Компания VMware, специализирующаяся на поставках ПО для виртуальных сред, подтвердила факт кражи части исходного кода гипервизора ESX, попавшей в открытый доступ.

По свидетельству VMware, файл с комментариями, обнародованный похитителем, был создан в 2003-04 гг. Эксперты не исключают возможность продолжения несанкционированных публикаций и мобилизовали внутренние и внешние ресурсы для проведения тщательного расследования.

Исходники ESX были выложены на файлообменнике хакером, использующим псевдоним Hardcore Charlie. Они могли попасть к нему в результате недавнего взлома сетей пекинского военного подрядчика CEIEC (China Electronics Import & Export Corp.), в котором он признался в интервью агентству Рейтер. Ключи от ресурсов CEIEC, известной широкими бизнес-связями, Charlie нашел в почтовом ящике этой компании, доступ к которому ему помог получить приятель, участник LulzSec.

CEIEC решительно отрицает факт утечки, однако хакер поведал, что все многочисленные документы, которые он опубликовал в апреле, были раздобыты путем взлома серверов именно этой компании. Он собирается также выложить в Сеть код другого вендора «облачных» технологий, ЕМС.

Некоммерческая организация HostExploit и российская компания Group-IB опубликовали отчет о криминальной активности в АС-сетях за I квартал. Итоговый рейтинг Топ 50 был составлен по результатам анализа 40678 зарегистрированных автономных систем.

Новый список неблагополучных хостов и сетей возглавляет польский хостинг-провайдер Interia.pl (AS16138), который также занял 1 место по концентрации зараженных сайтов и по числу актуальных и быстро меняющихся угроз (XSS- и RFI-атаки, накрутка кликов, черная оптимизация, новые наборы эксплойтов и т.п.). Прежний лидер Топ 50, Hosting Media (AS47583) из Литвы, опустился на 2-ю ступень и вновь лидирует в тематической категории «Серверы управления бот-сетями».

США сократили свое присутствие в Топ 50 с 20 позиций до 17. В ведущей десятке американские АС-провайдеры заняли лишь 2 строки и на этот раз не возглавили ни один из 8 тематических рейтингов. Первые места в 6-ти таких списках были присуждены восточноевропейским странам, причем чемпионом по спамерской деятельности стала Россия. На ее долю приходится половина позиций в ведущей десятке автономных систем, «отличившихся» в этой тематической категории. 4 из них, включая 1-ю, занимает Мегафон с региональными АС, одну ― МТС (AS13174).

Компания Sophos объявила о заключении соглашения по выкупу DIALOGS Software, немецкого поставщика корпоративных решений для управления мобильными устройствами (mobile device management, MDM).

Новое приобретение призвано укрепить позиции Sophos на рынке мобильных услуг: DIALOGS является одним из крупнейших MDM-провайдеров в Европе, опекающим таких солидных клиентов, как BMW, Daimler, Siemens и ThyssenKrupp. В активе у Sophos тоже есть хорошо зарекомендовавший себя продукт, обеспечивающий мониторинг, защиту и контроль мобильных устройств в корпоративной среде. Эта разработка основана на технологии DIALOGS. Участники сделки надеются, что умелая комбинация наработок Sophos в области информационной защиты и опыта DIALOGS по централизованному управлению мобильным парком обеспечит хороший задел для создания уникальных и полностью интегрированных решений для корпоративных нужд.

Помимо SaaS- и локальных систем управления мобильными устройствами, DIALOGS специализируется на услугах по обеспечению SMS-связи и GSM/GPS-мониторингу. Sophos заявила, что не планирует прекращать поддержку этих направлений.

Как вы, наверно, помните, в 2011 году мы каждый месяц публиковали обои с антивирусным календарем.

В этом году мы также публикуем антивирусные обои — с обновленными данными. Но мы решили подойти к делу немного иначе и опубликовать сразу 12 обоев на все месяцы года.

Итак, обои на 2012 год лежат здесь.

Надеемся, вам понравится дизайн наших новых обоев, а данные будут вам интересны.

Наши новые антивирусные обои.

1280x800 | 1680x1050 | 1920x1200 | 2560x1600

В канун Рождества интернетом пользуется больше людей – ведь это быстрый и удобный способ приобрести рождественские подарки. Как следствие, это прекрасное время для киберпреступников, которые стремятся нажиться на пользователях Сети. Поэтому – самое время напомнить об основных правилах, выполнение которых не позволит киберпреступниками испортить вам праздник.

1. Установите защитную программу и следите за обновлениями.
2. Поддерживайте Windows и другие приложения в актуальном состоянии.
3. Регулярно проводите резервное копирование данных на CD, DVD или внешний USB-накопитель.
4. Не отвечайте на электронные сообщения, если вы не знакомы с отправителем.
5. Не открывайте почтовые вложения, если не знаете отправителя.
6. Не нажимайте на ссылки в электронном сообщении или мгновенном сообщении. Впечатывайте адрес непосредственно в ваш веб-браузер.
7. Не отсылайте личную информацию в ответном письме на электронное письмо или другое сообщение, даже если оно выглядит официальным.
8. Совершайте покупки, банковские операции и общайтесь только на безопасных сайтах. Удостоверьтесь, что URL-ссылка начинается с ‘https://’.
9. Используйте уникальный пароль для каждого веб-сайта или используемого сервиса. Не используйте пароли повторно (e.g. ‘jackie1’, ‘jackie2’). Не создавайте пароли, которые будет легко отгадать (например, имя матери, кличка домашнего животного). Никому не сообщайте ваши пароли.

Четверть участников опроса, проведенного компанией «Код Безопасности» среди российских организаций, убеждены, что наибольшую опасность для бизнеса представляет несанкционированный доступ собственных сотрудников к конфиденциальной информации.

В опросе, нацеленном на выявление актуальных угроз информационной безопасности, приняли участие более 100 представителей российских компаний. Помимо инсайдеров, респонденты опасаются потери/кражи важной информации (23%), зловредов (19%) и кибератак (14%). Риски, связанные с распространением шпионских программ и спама, указали лишь 9% опрошенных.

Не менее интересной оказалась оценка соответствия российских организаций требованиям Федерального закона «О персональных данных». Больше половины участников опроса заявили, что их работодатели уже приняли надлежащие меры по защите внутренней информации. Компании, запустившие соответствующий проект, но не завершившие его реализацию, составили 37% опрошенных. 5% запланировали такие мероприятия на следующий год, 6% пока не думали над этим вопросом.

Наши новые антивирусные обои:

1280x800 | 1680x1050 | 1920x1200 | 2560x1600

Наше исследование троянской программы Duqu продолжается. В первой части отчета, опубликованной несколько дней назад мы указали на существование гораздо большего количества драйверов, чем считалось раньше, а также сделали выводы о возможном наличии других модулей. Кроме того, мы пришли к выводу, что в отличие от массового распространения, как это было со Stuxnet, Duqu атакует только крайне малое число целей.

Однако прежде чем сообщить о наших очередных находках, я должен выразить глубокое уважение к работе, проделанной венгерской исследовательской лабораторией Crysys. Именно они были первыми, кто исследовал компоненты Duqu и подготовил великолепный отчет, который затем был предоставлен ими другим антивирусным компаниям и стал основой для дальнейших исследований. К сожалению, наша компания не была в числе первых получателей этого отчета, но тем интересней эта задача для нас сейчас – выяснить про Duqu всё.

Наши эксперты продолжают проводить глубокий анализ всех файловых компонентов Duqu и находят все больше и больше подтверждений его сходства со Stuxnet. Детальный отчет с анализом работы файлов и их структуры находится в процессе подготовки и будет опубликован позже. Эта часть исследования – сейчас не самое главное и срочное, гораздо важней понять причины происходящего и ход развития событий.

Прежде всего мы считаем необходимым внести ясность в некоторую путаницу с именами файлов и с самими файлами, относящимися к данному инциденту. Для полного понимания ситуации необходимо знать, что на самом деле речь идет о двух (как минимум) разных вредоносных программах. Все, что было сказано в прошедшие сутки о связи Duqu со Stuxnet, в большинстве случаев относится только к первой из этих программ.

Ее основной модуль по сути состоит из трех компонентов:

• драйвер, который осуществляет внедрение dll в системные процессы;
• dll, которая содержит дополнительный модуль и взаимодействует с центром управления;
• файл конфигурации.

Именно этот комплекс и имеет максимальное сходство со Stuxnet, как по внутренней структуре, так и поведению в системе. Однако название Duqu не имеет к основному модулю практически никакого отношения — оно исходит из имен файлов, которые создает в системе совершенно другая вредоносная программа–шпион!

Эта вторая программа в основном является кейлоггером, но также может собирать разнообразную дополнительную информацию. Она была обнаружена у одной из пострадавших компаний вместе с описанным выше основным модулем. С учетом возможностей основного модуля по загрузке дополнительных компонент, на основании этого было сделано предположение о связи этих двух вредоносных программ. В ходе своей работы троянец-шпион сохраняет собранные данные в файлы с именами вида ~DQx.tmp. По этим названиям и было дано имя, под которым теперь подразумевается и основной модуль.

На самом деле код троянца-шпиона свидетельствует о том, что кейлоггер в какой-то степени связан с основным модулем, и вероятней всего он действительно был когда-то им загружен. Что же касается функционала, то это совершенно самостоятельная вредоносная программа, которая может работать и без основного модуля. Точно так же, как и основной модуль может работать без наличия в системе троянца-шпиона. Однако связи между кейлоггером и Stuxnet не столь очевидны, так что его с очень большой натяжкой можно назвать в лучшем случае «внуком», но уж точно никак не «сыном» Stuxnet :)

- Что представляет собой Duqu и какое отношение он имеет к Stuxnet?

Duqu - сложная троянская программа, которая, похоже, была написана создателями скандально известного червя Stuxnet. Её основная цель - действовать в качестве бэкдора в системе, упрощая кражу частной информации. Это его основное отличие от Stuxnet, главной целью которого были диверсии на промышленных объектах. Также важно отметить, что если Stuxnet способен распространтсья с одного компьютера на другой при помощи различных механизмов, Duqu - это троянская программа, которая, судя по всему, не размножается самостоятельно.

- Направлена ли эта программа на оборудование PLC/SCADA? Известно ли, кто или что именно является мишенью программы?

В отличие от Stuxnet, Duqu не нацелен на оборудование PLC/SCADA напрямую, хотя некоторые из его подпрограмм могли бы использоваться для кражи информации, имеющей отношение к промышленным объектам. Duqu, похоже, предназначен для сбора конфиденциальной информации о его мишенях, что может включать практически любые данные, хранящиеся в цифровом формате на ПК жертвы.

- Каким образом Duqu заражает компьютеры? Может ли он распространяться через USB-устройства?

На данный момент мы наблюдаем только его следы в зараженных системах, а не его основной компонент. По-видимому, существует «материнский» дроппер для Duqu, который заражает компьютеры, однако мы пока не располагаем его самплом.

- Есть ли в составе Duqu эксплойт, особенно эксплойт нулевого дня?

Пока мы не обнаружили такового, однако продолжаем анализ. Вредоносный код достаточно сложен, и его анализ требует значительного количества времени.

- Каким образом производители антивирусных решений узнали об этой угрозе? Кто сообщил о ней?

Первое публичное упоминание, о котором нам известно, содержалось в блогпосте некоего венгерского блоггера, который, по-видимому, стал жертвой этой атаки. Позднее он опубликовал больше информации о сертификате, используемом для подписи драйвера Duqu, однако, в конечном счете, удалил все посты, имеющие отношения к этой атаке.

- Когда эта угроза была впервые обнаружена?

Нашими продуктами шпионский компонент (infostealer) детектируется с 14 сентября как Trojan.Win32.Inject.bjyg.

- Сколько существует вариантов Duqu? Есть ли между ними принципиальные отличия?

По-видимому, существует по крайней мере три варианта драйверов Duqu, а также несколько других компонентов. Все они детектируются разными антивирусными компаниями под разными названиями, что создает впечатление существования множества различных вариантов. На момент написания нам было известно об одном компоненте, крадущем конфиденциальную информацию, и трех различных драйверах.

- Говорят, что эта программа направлена именно на центры сертификации. Соответствует ли это действительности? Откуда это известно?

Действительно, существует информация, которая указывает на то, что основной целью Duqu является кража данных с CA, однако на данный момент мы не располагаем информацией, которая однозначно это бы подтверждала.

- По заявлениям Symantec, троянская программа нацелена на определенные организации, возможно, с целью сбора особой информации, которая может использоваться при проведении атак в будущем. Какая информация нужна злоумышленникам, и какие атаки возможны в будущем?

Одно из предположений - Duqu использовался для кражи у центров сертификации сертификатов, которые могут применяться для подписи вредоносного кода, чтобы затруднить его детектирование. На самом деле, backdoor-функционал в Duqu достаточно сложен и может использоваться для гораздо более разнообразных целей. По сути, он может красть все, что угодно.

- C&C-сервер, используемый Duqu, до сих пор активен? Что происходит при обращении зараженной машины к C&C?

C&C-сервер Duqu, раположенный в Индии, более неактивен. Как и в случае с Stuxnet, он был отключен достаточно быстро после распространения новостей о Duqu.

- Почему Duqu работает в течение 36 дней?

Может быть, его автору нравились круглые значения, как, например, 6x6?

- Кто стоит за этой атакой?

Та же группировка, которая создала Stuxnet. Любопытно то, что они, похоже, заинтересовались астрономией; в составе исполняемого файла-шпиона, есть часть JPEG-файла — изображение, полученное с телескопа Hubble (“Interacting Galaxy System NGC 6745”):

На картинке запечатлены последствия прямого столкновения двух галактик (!), которое произошло несколько миллионов лет назад. Об этом можно прочитать здесь.

Продолжение следует...