=[ x25-box.com ]=

Корпорация Microsoft подозревает в причастности к созданию ботнета Kelihos жителя Санкт-Петербурга Андрея Сабельникова, который на протяжении нескольких лет был сотрудником антивирусных компаний. Об этом пишет Computerworld со ссылкой на информацию со страницы Сабельникова в соцсети LinkedIn. С 2005 по 2008 годы Сабельников работал в компании Agnitum, самым известным продуктом которой является фаерволл Outpost Firewall Pro. Факт сотрудничества питерского программиста с Agnitum подтвердил представитель компании, сообщивший, что Сабельников уволился оттуда в ноябре 2008 года по собственному желанию. С ноября 2008 по декабрь 2011 года предполагаемый создатель Kelihos был сотрудником компании Returnil, выпустившей утилиту Returnil Virtual System. Утилита создает копию ОС Windows в изолированной среде, тем самым защищая исходную систему от действий подозрительных программ. Последние два месяца Сабельников работал в консалтинговой компании Teknavo. Одним из направлений ее деятельности является создание ПО для финансовой и банковской сфер. При этом издание Digit.ru со ссылкой на представителей Teknavo утверждает, что программист был принят туда на работу месяц назад. На момент публикации заметки на странице Андрея Сабельникова в LinkedIn отсутствовала какая-либо информация о месте работы. Единственное, что сообщается в соцсети - то, что Сабельников с 2000 по 2003 год обучался в Санкт-Петербургском университете аэрокосмического приборостроения. О возможной причастности Сабельникова к созданию ботнета Kelihos стало известно из сообщения в блоге Microsoft. Компания указала, что подала против программиста иск в окружной суд штат Вирджиния. Сабельников, по данным Microsoft, мог "создавать или принимать участие в создании" Kelihos, а также управлять ботнетом. Доказательства причастности эксперты обнаружили, проанализировав вредоносную программу. Ботнет Kelihos, объединявший десятки тысяч компьютеров, был обезврежен в сентябре совместными усилиями компаний Microsoft, Kyrus и "Лаборатория Касперского". В том же месяце Microsoft подала в суд на жителя Чехии Доминика Александра Пьятти (Dominique Alexander Piatti) и принадлежащую ему компанию dotFREE Group, предположив, что они причастны к регистрации доменов, использовавшихся для управления ботнетом. В октябре стороны заключили мировое соглашение, и Пьятти согласился сотрудничать со следствием.

Компания Group-IB совместно с сообществом HostExploit представила очередной отчет Топ 50 «Самые плохие сети и хосты» по итогам IV квартала 2011 года (The Q4 Top 50 Bad Hosts & Networks Report). Самый опасный хост зарегистрирован в Литве, а Латвия, Виргинские острова и Люксембург — мировые лидеры по уровню вредоносной активности. В IV квартале 2011 года позицию № 1 в списке самых опасных хостов занял литовский хостинг-провайдер AS47583 Hosting Media. Его Индекс HE составил 249,9. Необходимо отметить, что в прошлом квартале Hosting Media, показав гигантский рост вредоносной активности в собственных сетях, занял позицию № 2. Таким образом, провайдер из Литвы не обратил внимания на предупреждения экспертов и лишь ухудшил свое положение. Он также сохранил первую строчку в категории «Ботнеты». А вот «победитель» рейтинга в III квартале — AS33626 Oversee.net — показал себя крайне ответственным хостом. После публикации отчета Oversee.net принял ряд мер, что привело к снижению количества вредоносного контента на 98,5 %. В настоящее время данная автономная система продолжает отслеживать вредоносную активность в собственных сетях, что позволяет надеяться на дальнейшее снижение ее позиций в рейтинге. Самый «выдающийся» хост данного квартала — система из США AS25795 Arp Networks, показавшая значительный рост вредоносного контента (837,2 %). Прежде снижавший свой рейтинг Arp Networks недавно перескочил на позицию № 33 по общему уровню активности киберпреступников. Также Arp Networks занимает место № 1 в категории «Зараженные веб-сайты». Отдельного внимания заслуживает анализ распределения уровня вредоносной активности по странам, который в этот раз был проведен по обновленной методике. Новый подход не зависит от количества зарегистрированных в стране хостов и позволяет получить данные, которые отражают концентрацию вредоносного контента в сетях отдельно взятой страны. Результаты принципиально отличаются от предыдущих отчетов. Наиболее ярко это прослеживается при анализе первой тройки рейтинга стран — Латвия, Виргинские острова и Люксембург. В то же время такие крупные страны как США и Россия расположились на пятом и девятом местах соответственно. Нынешний отчет по итогам четвертого квартала 2011 года был подготовлен на основании исследования 39 796 зарегистрированных автономных систем, что на 1 740 больше, чем было в конце третьего квартала. Сообщество HostExploit занимается некоммерческими исследованиями вопросов информационной безопасности и противодействия киберпреступности. Отчеты по уровню опасности хостов и сетей выпускаются сообществом более двух лет и за это время стали надежным источником информации по данной проблематике. По итогам работы аналитиков составляется список Топ 50 наиболее опасных автономных систем (хостов и сетей), на базе которых было зафиксировано осуществление повышенной вредоносной деятельности.

Хакер 0xOmar, опубликовавший в начале января банковские данные тысяч израильтян, призвал "арабо-исламских" хакеров принять участие в кибер-войне против Израиля. Соответствующее заявление он опубликовал в сервисе Pastebin. "Я приглашаю также великих турецких хакеров, которые взламывают большое количество сайтов каждый день", - написал 0xOmar. Также он опубликовал ссылку на 200 "свежих рабочих израильских" кредитных карт. Однако, как указывает Agence France-Presse, израильские банковские организации пока не подтвердили достоверность этих данных. Вместе с тем, хакер пообещал ежедневно выкладывать данные о 200 кредитных картах израильтян и призвал атаковать военные, правительственные и "важные" израильские сайты. При этом он также написал, что его почтовый ящик в российском сервисе Mail.Ru был заблокирован, и указал свой новый адрес. Хакер ответил и на заявления израильских блогеров о том, что он находится в Мексике. 0xOmar, называющий себя жителем Саудовской Аравии, указал, что использует "сложную" систему для сохранения своего местонахождения в секрете, поэтому блогеры выяснили, где находятся его жертвы, а не он сам. В начале января в результате атаки на израильский сайт one.co.il 0xOmar, по его словам, смог украсть данные 400 тысяч человек. Позже он опубликовал архивы, в которых, как указали банковские организации Израиля, находились сведения о более чем 20 тысячах кредитных карт. Отметим, что в начале января данные и заявление от имени 0xOmar были опубликованы в сервисе Pastebay, тогда как последняя публикация состоялась на сайте Pastebin. Позднее заместитель главы израильского МИДа сравнил хакерскую атаку с террористическим актом и пообещал отомстить стоящим за ней людям. 10 января израильский хакер, называющий себя по аналогии с "саудовским" 0xOmer, опубликовал данные более 200 посетителей саудовских интернет-магазинов. При этом он сообщил, что по его мнению, не разжигает кибер-войну между Израилем и арабским миром, поскольку и так ежедневно атакам подвергаются десятки сайтов из его страны. Интересно, что турецкие хакеры, к которым взывает 0xOmar, в сентябре 2011 года по ошибке взломали палестинские сайты. В результате их акции на 70 веб-страницах, принадлежащих Палестинской автономии, но размещенных на израильских серверах, появились антиизраильские сообщения. Причиной атаки послужило блокирование спецназом "Флотилии свободы".

Один из участников хакерской группы Anonymous опубликовал на сайте Pastebin технические данные и реквизиты израильских промышленных SCADA-систем, ответственных за управление различными техническими системами на территории Израиля. Пользователь, обозначивший себя как FuryOfAnon, опубликовал на Pastebin.com два списка, содержащих IP-адреса и связанные с ними серверы систем, отвечающих за управление оборудованием на промышленных объектах Израиля. В первом списке большинство IP-адресов на данный момент уже недоступны, тогда как во втором изложена более актуальная информация, связанная с израильскими SCADA-системами. "Найдите их системы. Входите, используя стандартные логины (100 используется в качестве пароля)", - пишет FuryOfAnon. В декабре прошлого года Билли Риос, инженер по безопасности Google, опубликовал данные о том, что SCADA-системы Siemens SIMATIC по умолчанию используют слишком слабый пароль - "100", дающий администраторский доступ к системам.

Хакерская группа Anonymous опубликовала в открытом доступе новую порцию данных, украденных у американской аналитической компании Stratfor. Среди новых опубликованных данных значатся адреса электронной почты и номера банковских карт клиентов Stratfor. В сопроводительном заявлении, размещенном на ресурсе Pastebin.com, сказано, что группа AntiSec, входящая в Anonymous, публикует данные о 75 000 клиентов Stratfor.
Помимо этого, AntiSec размещает в сети ссылки на архивы с 860 000 логинов, email-адресов и паролей людей, зарегистрированных на сайте Stratfor. Отметим, что сам сайт Stratfor уже около недели выключен, так как сама компания ведет аудит данных и меняет системы обеспечения безопасности. В Anonymous отмечают, что около 50 000 опубликованных адресов электронной почты - это адреса, размещенные в доменных зонах .mil и .gov.
"Мы призываем всех наших союзников и все силы сопротивления использовать эти списки пароли и номера кредитных карт, чтобы нанести удар по богатым и могущественным угнетателям", - говорится в заявлении Anonymous. Также в заявлении группы говорится, что ее участники в ближайшее время намерены провести несколько атак на другие цели, связанные с американскими силовыми и государственным ведомствами.
В компании Stratfor говорят, что "сожалеют о последнем раскрытии информации, полученной незаконным путем". "Последние раскрытия информации включают в себя данные людей, подписанных на платные услуги компании, а также данные пользователей, получавших услуги Stratfor бесплатно", - говорится в заявлении Stratfor в Facebook.
Напомним, что ранее Anonymous заявляли, что намерены снять 1 млн долларов с банковских карт клиентов Stratfor и перечислить средства на благотворительность. В хакерской группе отмечают, что получить данные Stratfor не составляло труда, так как компания не шифровала клиентскую информацию.
Джордж Фридман, исполнительный директор Stratfor, говорит, что компания не возобновит работу сайта и предоставление услуг в полном масштабе до тех пор, пока не завершит процедуру полного информационного аудита с привлечением внешних экспертов. Вдобавок к этому, компания заявила, что готова бесплатно на протяжении года предоставлять клиентам услуги по защите от кражи данных.

Веб-мониторинговая компания Netcraft сообщает об обнаружении нетривиальной атаки против платежной системы PayPal, проведенной в декабре. Взломан был британский поставщик услуг интернет-банкинга FasterPay, позиционирующий себя как провайдер полного спектра банкинговых услуг. На одном из подразделов сайта fastpay.co.uk злоумышленники разместили мошеннический сайт, выдававший себя за раздел платежного шлюза PayPal.
Изюминка атаки заключалась в том, что на фишинговый сайт распространялось действие SSL-сертификата повышенной стойкости EV-SSL (Extedned Validation SSL). Это означает, что при посещении сайта мошенников, размещенного в поддиректории портала FasterPay, пользователи получали сообщение от браузера о том, что данный сайт является надежным и подлинным.
Отметим, что стандартизирующий орган CA/Browser Forum описывает достаточно четкие правила, которые как поставщик сертификата повышенной стойкости, так и его пользователь должны соблюдать. Среди правил довольно подробно описываются как процедуры аудита со стороны поставщика сертификата, так и меры по валидации со стороны его пользователя. В сообщении Netcraft говорится, что в данном случае факт нарушений был очевиден, как со стороны провайдера, поставившего сертификат компании FasterPay, так и со стороны самой британской компании, использовавшей сертификат.
Также Netcraft отмечает, что в свое время именно платежные интернет-сервисы были одними из самых горячих сторонников введения систем EV-SSL, как решения для интернет-банкинга повышенной надежности. Эксперты компании отмечают, что согласно правилам работы EV-SSL, FasterPay и его поставщик сертификата должны были регулярно проводить как ручное, так и автоматизированное сканирование сайта, на котором размещается система для обработки платежей.

Японское издание Йомиури Шимбун сегодня сообщает, что официальный Токио приступил к разработке программного обеспечения для проведения и нейтрализации кибератак. Так называемое кибероружие - это часть государственной военной программы. Основным подрядчиком по созданию специализированного софта является компания Fujitsu, которая уже получила на создание кибероружия 179 млн иен или 2,3 млн долларов.
Газета сообщает, что пока японские разработчики заняты созданием специализированного ПО для мониторинга и анализа кибератак. Напомним, что ранее в прессе появлялись сообщения о том, что над похожими разработками также трудятся и другие страны, в частности Германия, США, Китай и Великобритания.
В статье Йомиури Шимбун отмечается, что Япония намерена внести в ближайшее время ряд законодательных поправок, чтобы подвести юридическое обоснование под создание кибероружия и не приравнивать его к вирусам, написание которых в Японии находится под законодательным запретом.
Также газета сообщает, что японские программисты ведут консультации с девятью другими странами, ранее сообщавшими о проведении масштабных кибератак в их адрес.

Британская полиция начала расследование утечки электронной переписки бывшего премьер-министра страны Гордона Брауна. Об этом сообщает газета The Independent. По данным издания, объектом хакерской атаки могли стать 20 компьютеров, на которых хранились данные о деятельности Брауна на посту министра финансов. Среди сотен тысяч украденных сообщений была, в частности, переписка с советником и лоббистом партии лейбористов Дереком Дрейпером. Взлом, предположительно, был осуществлен по заказу британской прессы. Как указывает The Independent, делом занимается команда, расследующая прослушку британцев журналистами изданий, входящих в News International, британское представительство корпорации Руперта Мердока News Corp. При этом в News International отвергли обвинения в краже переписки Брауна. Скотланд Ярд отказался от комментариев по этому делу. Почтовая переписка Дерека Драпера уже становилась объектом хакерской атаки. В опубликованных в 2008 году письмах он называл Брауна "застенчивым", а спустя год переписка Драпера с советником Брауна Дэмиеном Макбрайдом стала поводом для ухода последнего в отставку. Политики, в частности, строили планы по очернению Консервативной партии. Впоследствии Браун извинился за планы своего советника. В июле 2011 года "Би-Би-Си" заявила о наличии у нее документов, подтверждающих незаконный сбор журналистами The Sunday Times и The Sun, входящих в News International, сведений о Гордоне Брауне в 2000 году, когда тот также занимал пост министра финансов. Публичное расследование прослушки британцев журналистами изданий, входящими в News International, началось в июле 2011 года. В его ходе появились сведения о том, что сотрудники холдинга занимались также взломом компьютеров. В ноябре 2011 года глава News International Джеймс Мердок заявил о возможном закрытии The Sun, самого знаменитого таблоида корпорации.

Сайт оппозиционного белорусского СМИ "Хартия'97" был взломан вечером 29 декабря. Сообщение об этом администрация сайта опубликовала ночью, когда восстановила доступ к нему. Однако 30 декабря злоумышленники вновь взломали сайт и отредактировали это сообщение. Содержание исходной версии сообщения о взломе передает, к примеру, "Би-би-си". Руководство сайта предположило, что хакеры с помощью вируса, внедренного на компьютер одного из сотрудников "Хартии'97", смогли выкрасть пароль административной части ресурса. С его помощью злоумышленники опубликовали на сайте статью о заключенном в тюрьму бывшем кандидате в президенты Белоруссии Андрее Санникове, его адвокате и семье. Наталья Радина, главный редактор ресурса, назвала текст провокационным и оскорбительным. Хакеры также удалили архивы новостей. После восстановления доступа к сайту администрация пообещала вернуть новости, а также сообщила, что злоумышленники не смогли получить доступ к серверной и программной части ресурса. На следующий день, 30 декабря, сообщение о взломе было отредактировано. В частности, в нем указывалось, что доступ к системе управления контентом предоставили сами "хартийцы", а статья об Андрее Санникове называлась правдивой. Кроме того, в отредактированной записи заказчиками взлома называются Наталья Радина и Ирина Халип (оппозиционная журналистка и супруга Андрея Санникова). Злоумышленники дописали к этому, что "на самом деле Федя Павлюченко (главный админ сайта) все по пьяной лавочке предложил", а в конце статьи добавили "С днем дурака!". Представители "Хартии'97" подтвердили "Ленте.ру" факт повторного взлома сайта. По предварительной версии, злоумышленники вновь выкрали пароль от административной части ресурса, однако они не получили прав на удаление статей, поэтому изменили содержание существующей. "Никаких сомнений нет, что это белорусские спецслужбы. Тексты исправлены со знанием темы, фамилий. В логах остались белорусские айпи нападавших, будем обращаться в полицию," - сообщили в издании. На момент написания новости сайт недоступен. "Хартия'97" администрируется из соседней с Белоруссией Литвы, куда Радина бежала после ареста в день президентских выборов 19 декабря 2010 года. Тогда же правоохранительные органы вывезли из минской редакции издания компьютеры и оргтехнику, а впоследствии завели на Радину уголовное дело. В августе стало известно, что дело на Радину закрыли.

В минувшие выходные хакерская группа Anonymous заявила об атаке на ИТ-ресурсы американского сервиса Stratfor, сообщив о получении доступа к большим объемам закрытой информации, в частности нескольким тысячам кредитных карт клиентов Stratfor, таких как Apple, ВВС США, Полицейское управление Майами. Тогда же Anonymous заявили о планах по переводу 1 млн долларов с карт клиентов компании на благотворительность. Сегодня в письме своим клиентам компания Stratfor заявила, что ранее заявленные масштабы кражи со стороны хакерской группы Anonymous преувеличены. "Вопреки ранее сделанным заявлениям, в руках злоумышленников оказались лишь незначительные списки ряда пользователей, которые пользовались нашими услугами. В руках хакеров оказались только данные тех клиентов, которые покупали наши подписки. Клиенты, имеющие отношения со Stratfor, выходящие за рамки подписок, могут не опасаться, что их данные оказались в опасности", - говорится в заявлении Stratfor. Также в данных компании сказано, что Stratfor уже нанял сторонних аудиторов, которые помогут точно определиться с размерами утечки, а также лучше защитить данные. Одновременно с этим, компания подала заявление в полицию и ФБР. Что касается сайта компании, то минувшие двое суток он был отключен, остается в офлайне он и сейчас. Группа Anonymous на данный момент опубликовала в сети два списка клиентов Stratfor. Первый включает в себя данные о 3956 клиентах, второй - о 13 191. Ряд из имен содержащихся в списках, ранее уже были "засвечены" хакерами для проведения тестовых переводов с банковских карт на различные благотворительные счета. "Может показаться, что Anonymous действуют как современные Робины Гуды, но очевидно, что они не берут в расчет ущерб, наносимый ни в чем не повинным клиентам Stratfor. Сделанные пожертвования никогда не достигнут своей цели. По запросу полиции благотворительные организации должны будут вернуть незаконно переведенные на их счета деньги. В ряде случаев даже сами благотворительные организации могут быть оштрафованы за прием денег с украденных карт", - говорит эксперт финской антивирусной компании F-Secure Микко Хиппонен. Напомним, что Anonymous атаковали Stratfor, так как сравнили эту компанию с ранее известной HB Gary Federal и заявили, что Stratfor разрабатывает "грязные финансовые трюки для военных США и их семей".