опцию в меню настроек вашего браузера. А можете пойти на шаг дальше и очистить всю историю просмотра, — это позволит вам избавиться и от cookies, и от любых сохраненных файлов.

4. Бойтесь публичного Wi-Fi. Даже когда вы еще не подключились к интернету, ваш ноутбук уже обменивается данными с сетью Wi-Fi, и даже этот обмен данными уязвим для атак, говорит Нико Селл, одна из создателей защищенного мессенджера Wickr. То же касается и зашифрованных сайтов: то, что в адресной строке написано «HTTPS», еще не значит, что вы в безопасности. Чон Ёнгон, главный исполнительный директор консалтинговой фирмы Cyber Risk Management, говорит, что публичный Wi-Fi — «все равно что **** на одну ночь для вашего компьютера: никогда не знаешь, что можешь подцепить».

5. Используйте мессенджеры с абонентским шифрованием. Многие приложения для обмена сообщениями используют так называемое сквозное, или абонентское шифрование — любой, кто попытается перехватить трафик (включая производителя приложения) увидит или услышит сплошную тарабарщину. Попробуйте WhatsApp, Signal или Wickr. Имейте в виду, что правоохранительные органы могут затребовать информацию о том, кто и с кем общается, у WhatsApp и Signal — но не у Wickr: приложение использует особый тип сети, который не позволяет компании сохранять такие записи.

6. Заклейте свою веб-камеру. В июне, когда число ежемесячно активных пользователей Instagram достигло 500 млн, в поздравительном посте Марк Цукерберг поделился фотографией со своего рабочего места в Facebook. Вскоре кто-то в Twitter заметил, что на его MacBook заклеены камера и микрофон. Эксперты по безопасности уже давно советуют потенциальным жертвам преследования делать это, чтобы злоумышленники не могли тайно записывать каждое их движение и звук. Доказанных случаев такого вмешательства не так уж много, но GQ как-то писал о девушках, которых без из ведома снимали обнаженными, а затем вымогали деньги.

7. Вложитесь в Audio Jammer. Это особое устройство наподобие генератора белого шума, которое производит звуковые помехи, структурно и по диапазону частот напоминающие человеческую речь, сбивая с толку подслушивающие устройства.

8. Используйте только наличные. Выписки по дебетовым и кредитным картам дают исчерпывающее представление о ваших покупках и передвижениях. Каждый магазин, в котором вы совершаете покупку, отчитывается банку о сумме, времени и месте проведения сделки. К счастью, дебетовые и кредитные операции обрабатываются так быстро, что магазины не успевают разгласить больше, чем должны. Однако они ревностно охраняют любую более подробную информацию, в частности, о продуктах, которые вы покупаете, в надежде когда-нибудь ее монетизировать. Так что однажды эти выписки начнут говорить о вас еще больше.

9. Пользуйтесь Tails. Вы можете загрузить на свой ПК или Mac Tails, бесплатную open-source операционную систему, которая направляет трафик браузера и электронной почты через сеть Tor, — это анонимизирует его для защиты от анализа. Если программа пытается подключиться к интернету напрямую, а не через Tor, она блокируется.

10. Носите солнцезащитные очки. Селл из Wickr всегда надевает солнечные очки для публичных выступлений. Она говорит: «В интернете нет фотографий моих глаз, и даже если какая-нибудь все же проскользнет в Сеть, лучше одна чем тысяча. Селл хочет давать алгоритмам определения личности как можно меньше данных. По ее словам, одним их главных показателей для этих систем является расстояние между глазами.

11. Купите устройство для поиска «жучков». Кажется, что это что-то из шпионского фильма, но устройства слежения становится все мельче и мельче, и вполне способны поместиться в брелок о машины или электрическую розетку, поэтому Сноуден утверждает, что настоящие профессионалы в области безопасности обязательно используют сканеры «жучков».

12. Разберите ваш смартфон. В мае в интервью Vice News Сноуден показал, как сделать смартфон «недоступным» с помощью пинцета, вырвав из платы камеры и микрофоны. Учитывая его проблемы со спецслужбами, нельзя назвать это неразумным решением, но, возможно, в вашем случае это будет перебор. Однако, если вы решите во всем быть как Сноуден, это может стать отличным началом для разговора: заяви вы что-то подобное — и вас точно никто не захочет слушать дальше.

Как сообщалось ранее, в минувший понедельник хакеры Shadow Brokers заявили, что им удалось взломать серверы Equation Group – одной из самых известных и изощренных хакерских группировок, которую давно подозревают в связях с АНБ США. Shadow Brokers выставили на аукцион ряд похищенных инструментов кибершпионажа, а для подтверждения их подлинности выложили в открытый доступ фрагменты кодов и другие материалы.

Их исследование поначалу не позволяло сделать однозначный вывод о подлинности, однако публикация The Intercept, похоже, ставит точку в дискуссии. В частности, полученный от Эдварда Сноудена документ содержит код «ace02468bdf13579», использовавшийся специалистами АНБ для работы с кибершпионской программой SECONDDATE. Этот же код содержится и в материалах, выложенных в сеть хакерами Shadow Brokers, и такое совпадение очень трудно считать случайным.

В руках хакеров оказались пользовательские ники, электронные адреса, пароли и даты рождения. Предполагается, что им также удалось узнать IP-адреса, местоположения и телефонные номера некоторых владельцев взломанных аккаунтов.

Для получения доступа к данным хакеры воспользовались уязвимостью движка vBulletin, который использовался на упомянутых форумах. При этом многие пользователи, чьи аккаунты были взломаны, использовали простые пароли вроде комбинаций «123456789», которые легко можно было подобрать методом брутфорса.

На портале LeakedSource.com, который опубликовал украденные хакерами данные, утверждается, что взлом произошел в начале августа.

В начале мая сообщалось об утечке данных 272,3 миллиона пользователей почтовых сервисов. Главный эксперт по безопасности компании Hold Security Алекс Холден отмечал, что среди аккаунтов, к которым хакерам удалось получить доступ, оказались 57 миллионов почтовых ящиков Mail.ru.

При этом киберпреступники использовали более 50 видов троянов. Всего «Лаборатория» насчитала атаки на 35 российских организаций, в том числе семь заводов оборонно-промышленного комплекса по производству ракет, радаров и навигационных приборов, пять министерств, четыре авиапредприятия и две структуры в области ядерной энергетики.

При этом в реальности число атак может быть и выше. По оценке эксперта, в оборонной индустрии это «почти все» предприятия.

Как писал ранее SC Magazine, были зафиксированы атаки из Китая против компаний «Уралвагонзавод» и «Вертолеты России». Также издание писало о работе Минобороны и ФСБ по противодействию вирусу NetTraveler, предположительно созданному в КНР.

Активность китайских хакеров возросла после того, как в сентябре Пекин и Вашингтон подписали соглашение об отказе от экономического кибершпионажа. Похожее соглашение действует также между Пекином и Москвой, но, как считает Гостев, на практике оно не выполняется.