Компания IBM опубликовала отчет о тенденциях и рисках информационной безопасности по состоянию на конец 2011 года, отметив успехи в киберобороне и ответные ходы противника.

Эксперты с удовлетворением отметили улучшение качества и безопасности программного кода, ускорение сроков выпуска патчей, а также значительное снижение спамовых потоков. В минувшем году они зафиксировали вдвое меньше нелегитимных посланий, чем в предыдущем, объясняя это, в первую очередь, ликвидацией нескольких крупных ботнетов, использовавшихся для проведения спам-рассылок.

По оценке компании, объемы выпуска эксплойтов к новым уязвимостям сократились на 30% по сравнению со среднегодовыми показателями последних лет. Не исключено, что это следствие массового внедрения в легальное ПО архитектурных и процедурных усовершенствований, позволяющих ограничить негативные последствия эксплойта. Например, системные менеджеры памяти научились обнаруживать нарушение целостности информации и приостанавливать выполнение программы. Многие браузеры и приложения для просмотра документов теперь снабжены «песочницей», предотвращающей удаленное выполнение кода.

Согласно статистике IBM, за год было обнародовано немногим более 7 тыс. уязвимостей ― значительно меньше, чем в 2010 году. 41% из них составили бреши в веб-приложениях, тогда как прежде этот показатель был выше ― около 50%. Количество уязвимостей, провоцирующих SQL-инъекции, сократилось на 46%, хотя они по-прежнему пользуются популярностью у злоумышленников. XSS-уязвимости встречаются в полтора раза реже, чем 4 года назад, но все еще присутствуют в 40% приложений. Число новых уязвимостей, оставшихся к концу года незакрытыми, снизилось с 43 до 36%. 58% брешей, обнаруженных в прошлом году, были пропатчены в день публикации.

Неудачи на проторенных тропах заставляют злоумышленников искать альтернативные лазейки. К концу года IBM зафиксировала более чем 2-кратное увеличение количества кибератак, использующих уязвимости Shell Command Injection. В случае их успешной эксплуатации злоумышленник получает возможность выполнять команды непосредственно на сервере. Во втором полугодии наблюдался также рост активности, связанной с поиском слабых паролей, открывающих доступ к SSH-серверам.

В тот же период появилось много поддельных email-сообщений, распространяемых от имени социальных веб-сервисов и служб доставки почтовых отправлений. Все они под тем или иным предлогом пытались убедить получателя активировать ссылку. Авторы этих рассылок стремились заманить пользователей в интернет-аптеку, на рекламный сайт, владельцы которого оплачивают «партнерам»-спамерам каждый такой визит (click fraud), или засеять зловреда.

Бурное развитие рынка мобильных устройств открыло злоумышленникам новые возможности, и они не собираются их упускать. По данным IBM, в минувшем году число публикуемых эксплойтов для мобильных платформ выросло на 19% ― в основном, за счет тех зловредов, которые обеспечивают злоумышленнику root-привилегии. Наличие незакрытых уязвимостей на многих смартфонах создает благоприятные условия для массового проведения кибератак в этой среде.

Мосгорсуд приговорил к 20 годам лишения свободы спамера Леонида Куваева, которого присяжные признали виновным в растлении несовершеннолетних. Этот срок ему придется отбывать в колонии строго режима.

Подельница Куваева, 21-летняя москвичка Ольга Чернокозова, получила 4 года условно за вовлечение своей знакомой в занятие проституцией. Суд также частично удовлетворил иски пострадавших о компенсации морального ущерба. С Куваева взыскано свыше 1,5 млн. руб., которые будут выплачены, когда приговор вступит в силу и с его банковского счета снимут арест.

Напомним, что главный фигурант данного дела ― некогда весьма дерзкий и изобретательный спамер, задолжавший американскому правосудию 37 млн. долл. Обосновавшись в родных пенатах, Куваев занялся легальным предпринимательством, не теряя, однако, связи с теневым бизнесом. На российскую скамью подсудимых его привела отнюдь не спамерская деятельность, а преступный порок.

Дело в отношении Куваева было возбуждено по нескольким статьям УК РФ, в том числе ст. 134 (половое сношение с лицом, заведомо не достигшим 16-летнего возраста), ст. 240 (вовлечение в занятие проституцией), ст. 131 (изнасилование). Признать свою вину спамер отказался, заявив, что потерпевшие вступали с ним в интимные отношения по обоюдному согласию. Присяжные признали Куваева виновным в преступлениях против половой неприкосновенности несовершеннолетних, однако единственный случай изнасилования сочли недоказанным, а по ряду эпизодов отметили, что подсудимый заслуживает снисхождения. Защита намерена обжаловать решение суда как слишком суровое.

Комитет по гражданским свободам Европейского парламента одобрил проект директивы о кибератаках, согласно которой несанкционированный доступ к информационным системам, нарушение их работы и перехват данных будут квалифицироваться как уголовные правонарушения.

Минимальный срок, которым предлагается карать хакеров, составляет 2 года, а при наличии отягчающих обстоятельств ― 5 лет. Последние подразумевают групповое соучастие, использование автоматизированных средств (включая ботнеты), причинение ущерба в большом размере или нанесение вреда критической инфраструктуре. Отягчающим обстоятельством признан также спуфинг ― использование чужих электронных идентификаторов для проведения кибератаки. Хакерам, пытающимся запятнать чужую репутацию, будет грозить не менее 3-х лет.

Уголовным преступлением станет также создание и распространение хакерского инструментария, такого как специализированное ПО для кибератак и средства автоматизированного подбора паролей. Заметим, что попытки криминализации таких инструментов неизменно вызывают опасения у специалистов по ИТ-безопасности, применяющих аналогичный софт для контроля и тестирования средств защиты.

Новая директива закрепит также ответственность юридических лиц за правонарушения, совершенные в их интересах. Например, компанию, нанявшую хакера для взлома базы данных своего конкурента, ждут серьезные неприятности, вплоть до принудительного роспуска.

Кибератаки ежегодно обходятся Евросоюзу в несколько миллиардов евро. Предложения по ужесточению мер пресечения призваны согласовать пестрые национальные законодательства в этой сфере, что позволит создать единую правовую базу для борьбы с киберпреступностью. В целях противодействия трансграничным кибератакам странам-участницам надлежит обеспечить круглосуточную активность национальных сетей, объединяющих защитников правопорядка, и ограничить время ответа на срочные запросы коллег 8-ю часами.

Напомним, что проект директивы об атаках на информационные системы был разработан Еврокомиссией полтора года назад. Политическое соглашение между Европарламентом и Советом по данному проекту должно быть подписано к лету.

В сентябре прошлого года «Лаборатория Касперского» совместно с отделом по борьбе с киберпреступностью компании Microsoft, а также компаниями SurfNET и Kyrus Tech, Inc., успешно обезвредила опасный ботнет Hlux/Kelihos, внедрив в ботнет специальный sinkhole-маршрутизатор и переключив зараженные машины на хост, находящийся под нашим контролем.

Через несколько месяцев наши исследователи обнаружили новую версию вредоносного кода со значительными изменениями в протоколе передачи данных и некоторыми новыми особенностями, включая заражение через флэш-накопители и Bitcoin-функционал для генерирования биткойнов и кражи электронных кошельков.

Мы рады сообщить, что операцию по обезвреживанию этого нового ботнета мы провели совместно с CrowdStrike Intelligence Team, Dell SecureWorks и Honeynet Project.

Для проведения sinkhole-операции на прошлой неделе мы установили по всему миру некоторое количество машин. В среду, 21 марта, мы наконец начали синхронизированное внедрение IP-адреса нашего sinkhole-маршрутизатора в P2P-сеть.

Через короткое время «популярность» нашего маршрутизатора в сети выросла, т.е. большая часть компьютеров, попавших в ботнет, обменивалась информацией только с нашим маршрутизатором:

Спам

20-го марта мы зафиксировали спам-рассылку, нацеленную на пассажиров авиакомпании US Airways. В течение практически всей прошлой недели многочисленным пользователям якобы от компании US Airways рассылалось письмо следующего содержания:

В письме-подделке описывается процесс регистрации полета и приводится код подтверждения для онлайн-бронирования.

По замыслу злоумышленников, если такое письмо получит пассажир, который собирается лететь указанным в письме рейсом, то он, скорее всего, пройдет по ссылке «Online reservation details» («Детали онлайн-бронирования»).

Ссылки в рассылаемых письмах отличались — например, мы видели ссылки на следующие домены: sulichat.hu, prakash.clanteam.com, panvelkarrealtors.com. Пройдя по ссылке, в результате серии редиректов пользователь попадал на страницу с эксплойт-паком BlackHole.

Объединившись с лидерами рынка финансовых услуг, Microsoft с разрешения суда захватила несколько управляющих серверов ZeuS и подала коллективный иск против 39 анонимов, причастных к созданию вредоносного кода и ботнетов на его основе.

В ходе полицейских рейдов на двух американских хостинг-площадках были заблокированы 2 IP-адреса, ассоциированных с наиболее агрессивными ботнетами ZeuS, и получены ценные свидетельства криминальной деятельности. Определить достойные мишени экспертам помогли коллеги из Kyrus Tech. Microsoft также установила контроль над 800 доменами, задействованными в командной инфраструктуре ZeuS, надеясь, что это поможет идентифицировать тысячи зараженных ПК. Процесс очистки планируется проводить во взаимодействии с интернет-провайдерами и национальными CERT (группами быстрого реагирования на компьютерные инциденты).

Троянцы семейства ZeuS продаются на черном рынке в виде тулкитов, позволяющих злоумышленникам создавать собственные ботнеты. За последние 5 лет Microsoft зафиксировала свыше 13 млн. предполагаемых заражений ZeuS по всему миру, включая 3 млн. на территории США. Готовясь к очередной акции против ботоводов, получившей в Microsoft кодовое наименование «операция b71», эксперты решили заняться и ZeuS, и его ближайшими родственниками — SpyEye и Ice-IX. По оценкам MS, совокупный ущерб от этих зловредов составляет около полумиллиарда долларов.

Нанося скоординированный удар по нескольким ботнетам, эксперты не задавались целью надежно вывести их из строя. Ожидается, что данная акция послужит хорошим уроком всем ботоводам ZeuS, поможет ограничить распространение инфекции и выявить главных виновников. Последние пока известны лишь под сетевыми псевдонимами, которые Microsoft скрупулезно перечислила в иске, поданном совместно с ассоциацией электронных платежей NACHA и некоммерческой организацией FS-ISAC (Financial Services Information Sharing and Analysis Center), представляющей интересы американских финансистов.

Примечательно, что в числе прочих законодательных актов, которые нарушает деятельность ботоводов ZeuS, в этом иске упомянут RICO Act (Racketeer Influenced and Corrupt Organizations Act) ― федеральный закон о коррумпированных и находящихся под влиянием рэкетиров организациях, на основе которого обычно рассматриваются уголовные дела ОПГ. Апелляция к этому статуту позволила истцам объединить в одном документе претензии ко всем участникам криминальной деятельности, связанной с ZeuS: вирусописателям, продавцам и покупателям тулкитов, ботоводам, «дроповодам», распространителям зловредного кода и проч.

В перечне законодательных актов, указанных в иске, присутствует также CAN-SPAM, так как одним из важнейших способов распространения ZeuS являются спам-рассылки. Согласно данным, представленным истцами, только вредоносные уведомления об отмене транзакции, распространяемые от имени NACHA, обеспечивают устойчивый спам-поток в 100 млн. писем в месяц.

В конце прошлого года авторы Duqu попытались уничтожить все следы своей деятельности. Как мы знаем, были очищены все серверы, которые они использовали как минимум с 2009 года.

В 2012 никаких признаков Duqu в Сети не обнаруживалось. Но несколько дней назад коллеги из Symantec сообщили об обнаружении в «дикой природе» нового драйвера, практически аналогичного тем, которые ранее использовались в Duqu. Однако известные ранее драйверы были созданы 3 ноября 2010 и 17 октября 2011 года, а новый драйвер — 23 февраля 2012 года.

После четырех месяцев перерыва авторы Duqu вновь вернулись к работе.

Duqu вернулся

Новый драйвер Duqu совпадает по функциональности с предыдущими известными нам версиями. Отличия в коде незначительные, но свидетельствуют о проделанной «работе над ошибками», направленной на противодействие детектированию файла.

• Изменены настройки оптимизации компилятора и/или атрибуты разворачивания (inline) функций.
• На 32 байта увеличен размер EXE файла-заглушки, который используется для внедрения PNF DLL в процессы.
• В LoadImageNotifyRoutine сравнение имени модуля “KERNEL32.DLL” производится сравнением хеш-сумм; предыдущие версии сравнивали строки.
• Размер зашифрованного блока увеличен с 428 байт до 574 байт. Количество полей в блоке не изменилось, но при этом увеличен буфер, в котором хранится имя значения реестра «FILTER». Скорее всего, в этой версии драйвера это имя будет меняться.
• Изменилась функция расшифровки крипто-блока, ключа реестра и PNF. Это третья известная нам версия алгоритма шифрования в драйверах Duqu.
• Изменилась функция хеширования API функций, соответственно, и все хеши, которые используются для получения их адресов.

Старая функция, используемая во всех предыдущих версиях драйвера:

Новая функция:

То, что данный драйвер был обнаружен в Иране, еще раз подтверждает, что большинство инцидентов Duqu связано с этой страной.

Соучредитель и оператор криминального колл-центра CallService.biz приговорен американским судом к 2 годам и 9 месяцам тюремного заключения. После освобождения правонарушителю предстоит провести 3 года под надзором.

Согласно материалам дела, белорус Дмитрий Насковец и его соотечественник Сергей Семашко создали названный сервис в помощь кардерам, пытающимся извлечь выгоду из ворованной информации. CallService.biz принимал заказы на сопровождение мошеннических транзакций в тех банках и интернет-магазинах, которые практикуют подтверждение действий с аккаунтом по телефону. Теневые бизнесмены держали целую армию наемников, говорящих на английском и немецком языках, которые и осуществляли контрольные звонки от имени законных владельцев кредиток. По оценке Семашко, за неполные 3 года услугами CallService.biz воспользовались свыше 2 тыс. клиентов, с подачи которых было произведено более 5400 поддельных звонков.

Криминальный колл-центр был ликвидирован в апреле 2010 года в результате совместной операции, проведенной правоохранительными органами разных стран. Захват соответствующего домена, санкционированный американским судом, произвели сотрудники ФБР; литовские власти заблокировали родственный форум CardingWorld.cc, администратором которого был Семашко. Одновременно были произведены задержания в Беларуси и в Чехии, куда бежал Насковец. Впоследствии его переправили в США, где предъявили обвинения в мошенничестве, совершенном по предварительному сговору, и махинациях с кредитными картами.

Окружной суд Нью-Йорка приговорил к двум годам лишения свободы одного из главных функционеров агентурной сети по отмыванию денег, украденных с помощью ZeuS.

Житель Волгограда Николай Гарифулин проходит по громкому делу восточноевропейских студентов о хищении 3 млн. долларов с американских счетов. Как установило следствие, он снабжал «дропов», базировавшихся на территории США, фальшивыми документами, а также выполнял функции казначея, распределяя нетрудовые доходы между участниками мошеннической схемы. Волжанин лично вывел из США за рубеж порядка 150 тыс. краденых долларов.

По выходе из пенитенциарного заведения Гарифулин проведет 3 года под надзором. Ему предстоит также уплатить свыше 292 тыс. долларов в виде штрафов и компенсаций за причиненный ущерб.

По официальным данным, фрод в сфере высоких технологий ежегодно обходится новозеландцам в 400 млн. долл. (более 2,32 млн. долл. США).

Особенно много теряют владельцы онлайн-счетов. В каждом десятом случае сумма индивидуальных потерь в сфере онлайн-банкинга составляет около 5 тыс. долл. (свыше 4 тыс. долл. США). При этом кибератака нередко начинается с фишингового письма, предлагающего от имени банка обновить персональные идентификаторы.

До недавних пор ответственность за несанкционированные транзакции несли сами владельцы счетов. Однако под нажимом общественности новозеландские банки вынуждены были пересмотреть свою позицию и теперь покрывают убытки клиентам в очевидных случаях мошенничества.

В целях противодействия фишерам и прочим кибермошенникам министерство по делам потребителей Новой Зеландии планирует создать новую межведомственную группу. Новообразование будет работать в тесном взаимодействии с правительственной службой надзора за соблюдением антиспамового законодательства и с некоммерческой организацией Netsafe, пропагандирующей безопасное использование онлайн-технологий. Основное назначение новой структуры ― объединение ресурсов для повышения информированности населения, выявления тенденций и предоставления исчерпывающей информации правоохранительным органам.

На прошлой неделе мы зафиксировали замечательную рассылку: сообщения, предлагающие всем желающим изменить будущее, присоединившись к хакерской группе Anonymus.

Сообщения пестрят лозунгами в стиле «Хватит это терпеть!» и венчаются трагическим «We are Legion. We do not Forgive. We do not Forget.»(«Нас легион. Мы не забываем. Мы не прощаем.»), в котором не хватает разве что «Expect us!» («Ожидайте нас!»)

Начало сообщения вызывает легкое недоумение – Анонимусы вдруг, ни с того ни с сего, рассылают англоязычные сообщения пользователям, имеющим почтовые ящики в разнообразнейших доменных зонах (например, в .de), и предлагают всем без разбору вступить в их ряды.

Но со второй половины сообщения картина внезапно проясняется.

20 марта правоохранительные органы России сообщили о задержании группы киберпреступников, которые похищали денежные средства при помощи троянской программы Carberp. Это действительно хорошая новость, однако, к сожалению, она не означает конец истории Carberp.

Судя по всему, арестована была только одна из преступных групп, использующих этого троянца. При этом на свободе остаются непосредственные разработчики Carberp, которые продолжают открытую продажу троянца на форумах киберпреступников.

Вот очередное предложение купить «многофункциональный банкобот» Carberp, появившееся 21 марта:

Согласно официальной статистике, в минувшем году в китайском секторе интернета было зарегистрировано 8,9 млн. кибератак с иностранных IP-адресов, тогда как в 2010 г. этот показатель составил лишь 5 млн. Основными источниками нападений являются Япония (22,8% атак из-за рубежа), США (20,4%) и Южная Корея (7,1%).

Эти данные представлены в годовом отчете национальной службы, координирующей работу групп экстренного реагирования на компьютерные инциденты на территории Китая (National Computer Network Emergency Response Technical Team/Coordination Center, CNCERT/CC). За год эксперты завели в базу свыше 11,85 тыс. заграничных IP-адресов, которые злоумышленники использовали для установления контроля над 10,6 тыс. китайских сайтов. Реальные цифры, скорее всего, намного выше, так как отследить преступников в Сети ― задача не из легких.

Зарубежные кибератаки, проводимые на территории Китая, обычно нацелены на вывод из строя серверов, порчу контента и кражу персональных данных пользователей. 1116 веб-сайтов подверглись дефейсу, почти половина пострадавших ― правительственные организации. Были также зафиксированы отдельные попытки проникновения в правительственные сети с целью хищения конфиденциальной информации.

По словам Евгения Асеева, возглавляющего антивирусные исследования ЛК в Азиатско-тихоокеанском регионе, более 20% кибератак в Китае проводятся с применением вредоносных программ. Они обычно используют уязвимости, коих пока еще много на правительственных и корпоративных ресурсах, а также доверенную среду социальных сетей, столь популярных у китайских граждан.

Нельзя не отметить, что Китай и сам представляет удобный плацдарм для проведения кибератак на чужой территории. За год в CNCERT/CC было подано свыше 500 жалоб от иностранных организаций. Совместные расследования киберинцидентов проводятся на основе сепаратных соглашений, которые Китай заключил с 40 державами и 79 организациями.

Недавно в Швеции мошенники провернули крупную операцию, в результате которой с банковских счетов пользователей было украдено более 1,2 млн. шведских крон (около 177 800 американских долларов). Злоумышленники устанавливали на компьютерах жертв троянскую программу, которая обеспечивала им доступ к зараженным машинам. К счастью, преступников поймали и приговорили к тюремным срокам, но расследование потребовало определенного времени, поскольку в мошеннической схеме было задействовано более 10 человек.

Однако подобные атаки уже не так эффективны, как раньше: последнее время киберпреступники все чаще прибегают к другим методам поиска новых жертв и проведения атак. Уже довольно давно мы сталкиваемся с тем, что они используют взломанные учетные записи в Facebook, чтобы заманить в ловушку друзей владельцев этих аккаунтов. Пользователей обманным путем побуждают выполнять самые разные действия, от перехода по вредоносным ссылкам до перевода денег на банковские счета мошенников.

Российские блюстители порядка обезвредили группу хакеров, похитивших 60 млн. руб. у клиентов систем ДБО с помощью банковских троянцев.

Расследование показало, что сообщники занимались массовым распространением зловредов семейств Carberp (Trojan-Spy.Win32.Carberp) и RDP-door (ЛК детектирует их как Backdoor.Win32.Shiz), которых они размещали на популярных и издательских сайтах путем взлома и создания «закладок». Резидентные троянцы обеспечивали им полный доступ к ПК, привязанным к системам «Банк-Клиент». Подключаясь к зараженным компьютерам, злоумышленники проводили несанкционированные платежи и выкачивали деньги жертв на подставные счета. Похищенные суммы затем снимались через московские банкоматы. За полгода участникам ОПГ удалось провести не менее 90 незаконных транзакций на общую сумму свыше 60 млн. руб. От их действий пострадали клиенты десятков российских банков ― юридические лица, прописанные в разных регионах РФ.

В ходе оперативно-розыскных мероприятий было установлено, что в данную ОПГ входило 8 человек. Заправляли всем два брата-москвича, причем главную роль играл младший, который имел богатый криминальный опыт и находился в федеральном розыске за мошенничества с недвижимостью. В качестве прикрытия сообщники использовали арендованный офис, который они выдавали за легальную компьютерную фирму.

Участники ОПГ были задержаны в полном составе, от администратора бот-сети до низовых исполнителей, снимавших краденые деньги в банкоматах. Параллельные аресты и обыски были проведены сотрудниками Управления «К» МВД России, 4-го управления МВД и Центра информационной безопасности ФСБ с участием бойцов отряда «Рысь». У задержанных изъяты компьютерная техника, средства связи, поддельные банковские карты, денежные средства в сумме более 7,5 млн. руб., фальшивые печати.

На время следствия организатор ОПГ взят под стражу, его старшему брату назначен залог в размере 3 млн. руб. Остальные соучастники отпущены под подписку о невыезде. В Замоскворецком суде Москвы принято в производство уголовное дело по ст. 272 («Неправомерный доступ к компьютерной информации»), ст. 273 («Создание, использование и распространение вредоносных программ для ЭВМ») и ст. 158 УК РФ («Кража»). Аферистам грозит до 10 лет лишения свободы.

В заключение ― комментарий главного антивирусного эксперта ЛК Александра Гостева: «Несмотря на заявления о том, что арестованы все участники преступной схемы, остаются открытыми вопросы о судьбе настоящих авторов Carpberp, тех, кто его программировал и продавал на черным рынке, а также о владельцах «партнерских» сетей, которые занимались распространением троянца. Если они остаются на свободе, то в скором времени мы можем увидеть новые преступные группы, использующие новые модификации Carberp».

Trend Micro обнаружила в Сети вредоносные русскоязычные сайты, имитирующие новый интернет-универмаг Google Play.

«Облачный» мультимедийный сервис Google, объединивший Android Market, Google Music и Google eBookstore, был анонсирован в начале марта, и злоумышленники не преминули воспользоваться новым именем в своих интересах. Поддельные сайты, недавно зарегистрированные в зоне .ru, предлагают скачать приложение Google Play Store, заменяющее Android Market на мобильных устройствах, не дожидаясь автоматического обновления. Посетителям предлагаются также привлекательные скидки на ряд Android-программ в честь открытия универсального интернет-магазина (музыка, книги и фильмы русскоязычной аудитории пока не доступны).

По свидетельству экспертов, apk-файл, предлагаемый для скачивания имитаторами, ― не что иное как очередной SMS-троянец, использующий премиум-номера. Кликабельные картинки, размещенные на псевдо Google Play, привязаны к другим ru-доменам, предлагающим подозрительные продукты для Android.

7 марта прошла презентация нового продукта Apple – iPad третьего поколения.

Все новинки яблочного гиганта вызывают у публики нешуточный интерес. В магазинах, куда новое детище Apple завезли вскоре после презентации перед стартом продаж наблюдались традиционные очереди – не менее впечатляющие, чем перед стартом продаж IPad2 или IPhone4S в прошлом году. Предзаказы на планшетник уже побили рекорды своих предшественников.

Было бы даже странно, если бы таким ажиотажем вокруг яблочных новинок не воспользовались спамеры. В своих рассылках они использовали и iPhone и iPad и iPod, при этом появление нового продукта неизбежно влечет за собой появление новых рассылок.

Интересно, что в разных странах iСпам выглядит совершенно по-разному.

В поисках решения

В предыдущем блогпосте про Фреймворк Duqu я писал про одну из нерешенных нами задач — определение языка, на котором написан необычный код, отвечающий за общение Duqu с C&C серверами. Нам, техническим специалистам, задача показалась очень интересной, и мы решили предложить IT-сообществу поучаствовать в ее решении.

Мы получили намного больше ответов, чем ожидали — более 200 комментариев и 60+ писем с указанием различных языков и фреймворков, которые могли быть использованы при создании кода Фреймворка Duqu. Мы хотим поблагодарить всех, кто участвовал в решении и помогал идентифицировать загадочный код.

Самыми популярными вариантами, которые вы предложили, были:

• LISP (различные диалекты)
• Forth
• Erlang
• Google Go
• Delphi
• OO C
• Старые компиляторы C++ и других языков

Сотрудники 4 управления МВД РФ пресекли деятельность ОПГ, занимавшейся сбытом пиратских копий мобильного приложения с довеском, способным скрытно отправлять SMS на короткие номера.

Как показало расследование, сообщники создали 10 веб-сайтов и, выдавая их за официальные ресурсы компании-разработчика, предлагали для скачивания якобы лицензионную программу «Навител Навигатор». На самом деле это была модифицированная версия, которая могла работать без лицензии и сертификата правообладателя. Для получения кода активации пользователь должен был отправить на короткий номер текстовое сообщение стоимостью 300 руб.

По свидетельству экспертов Group-IB, которые приняли участие в расследовании, сей контрафактный продукт работал некорректно. Более того, после взлома злоумышленники снабдили его дополнительным функционалом, позволявшим отправлять SMS на короткие номера без ведома пользователя.

За год пиратский софт был скачан более 38 тыс. раз. Компания Навител потеряла при этом свыше 90 млн. руб. и планирует взыскать эту сумму через суд. Размер ущерба, причиненного пользователям, пока не определен. Против участников преступной группировки возбуждено уголовное дело по ч. 3 ст. 146 УК РФ (нарушение авторских и смежных прав, совершенное в особо крупном размере).

Трое подельников, постоянно проживающих в Саратове, отпущены под подписку о невыезде. Один из фигурантов уже имеет судимость за аналогичное преступление. В ходе обыска у задержанных была изъята компьютерная техника, которая передана Group-IB для проведения экспертизы. По ее итогам будет решаться вопрос о возбуждении уголовного дела по ч.1 ст. 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ). Интернет-провайдерам направлены представления о блокировании ресурсов, созданных пиратами.

В пятницу 16 марта в 22 часа сайт телекомпании НТВ подвергся массированной DDoS атаке и перестал отвечать на внешние запросы.

За несколько часов до этого через Twitter и Facebook стали массово распространять ссылки на предупреждения на сайте Pastebin.

Тексты всех сообщений были одинаковые, менялся только заголовок. Все ссылки содержали призыв объединиться в войне против НТВ и инструкцию, что для этого надо сделать.

Всем желающим предлагалось скачать новую утилиту от группы Anonymous под названием High-Orbit Ion Canon или просто HOIC.

После этого нужно было выбрать в качестве цели ntv.ru, выставить максимальный уровень атаки и использовать специально приготовленный файл атаки NtvLies.hoic, который уже входил в дистрибутив утилиты, размещённой на одном из сайтов группы Anonymous, зарегистрированном на Сейшельских островах.

15 марта в эфире телеканала НТВ вышла программа «ЧП. Расследование» с новым выпуском под названием «Анатомия протеста». Авторы передачи утверждают, что им удалось запечатлеть раздачу денег за участие в митингах оппозиции. Передача вызвала волну возмущения в рунете.

В настоящий момент работоспособность сайта восстановлена.

Ежегодно 17 марта отмечается День святого Патрика. Популярность этого исконно ирландского праздника год от года растет, и сегодня его отмечают во многих странах наряду с Днем святого Валентина.

Отмечают праздник и спамеры – в течение последних двух недель мы регулярно фиксируем рассылки, посвященные этому дню. Однако, с точки зрения спамеров, святой Патрик, по всей видимости, менее выгодный святой, чем святой Валентин. Рассылки, зафиксированные нами, чаще всего немногочисленны и встречаются значительно реже, чем аналогичные рассылки, эксплуатировавшие День всех влюбленных.

Интернет полон зараженных компьютеров. По осторожным оценкам, в любой момент времени к интернету подключено более 40 миллионов зараженных компьютеров-жертв и «хостов», используемых для распространения вредоносного ПО. В их числе и традиционные компьютеры, и сетевые устройства, и смартфоны. Это значит, что в Cети очень много ресурсов, представляющих собой рассадники киберпреступности, вирусов, червей, эксплойтов и шпионского ПО. Выдвигалось много предложений о том, как вычистить эти авгиевы конюшни, однако, проблемы сложны, а дежурная очистка занимает гораздо больше времени, чем ожидалось.

В начале марта мы получили от независимого исследователя сообщение о массовых заражениях компьютеров в корпоративной сети после посещения пользователями ряда известных российских информационных ресурсов. Симптомы заражения были одинаковыми: компьютер посылал несколько сетевых запросов на посторонние ресурсы, после чего в некоторых случаях на диске появлялся ряд зашифрованных файлов.

Разобраться с механизмом заражения оказалось непросто. Сайты, с которых происходило заражение пользователей, расположены на разных площадках и имеют разную архитектуру, при этом все наши попытки воспроизвести заражения не увенчались успехом. Быстрый анализ KSN-статистики, на основе которой можно было бы выявить связь между взломанными ресурсами и распространяющимся вредоносным кодом, тоже не дал результатов. Но кое-что общее между новостными сайтами мы все-таки нашли.

На днях мы обнаружили вредоносную программу, подписанную валидной подписью. Зловред представляет собой 32-х или 64-х битный дроппер, ЛК детектирует его как Trojan-Dropper.Win32.Mediyes или Trojan-Dropper.Win64.Mediyes соответственно.

В настоящее время обнаружено множество файлов дропперов, подписанных в разное время — начиная с декабря 2011 года до 7 марта 2012 года. Во всех случаях был использован сертификат, выданный швейцарской компании “Conpavi AG”. Эта компания работает с государственными органами Швейцарии — муниципалитетами, кантонами и т.д.

Информация о цифровой подписи Trojan-Dropper.Win32.Mediyes

Управление «К» МВД РФ выпустило брошюру и несколько тематических лифлетов с рекомендациями по самозащите от мошенничества в сфере высоких технологий. Информационные материалы предназначены для рядовых пользователей и будут распространяться во всех регионах в рамках всероссийской кампании «Безопасный интернет». Электронные версии выложены в общий доступ на сайте МВД.

Брошюра «Управление «К» предупреждает: будьте осторожны и внимательны!» поясняет, как защитить свой компьютер от вредоносных программ, уберечься от мошенничества с банковскими картами и не попасться на удочку злоумышленников, использующих каналы сотовой связи. Эта же информация, а также общие рекомендации по интернет-безопасности и советы детям представлены в виде коротких лифлетов. Силовики надеются, что все эти образовательные документы будут полезны интернет-пользователям, владельцам банковских карт и мобильных телефонов.

«Управление «К» призывает граждан к бдительности и рекомендует разумно оценивать и всегда перепроверять информацию, полученную средствами интернета и мобильной связи. Пожаловаться на мошеннические действия и поделиться своими подозрениями можно, обратившись в ближайший отдел полиции или заполнив заявление на сайте mvd.ru.

Когда мы, допустим на Facebook, выкладываем о себе что-либо компрометирующее нас, то винить в этом можем только себя. Однако есть и другие, более хитрые способы получить информацию о нас. Так вот, несколько слов об отслеживании действий пользователей.

Каждый раз, когда вы посещаете веб-страницу, вы запрашиваете HTML-код, который будет выполнен в вашем локальном браузере. Этот код может содержать внешние ссылки, которые вы также запрашиваете. Пока ничего страшного.

По наблюдениям участников швейцарского проекта Abuse.ch, новый ботнет Kelihos использует, в основном, ресурсы стран СНГ и бывшего соцлагеря. Больше трети IP-адресов, мобилизованных ботоводами, прописаны в Польше.

Версия Kelihos/Hlux, послужившая основой для новоявленной бот-сети, была обнаружена экспертами ЛК вскоре после того, как Microsoft и ЛК объявили о взятии под контроль одноименного ботнета-спамера, на то время единственного. Обновленный зловред тоже специализируется на рассылке спама, но его функционал был дополнен и обеспечивает ботоводам широкий выбор мошеннических схем заработка. Старый ботнет в настоящее время заблокирован и не принимает участия в криминальной деятельности.

Статистика Abuse.ch подтверждает, что новый Kelihos обосновался в TLD-зоне .eu. Активисты насчитали около 40 eu-доменов, ассоциированных с хостами fast-flux сети. Все они зарегистрированы через одну и ту же американскую компанию ― OnlineNIC. DNS-серверы, обслуживающие эти домены, тоже размещены на fast-flux ботнете; такой двойной заслон на базе технологии динамической перерегистрации IP-адресов сильно затрудняет выявление и блокировку ключевых узлов Kelihos. Доменное имя, используемое злоумышленниками для DNS-нужд, оформлено через регистратора Internet.bs (Багамы).

На конференции по безопасности CanSecWes, которая проходила в Ванкувере, Канада, я подменил Костина Райю и сделал доклад о нашем участии в исследовании командных серверов Duqu.

Тем временем, Google Chrome взломали. Опять. Сдаётся мне, что 60 тысяч долларов — не такие уж большие деньги за обнаружение уязвимости нулевого дня в Chrome, даже с учетом обхода песочницы. Вызывает удивление обнаружение сразу нескольких 0-day уязвимостей, особенно учитывая, как хорошо браузер показал себя на состязании хакеров Pwn2Own.

Я также нашёл весьма любопытными ответы Алекса Райса (Alex Rice) из Facebook на вопросы слушателей после презентации. Презентация Алекса была посвящена социальному CAPTCHA-коду — вторичной аутентификации, использующей фотографии френдов, которая начинает действовать, когда система подозревает, что аккаунт пользователя скомпрометирован или захвачен фишерами.

Введение этой системы означает, что массовые фишинг-атаки на Facebook ушли в прошлое — они стали неэффективными. Тем не менее, на презентации было много комментариев по поводу того, как эту систему можно обойти в ходе целевой атаки.

Очевидно, любую систему, которая устраняет целый класс атак, не влияя при этом на удобство пользователей, следует считать большим успехом. Facebook заслуживает похвалы за это решение; однако, компания пока получает в основном критику от пользователей.

Такое количество критики беспокоит: мы не должны отвергать идеи или системы только из-за того, что они оказались не слишком эффективными против целевых атак. Хорошо бы отойти от черно-белой парадигмы восприятия. В конце концов, большая часть (кибер-)преступности не направлена на четко определенные цели. Давайте не будем об этом забывать.

Нью-йоркский суд удовлетворил ходатайство американских властей и продлил срок работы подставных серверов DNS Changer до 9 июля.

Как мы уже писали, ботнет DNS Changer, использовавшийся операторами для перенаправления трафика на рекламные сайты заказчиков, был обезврежен в ноябре прошлого года. Американские власти при поддержке зарубежных коллег временно отключили основные DNS-серверы ботнета, заменив их подставными. Срок поддержки альтернативных DNS-каналов, назначенный судом, должен был окончиться 8 марта, однако процесс очистки зараженных компьютеров еще не завершен.

По либеральным оценкам, в начале февраля число заражений DNS Changer по всему миру превышало 3 млн. Зловред все еще присутствовал в сетях половины Fortune-500 компаний и ключевых федеральных служб США, включая Netflix, Amazon и американскую налоговую службу. Для ускорения процесса выявления пострадавших и очистки ресурсов была создана специализированная рабочая группа, а департамент юстиции, ФБР и НАСА обратились в суд с просьбой продлить срок работы суррогатных DNS-серверов.

К концу февраля глобальное число жертв DNS Changer удалось сократить до 400 тысяч, включая 94 представителя Fortune 500 и 3 важные правительственные службы США. Министерство национальной безопасности США форсировало поиск заражений в своих ведомствах, призвав на помощь частный сектор и операторов правительственной системы мониторинга интернет-угроз Einstein. Тем не менее, вопрос о продлении срока поддержки «чистых» DNS-каналов, вопреки возражениям экспертов, остался на повестке дня, и федеральный суд решил его положительно.

Согласно обновленному судебному приказу, организация Internet Systems Consortium (ISC), контролирующая работу подставных серверов, обязана представить суду 2 отчета о масштабах инфекции ― 22 мая и 23 июля. Индивидуальным пользователям предлагается проверить ПК на наличие DNS Changer, обратившись к соответствующему разделу на сайте Рабочей группы, где приведены также инструкции по очистке. Удалить этого зловреда можно также, запустив специализированную утилиту, такую как TDSSKiller разработки ЛК. Список этих бесплатных инструментов приведен на сайте Рабочей группы, равно как и перечень ее участников, оказывающих безвозмездную помощь операторам ASN.

Компания Trustwave, поставщик облачных решений в сфере информационной безопасности, подписала соглашение о выкупе M86 Security. Поглощение завершится к концу марта, финансовые условия сделки пока не оглашены.

Частная калифорнийская компания M86 Security специализируется на исследованиях и разработках в области веб- и email-безопасности, и ее приобретение позволит Trustwave расширить спектр «облачных» и управляемых услуг по корпоративной защите. Последняя также получит доступ к богатой партнерской программе M86 и к клиентской базе, которая охватывает свыше 25 тыс. организаций, насчитывающих 26 млн. пользователей в 96 странах. Это позволит компании-покупателю усилить свое присутствие на международном рынке, в особенности в странах EMEA и в Азиатско-тихоокеанском регионе.

Профессиональные кадры M86 присоединятся к команде Trustwave, причем аналитическая лаборатория Security Labs будет объединена с аналогичной SpiderLabs. После слияния защитные сервисы, продукты и антивирусные технологии M86 будут приобщены к портфолио Trustwave и будут поставляться как в связке с ее платформами, так и на правах самостоятельных опций.

Не прошло и месяца, как Adobe вновь выпустила обновления для Flash Player, закрывающие критические дыры.

По свидетельству разработчиков, обе новые уязвимости могут вызвать сбой и позволяют злоумышленнику установить контроль над системой. Уязвимость CVE-2012-0768 в случае успешной эксплуатации дает злоумышленнику возможность выполнить произвольный код через повреждение памяти в методах обработки Matrix3D. Уязвимость CVE-2012-0769 через целочисленное переполнение буфера приводит к раскрытию внутренней информации приложения. Обе бреши найдены сотрудниками Google и пока не вызвали нежелательной активности в Сети.

Новые уязвимости актуальны для всех платформ. Пользователям Adobe Flash Player 11.1.102.62 и более ранних версий для Windows, Macintosh, Linux и Solaris рекомендуется установить новейшую версию 11.1.102.63, загрузив обновление с сайта компании. Adobe подготовила также пропатченную версию Flash Player 10.x ― 10.3.183.16, которую можно скачать из раздела архивов. Пользователям Flash Player 11.1.115.6 и ниже для Android 4.x , а также 11.1.111.6 и ниже для Android 3.x и 2.x следует обновить продукт до версий 11.1.115.7 и 11.1.111.7 соответственно, зайдя на Android Marketplace. Как заметил наш старый знакомый Брайан Кребс, тем, кто пользуется несколькими браузерами на одном устройстве, возможно, придется устанавливать апдейт, поочередно используя каждый из этих браузеров. Chrome обычно обновляет Flash в автоматическом режиме вскоре после официальной публикации.

Следует отметить, что Adobe недавно ввела новую систему оценки уязвимостей, которая призвана облегчить жизнь системным администраторам. Отныне, помимо уровня опасности, разработчики будут указывать также срочность установки патча. Если при выпуске обновления указан приоритет № 1, это говорит о наличии itw-эксплойтов для уязвимости в конкретном продукте, работающем на конкретной платформе. Патч надлежит установить как можно быстрее, например, в течение 3-х суток. Приоритет № 2 присваивается в том случае, когда эксплойтов еще нет и в ближайшее время не предвидится, но сам продукт постоянно привлекает внимание злоумышленников. Такие патчи следует устанавливать в течение месяца. Приоритет № 3 самый низкий и означает, что продукт не популярен у киберкриминала; подобные патчи можно устанавливать по своему усмотрению. Согласно новой классификации, свежему обновлению для Flash Player назначен приоритет № 2.

В процессе анализа компонентов Duqu мы обнаружили интересную особенность в его основном компоненте, который реализует практически всю его бизнес-логику — в Payload DLL. Мы хотели бы поделиться полученной информацией и попросить о помощи в анализе данных.

Расположение кода

На первый взгляд, Payload DLL выглядит как обычная загружаемая библиотека формата Windows PE, скомпилированная Microsoft Visual Studio 2008 (версия компоновщика 9.0). Код, расположенный в точке входа, абсолютно стандартный. Единственная экспортируемая функция под номером 1 тоже написана на MSVC++. Эта функция вызывается из PNF DLL и реализует весь функционал данной библиотеки – соединение и общение с C&C серверами, получение и выполнение дополнительных модулей троянца. Интересные детали обнаруживаются при более глубоком анализе кода, который вызывается этой функцией в процессе работы.

Содержимое секции кода Payload DLL типично для исполняемого файла, скомпонованного из нескольких исходных модулей. Секцию можно условно разделить на несколько разделов, каждый из которых соответствует одному или нескольким файлам исходного кода. Большая часть разделов присутствует в любой программе, написанной на C++, — это, например, функции стандартной библиотеки шаблонов STL, функции стандартной библиотеки языка и собственно код программы. Однако самый большой раздел, реализующий всю логику общения с C&C серверами, отличается от них во всем.

Содержимое секции кода Payload DLL

Этот раздел не типичен для C++ программ, потому что его исходный код – не C++. Код внутри раздела не обращается к другим функциям программы, написанным на C++, и не использует стандартную библиотеку языка, хотя используемые парадигмы явно указывают, что исходный текст был написан на объектно-ориентированном языке программирования. Мы назвали это Фреймворком Duqu.

По окончании голосования россиян компания «Доктор Веб» зафиксировала спам-рассылку, нацеленную на распространение опасного Win-троянца под видом инструкции для участника московской акции протеста, которая состоялась вечером 5 марта на Пушкинской площади.

По свидетельству экспертов, вредоносные письма с заявленной темой «Митинг Честные выборы» или «Все на митинг» содержат короткий призыв изучить некую инструкцию со сценарием этого мероприятия. Непрошеные агитки снабжены doc-вложением; этот документ содержит несколько макросов, которые при его открытии сохраняют на диск и запускают троянскую программу. В «Доктор Веб» ее детектируют как Trojan.KillFiles.9055.

После запуска этот зловред копирует себя во временную папку, прописывается на автозапуск в системном реестре и заменяет содержимое всех обнаруженных на диске С файлов (.msc, .exe .doc, .xls, .rar, .zip, .7z) «цифровым мусором», помечая их на удаление при перезагрузке. В итоге операционная система приходит в нерабочее состояние или начисто «умирает», а троянец отправляет на сервер злоумышленников сообщение об успехе. По словам главного антивирусного эксперта ЛК Александра Гостева, этот сервер расположен на территории Великобритании. На этом же адресе находятся два свежих сайта, зарегистрированных в зоне .ru через «Наунет».

Александр Гостев также отмечает, что объем зловредной спам-рассылки измеряется миллионами. В настоящее время ЛК пытается установить, какие ботнеты принимали в ней участие. В качестве мер предосторожности эксперты рекомендуют не открывать вложения в письмах, полученных от неизвестных отправителей, не включать в Microsoft Word функцию исполнения макросов, которая по умолчанию запрещена, а также поддерживать антивирус в актуальном состоянии.

Согласно результатам опроса, проведенного по заказу GFI Software, в прошлом году 80% предприятий малого бизнеса США и Великобритании не заметили никакого уменьшения спамовых потоков. Около половины таких бизнес-структур до сих пор полагаются на единственное защитное решение ― штатный спам-фильтр своего антивируса.

В февральском опросе приняли участие руководители ИТ-отделов из 200 американских и 200 британских компаний с численностью персонала 5-1000 человек. 72% американцев и 75% британцев пожаловались на большие объемы входящего спама. При этом лишь 15% участников опроса отметили, что за минувший год объъемы почтового мусора уменьшились. Тенденцию к росту наблюдали 53% американцев и 61% британцев.

70% респондентов сочли применяемые антиспам-решения малоэффективными или бесполезными. При этом 48% американских и 46% британских компаний уповают лишь на фильтр, идущий в комплекте с антивирусом; 19-20% опрошенных используют специализированный антиспам-софт. В США популярны также «облачные» решения (14% ответов против 8% у англичан), в Великобритании ― фильтрация на шлюзе (22% против 11% у американцев). 5% представителей малого бизнеса вообще не пользуются спам-фильтрами.

Все участники опроса признали, что обилие спама их беспокоит, в первую очередь, по соображениям безопасности. В качестве главной угрозы, ассоциированной со спамом, 29% американцев назвали вредоносные ссылки и вложения, 22% ― фишинг. У британцев эти показатели составили 23 и 22% соответственно. Последние озабочены также проблемой перегрузки почтовых серверов (20% ответов).

Почти 90% респондентов заявили, что регулярно проводят специализированные тренинги для персонала, объясняя риски, связанные со спам-рассылками. Тем не менее, в минувшем году 40% британских и 44% американских компаний стали жертвами кибератак из-за неосторожности собственных сотрудников, которые совершили переход по зловредной ссылке, присланной в спаме, или предоставили спамерам запрошенную информацию.

Symantec обнаружила необычного банковского троянца, который ворует информацию, внедряясь в браузер на правах компонента.

Neloweg, как его нарекли эксперты, интересуют регистрационные данные банковских и ftp-ресурсов, почтовых сервисов, а также информация, вводимая в веб-формы. Как и ZeuS, он оперирует списком банковских сайтов и, находя соответствие, добавляет на страницу специализированный JavaScript. Однако, в отличие от ZeuS, использующего для инъекций штатный конфигурационный файл, Neloweg запрашивает данные с сервера, контролируемого злоумышленниками. Он на лету модифицирует содержимое страницы, используя скрытый тег div, и выполняет JavaScript, хранящийся на удаленном сервере.

По свидетельству Symantec, новый троянец может распространяться через drive-by загрузки, спам, целевые рассылки, а также с помощью других вредоносных программ. Он атакует Firefox, IE и несколько менее популярных браузеров, использующих движки Trident, Gecko и WebKit. Способ интеграции Neloweg в браузер весьма неординарен: зловред не создает лишних расширений и плагинов, высвечиваясь в общем списке надстроек, а устанавливается как полноценный компонент. Даже если его удалить, то в случае с Firefox, например, он будет воссоздаваться и заново инсталлироваться при каждом подключении браузера к интернету.

После установки Neloweg открывает бэкдор, позволяющий зараженному браузеру принимать удаленные команды. Подчиняясь недоброй воле, новоявленный бот сможет обрабатывать содержимое текущей страницы, перенаправлять пользователя на конкретный ресурс, останавливать загрузку страниц, красть пароли, запускать исполняемые файлы, ― даже выполнять команду на самоуничтожение.

Первые единичные заражения Neloweg были обнаружены на территории Великобритании и Голландии. Насколько известно, за пределы Западной Европы он пока не вышел. Информация для пользователей защитных решений ЛК: детект Trojan-Banker.Win32.Neloweg.a будет включен в следующее обновление.

PhonepayPlus, британский регулятор сферы премиальных услуг, обновил общие рекомендации по соблюдению кодекса профессиональной этики. Согласно этим поправкам, согласие на использование платного сервиса, сымитированное вредоносной программой, отныне считается недействительным.

Кодекс профессиональной этики, разработанный и запущенный PhonepayPlus, запрещает поставщикам премиум-услуг взимать плату с пользователей и вступать с ними в контакт без их согласия. При этом доказывать наличие такого согласия должен сам провайдер. До сих пор он мог в качестве свидетельства привести факт установки и использования соответствующего мобильного приложения. Однако в последнее время участились случаи загрузки вредоносных программ, способных без ведома пользователя отсылать SMS на премиум-номера, осуществлять дорогостоящие вызовы, воровать контакты из адресной книги, IMSI-идентификаторы и передавать их на сторону. В связи с этим PhonepayPlus предупреждает контент-провайдеров, что активность абонента, вызванная присутствием на его устройстве зловреда, не может считаться достаточным основанием для взимания платы.

Новые комментарии содержат также некоторые рекомендации по повышению прозрачности премиум-услуг. Вся информация о платном сервисе, которая может повлиять на решение потенциального клиента, включая расценки, должна предоставляться ему в полном объеме. Сведения о стоимости услуг надлежит оформлять хорошо читаемым шрифтом, они должны быть предельно четки и ясны, и размещать их следует в легком доступе ― рядом с коротким номером или кодом сервиса, желательно в том поле страницы, которое первоначально отображается на экране мобильного устройства. Все цены надлежит указывать в фунтах стерлингов, а если сервис допускает оплату в виртуальной валюте, абонент должен знать «обменный курс» и предельный срок действия опциона.

Клиенту нельзя навязывать услуги, не совместимые с его платформой или моделью устройства. Держатель премиум-сервиса должен также предусмотреть простой и эффективный метод отказа от услуги и, прежде чем взимать плату, проинформировать о такой возможности пользователя.

Общие рекомендации, публикуемые PhonepayPlus, не являются составной частью Кодекса и не имеют обязательной силы при разборе конфликтных ситуаций. Тем не менее, британский регулятор заявил, что планирует применять жесткие санкции к тем нечестным дельцам, которые ставят под угрозу развитие важной части рынка мобильных услуг в стране.

Евгений Касперский уже писал о том, что мы ожидали новых DDoS-атак связанных с ресурсами освещающими выборы в России. Вчера, 4 марта, мы внимательно следили за появлением новых целей DDoS-атак.

В Париже после двухмесячного расследования задержаны двое предполагаемых авторов SMS-троянца, известного под именем Foncy.

Зловреды этого семейства (ЛК детектит их как Trojan-SMS.AndroidOS.Foncy), ориентированного на платформу Android, появились itw в начале сентября. Они распространяются через специализированные онлайн-магазины, маскируясь под легальные приложения. Основной функционал троянца ― скрытная отправка текстовых сообщений на короткие премиум-номера. За каждую такую SMS со счета владельца зараженного смартфона списывается порядка 4,5 евро.

По оценке французских властей, число жертв Foncy уже превысило 2 тыс. Совокупный ущерб от его деятельности составляет около 100 тыс. евро, суммы индивидуальных потерь ― в среднем 20-30 евро.

Участники совещания по проблеме абьюзов в сфере мобильной связи, проведенного в Роскомнадзоре, признали необходимость совершенствования нормативно-правовой базы в отношении преступлений, связанных с использованием коротких номеров и текстовых рассылок. Наиболее жесткую позицию заняли представители управления «К» МВД РФ, предложив наказывать распространителей SMS-спама лишением свободы на срок до 5 лет.

По оценке Роскомнадзора, 30% жалоб, подаваемых абонентами, касаются премиумных услуг, в том числе доступных по коротким номерам. Нередко подключение к таким сервисам осуществляется без ведома и согласия потребителя, без четкого указания стоимости, а иногда заявленные (и оплаченные) услуги оказываются мифом. Много нареканий вызывает также непрошеная SMS-реклама.

Ведущие операторы сотовой связи («большая тройка») разработали и осуществляют специальные программы по борьбе со спамом и мошенничеством, однако, по мнению участников совещания, этих сил недостаточно, чтобы справиться со столь масштабной проблемой. Роскомнадзор надеется, что часть наболевших вопросов будет снята после утверждения новой редакции Правил оказания услуг подвижной связи, регламентирующих, в числе прочего, работу контент-провайдеров. Поправки к этим правилам сейчас проходят этап согласования, но для эффективного противодействия абьюзам потребуется также крепкая законодательная база.

По словам силовиков, принявших участие в совещании, правонарушителей, использующих средства мобильной связи, можно в настоящее время привлечь к ответственности лишь по 3-м статьям Уголовного кодекса. Полицейские сетуют, что в российском законодательстве даже нет такого понятия, как спам. Управление «К» предлагает перевести рассылку SMS-спама в разряд преступлений средней тяжести и назначать спамерам реальные сроки, до 5 лет и более.

По итогам совещания было решено продолжить совместную работу операторов, правоохранительных и надзорных органов в направлении совершенствования нормативно-правовой базы. Представители Роскомнадзора выразили готовность обобщить и представить в Минкомсвязи все предложения на эту тему, озвученные участниками совещания.

Intego обнаружила itw новую версию OSX-троянца, маскирующегося под Flash Player. В отличие от прежних вариантов, делавших ставку исключительно на социальную инженерию, она проникает на компьютер посредством эксплуатации 2-х уязвимостей в Java.

По свидетельству экспертов, большинство жертв нового Flashback используют OS X 10.6 Snow Leopard. Если попытка эксплуатации Java оказалась провальной, зловред прибегает к социальной инженерии, воспроизводя фальшивый сертификат, якобы подписанный Apple. Нажатие кнопки «Continue» («Продолжить») в этом окне завершит установку. Flashback.G инсталлируется как неотображаемый файл с расширением .so в папке /Users/Shared. Эксперты отмечают, что присутствие некоторых антивирусных программ на компьютере отпугивает троянца, его установка в этом случае отменяется.

Основной функцией Flashback.G является кража регистрационных данных из браузера и других сетевых приложений. Его интересуют пароли к аккаунтам Google, Yahoo, CNN, банковским сервисам, PayPal и проч. Троянец снабжен модулем автоматической загрузки обновлений, который проверяет ряд заданных сайтов на наличие новых версий.

Одним из характерных признаков присутствия Flashback.G в системе является нестабильная работа веб-браузера (Safari) и других сетевых приложений (Skype). Зловред внедряет код в соответствующие процессы и во многих случаях вызывает аварийный отказ. О наличии инфекции сигнализирует также Java-апплет в папке ~/Library/Caches.

В Йошкар-Оле осуждены участники молодежной преступной группировки, укравшие у клиентов систем ДБО свыше 3 млн. руб.

Согласно материалам дела, молодые люди с февраля 2010 года занимались взломом банковских онлайн-аккаунтов и выкачивали денежные средства на подставные счета с помощью фиктивных платежных поручений. Краденые деньги немедленно обналичивались, чтобы жертва не успела отменить несанкционированную транзакцию. За несколько месяцев злоумышленникам удалось похитить у коммерческих структур и индивидуальных пользователей ДБО 3,2 млн. руб. Пострадавшие ― жители Москвы и Московской области, Санкт-Петербурга, Самары, Иркутска, Владикавказа и Абхазии.

Расследованием деятельности данной ОПГ занимались отдел «К» МВД Марий Эл и республиканское УФСБ. Как выяснилось, организатором мошеннической схемы являлся 22-летний выпускник МарГТУ, который также выполнял функции хакера. Ему помогали четверо друзей-студентов, занимавшихся поиском «дропов» ― добровольцев, снимавших краденые деньги с подставных счетов через обменные пункты Web Money или столичные банки.

За несколько месяцев оперативникам удалось выявить всю преступную цепочку, однако лидера пришлось объявлять в федеральный розыск. Его задержали лишь прошлым летом, когда тот прибыл в московский аэропорт, собираясь вылететь в Египет по фальшивым документам. Уголовное дело марийской группировки по 30 эпизодам правонарушений было направлено в йошкар-олинский горсуд в ноябре.

Главарь студенческой ОПГ приговорен к 5 годам лишения свободы с отбыванием срока в исправительной колонии общего режима. Он также уплатит штраф в размере 80 тыс. руб. Его подельники получили до 4 лет условно.

В конце января этого года свободная онлайн энциклопедия Wikipedia подвела итоги акции по сбору средств, начавшейся еще в ноябре 2011. На сайте Wikipedia в течение двух месяцев можно было прочитать обращения основателя проекта, его разработчиков и авторов статей, призывающих пожертвовать деньги на развитие ресурса. За это время проекту удалось собрать 16 миллионов долларов. Пожертвования производились прямо через сайт проекта, где их по-прежнему можно совершить, хотя запланированная сумма на ближайший год уже собрана.

По всей видимости, объявленная сумма собранных за два месяца средств прямо-таки поразила спамеров, охочих до чужих денег. В середине февраля в почтовых ящиках пользователей появились письма, копирующие текст обращения Джимми Уэйлса – основателя Википедии. Единственная разница между текстами состояла в том, что Джимми призывал подумать «о взносе в 5 долларов, 10 евро, 45 рублей, или о таком, какой сочтёте возможным сделать» , в то время как спамер надеялся на взнос «в 100 руб., 150 руб., 200 руб. или любой другой». К тому же, спамер заботливо предлагает получателю свои платежные координаты, видимо, чтобы не утруждать пользователя переходом по ссылке на официальный сайт Википедии.

Разумеется, денег переведенных на предложенные спамером счета, в Википедии никогда не увидят.

Рабочая группа по борьбе с абьюзами в системах передачи сообщений (Messaging Anti-Abuse Working Group, MAAWG) возглавит новый американский проект, нацеленный на ограничение масштабов бот-инфекций.

Федеральная программа, нацеленная на укрепление сотрудничества госструктур и частного сектора в борьбе за безопасный интернет, запущена под эгидой американской комиссии по связи (Federal Communications Commission, FCC). Она предполагает добровольное участие интернет-провайдеров и операторов сетей в сборе статистики по ботнетам. Последняя будет издаваться в форме обобщенных ежеквартальных отчетов при полном соблюдении конфиденциальности источников. Такой подход, по мнению MAAWG, позволит получить более точное представление о масштабах и эволюции проблемы, чем специализированные исследования, проводимые с использованием разных методик. Заявку на участие можно подать, зайдя на сайт www.m3aawg.org/contact. К слову сказать, некоторые интернет-провайдеры по собственной инициативе уже регулярно отслеживают заражения в своем хозяйстве, наладив оповещение пострадавших владельцев ПК, и помогают им в решении проблем.

В разработке нового проекта принимает деятельное участие специализированная рабочая группа FCC по борьбе с ботнетами. В задачи этого подразделения входят составление практических рекомендаций для интернет-провайдеров по очистке пользовательских ресурсов и создание системы контрольных показателей, отражающих прогресс в нейтрализации ботнетов. Будем надеяться, что информация, собранная в рамках новой инициативы FCC, не ляжет мертвым статистическим грузом на полку и будет использована для оценки и совершенствования практических мер борьбы с ботнетами, а также для разработки эффективной стратегии по выводу рядовых пользователей из невольного плена.

MAAWG, кстати, недавно поменяла свою аббревиатуру на M3AAWG (M3 ― Messaging, Malware and Mobile), приглашая к сотрудничеству специалистов по борьбе с вирусами и мобильными угрозами, ибо объединение усилий ― залог успешного противостояния киберкриминалу.