Хакеров из России подозревают в кибератаке на трубопровод в США | Новости из Германии о событиях в мире | DW
За кибератакой на оператора одного из крупнейших трубопроводов в США Colonial Pipeline, может стоять хакерская группа DarkSide, имеющая корни в России, сообщили вечером в воскресенье, 9 мая, американские СМИ со ссылкой на источники в структурах, связанных с обеспечением кибербезопасности.
По словам источников, эта группировка обычно атакует нерусскоязычные страны. DarkSide — относительно новая хакерская группа, но она применяет «изощренный подход» к вымогательству, отметили они. По мнению собеседников американских СМИ, власти России не причастны к кибератаке на Colonial Pipeline, который обеспечивает топливом почти половину населения восточного побережья США.
В прошлом власти США неоднократно обвиняли российские власти в спонсировании хакерских группировок и в причастности к различным кибератакам. Москва всегда отвергала подобные обвинения.
Кибератака с целью получения выкупа
Хакерская атака на оператора Colonial Pipeline началась 6 мая. Злоумышленники похитили массив данных, заблокировали компьютеры и потребовали денег. Сумма выкупа пока не известна. Источники Bloomberg сообщали, что вымогатели угрожали слить в интернет конфиденциальную информацию и оставить компьютеры заблокированными.
На следующий день после атаки Colonial Pipeline была вынуждена приостановить работу топливопровода. В настоящее время работа трубопровода постепенно восстанавливается. Власти США создали межведомственную рабочую группу специалистов для разработки планов на различные сценарии, в том числе на случай перебоев в поставках горючего.
Министерство транспорта в Вашингтоне, объявило в воскресенье о региональной чрезвычайной ситуации в таких штатах, как Флорида, Техас, Нью-Йорк и Пенсильвания. Это позволит властям организовать доставку горючего и нефтепродуктов в автоцистернах.
Между тем хакерская атака на крупнейший трубопровод США вызвала рост цен на нефть эталонных марок на международных рынках.
Смотрите также:
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Личные данные немецких политиков оказались в Сети
Как стало известно 4 января, в конце 2018 года в Twitter появились ссылки на личные данные — в том числе, паспортные и кредитных карт — 994 немецких политиков, актеров, журналистов, музыкантов. Уже 6 января по подозрению в совершении взлома арестовали 20-летнего ученика гимназии в Гессене. По данным полиции, он много времени проводил у компьютера, однако специального образования у него нет.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Российские «мишки»
За последние годы новости о хакерах и кибератаках стали уже обыденностью. Зачастую авторство взломов приписывается нескольким группам хакеров — Cozy Bear (дословно «уютный медведь», известна еще как APT29), Fancy Bear («модный медведь», APT28) и Energetic Bear («энерегетический медведь»), которые связывают с российскими спецслужбами. Улики косвенные, но с каждым разом их становится все больше.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Атаки на энергосети США и Германии
Летом 2018 года стало известно об атаках хакерской группировки Energetic Bear на энергосети США и Германии. По оценкам америкаснких спецслужб, в США взломщики даже дошли до этапа, когда могли включать и выключать электричество и вывели из строя потоки энергии. В ФРГ же хакерам удалось проникнуть в сети лишь нескольких компаний до того, как немецкие спецслужбы взяли ситуацию под контроль.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
США обвинили ГРУшников в кибератаках
13 июля 2018 года Минюст США (на фото — офис ведомства в Вашингтоне) обвинил 12 граждан РФ в попытке вмешаться в выборы американского президента в 2016 году. По версии следствия, сотрудники Главного разведывательного управления (ГРУ) Генштаба вооруженных сил России участвовали во взломе компьютерных систем Демократической партии и предвыборного штаба Хиллари Клинтон.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
США и Великобритания обвинили РФ в масштабной кибератаке
ФБР, министерство внутренней безопасности США и британский Центр национальной компьютерной безопасности 16 апреля 2018 года заявили, что российские хакеры атаковали госструктуры и частные компании в попытке завладеть интеллектуальной собственностью и получить доступ к сетям своих жертв. Аналогичные обвинения в тот же день озвучила министр обороны Австралии Мариз Пейн.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Bad Rabbit поразил Россию и Украину
Новый вирус Bad Rabbit поразил 24 октября серверы нескольких российских СМИ. Кроме того, хакеры атаковали несколько государственных учреждений на Украине, а также системы киевского метрополитена, министерства инфраструктуры и аэропорта Одессы. Ранее атаки Bad Rabbit были зафиксированы в Турции и Германии. Эксперты считают, что вирус распространяется методом, схожим с ExPetr (он же Petya).
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Кибератака века
12 мая 2017 года стало известно, что десятки тысяч компьютеров в 74 странах подверглись кибератаке небывалого масштаба. Вирус WannaCry шифрует данные на компьютерах, хакеры обещают снять блокировку за выкуп в 300 долларов в биткоинах. Особо пострадали медучреждения Великобритании, компания Deutsche Bahn в ФРГ, компьютеры МВД РФ, Следственного комитета и РЖД, а также Испания, Индия и другие страны.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Вирус Petya
В июне 2017 года по всему миру были зафиксированы атаки мощного вируса Petya.A. Он парализовал работу серверов правительства Украины, национальной почты, метрополитена Киева. Вирус также затронул ряд компаний в РФ. Зараженными оказались компьютеры в ФРГ, Великобритании, Дании, Нидерландах, США. Данных о том, кто стоял за распространением вируса, нет.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Атака на бундестаг
В мае 2015 года обнаружилось, что взломщики проникли во внутреннюю компьютерную сеть бундестага с помощью вредоносной программы («трояна»). IT-эксперты обнаружили в этой атаке следы группы APT28. В пользу российского происхождения хакеров свидетельствовали, среди прочего, русскоязычные настройки вирусной программы и время проводимых ими операций, совпадавшее с московскими офисными часами работы.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Против Хиллари
В ходе предвыборной гонки за пост президента США хакеры дважды получали доступ к серверам Демократической партии кандидата Хиллари Клинтон. Американские спецслужбы и IT-компании установили, что летом 2015 года действовали представители Cozy Bear, а весной 2016-го — Fancy Bear. По мнению разведслужб США, кибератаки были санкционированы высокопоставленными российскими чиновниками.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Партия Меркель под прицелом
В мае 2016 года стало известно о том, что штаб-квартира партии Христианско-демократический союз (ХДС) канцлера ФРГ Ангелы Меркель подверглась хакерской атаке. IT-специалисты утверждали, что это взломщики из Cozy Bear пытались получить доступ к базам данных ХДС с помощью фишинга (рассылка писем со ссылками на сайты, не отличимые от настоящих), но попытки не увенчались успехом.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Допинговый взлом
В сентябре 2016 года Всемирное антидопинговое агентство (WADA) сообщило о взломе своей базы данных. Группа Fancy Bear выложила в Сеть документы со списком атлетов, которым WADA разрешило использовать в связи с лечением заболеваний препараты из списка запрещенных (терапевтические исключения). Среди них были американские теннисистки Серена и Винус Уильямс и гимнастка Симона Байлз.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
500 млн аккаунтов Yahoo
В феврале 2017 года Минюст США выдвинул обвинения в краже данных более 500 млн аккаунтов в Yahoo против двух офицеров ФСБ Дмитрия Докучаева и Игоря Сущина. Кибератака произошла в конце 2014 года. По версии обвинения, сотрудники ФСБ наняли для этого двух хакеров. Среди жертв взлома оказались российские журналисты, правительственные чиновники из России и США и многие другие.
Автор: Илья Коваль
Colonial Pipeline: стоило ли платить хакерам 5 млн?
- Джо Тайди
- Корреспондент Би-би-си по вопросам кибербезопасности
Автор фото, Colonial Pipeline
По сообщениям американских СМИ, управляющая компания одного из ключевых нефтепроводов США Colonial Pipeline выплатила хакерам, парализовавшим ее работу, выкуп почти в 5 млн долларов.
Кибератака атака произошла 7 мая, в результате чего на восточном побережье США начались серьезные перебои с поставками топлива. Colonial Pipeline качает 2,5 млн баррелей нефти в день и обеспечивает 45% всего топлива, потребляемого на востоке страны.
Спецслужбы США полагают, что взлом осуществлен группировкой DarkSide, в которой состоят российские хакеры. Кибернападения на ключевые объекты инфраструктуры в разных странах с последующим требованием выкупа заметно участились в последние три года в странах с платежеспособными структурами.
Нападение на нефтепровод стало самым масштабным подобным инцидентом в США, а выплаченная сумма — самым крупным выкупом, который хакерам когда-либо удалось получить.
Руководство Colonial Pipeline заявило в четверг, что не будет комментировать произошедшее.
Вызов Байдену
Это серьезный удар по президенту Джо Байдену. Только на этой неделе он подписал долгожданное распоряжение об усилении мер в области федеральной кибербезопасности и защиты США от хакерских атак.
Но сейчас эти усилия оказались начисто подорваны, говорят эксперты в области кибербезопасности.
Как сможет администрация Байдена убедить корпорации потратить миллионы долларов на защиту своих компьютерных систем, когда только что на глазах у всех крупная нефтяная компания пошла на поводу у преступников и откупилась от них.
Ряды лоббистов, требующих запретить при любых обстоятельствах выплаты выкупов, безусловно, пополнятся. Но подобные атаки не только парализуют работу компаний, но и нередко подвергают риску здоровье и жизнь людей. Например, когда взломам подвергаются больничные системы и медицинские базы.
Таким образом, правительство оказывается перед трудно разрешимой задачей.
Срочные меры
В апреле международная группа экспертов и политиков Ransomware Task Force (RTF), объединившихся с целью дать бой хакерам-вымогателям, опубликовала подробную стратегию предотвращения такого рода нападений.
Хотя участники группы не смогли прийти к единому мнению о том, что выплаты хакерам следует запретить, все согласились со здравой мыслью, что выплаты хакерам подталкивают их к новым атакам.
По словам исполнительного директора RTF Филипа Рейнера, для предотвращения новых кибератак необходимо принимать срочные меры.
«Давно назрела необходимость более высокого уровня скоординированных, стратегических и подкрепленных ресурсами действий для сдерживания таких атак, — заявил он. — RTF ясно дала понять, что ситуация может лишь ухудшиться. И начинать действовать против этих преступников нужно было уже вчера».
Еще одна причина, по которой правоохранительные органы всего мира советуют жертвам не платить выкуп, заключается в том, что эти средства, судя по всему, используются для других прортивоправных действий, таких как контрабанда людей и наркотиков.
Одной из мер, которая могла бы положить конец практике хакерских атак с целью выкупа, и к которой сегодня призывают многие, могло бы стать оказание дополнительного давления на такие страны как Россия, Иран, и Северная Корея, которые считаются эпицентрами такого рода киберпреступности, но сами мало что делают, чтобы предотвращать это.
Положительная сторона
Казалось бы, у этой истории не может быть положительной стороны, однако она заключается в том, что даже после того, как Colonial заплатила хакерам выкуп, преступники так медленно оказывали компании обещанную помощь, что ее сотрудникам самим пришлось взяться за дело.
Так что участники DarkSide не могут больше утверждать, что они могут быстро поправить нанесенный ущерб, так что у других жертв может возникнуть сомнение в необходимости платить выкуп.
В DarkSide, похоже, признали, что сами были поражены последствиями своей атаки.
В своем блоге в даркнете они написали, что не имели в виду создавать людям проблемы, а были заинтересованы лишь в том, чтобы заработать деньги.
По первому пункту они явно не выполнили свою задачу, зато по второму заработали достаточно денег, чтобы безбедно жить до конца жизни.
Любопытно, что их блог больше не в сети, что наталкивает на мысль о том, что сейчас они как раз и заняты вопросом о том, как уйти на покой.
Впрочем, это уже не имеет значения, если учесть, что сейчас постоянно возникают новые группировки, желающие сорвать куш с компаний, готовых расстаться со своими миллионами.
Курс «Этичный хакер» – школа программирования Coddy в Москве
Бытует мнение, что «хакерство» — это что-то плохое. Изначально «хакерами» называли программистов, которые исправляли ошибки в программном обеспечении каким-либо быстрым или оригинальным способом, но в конце XX века у термина появилось новое значение — «компьютерный взломщик», злоумышленник, добывающий конфиденциальную информацию в обход систем защиты.
Существуют и этичные хакеры, которые помогают находить ошибки в системах безопасности и устранять их. Эти специалисты действуют абсолютно законно, более того, эта профессия набирает популярность, так как многие компании готовы платить за найденные уязвимости.
Сегодня хакеров делят на два основных вида: White hat (с англ. — «белая шляпа») и Black hat (с англ. — «чёрная шляпа»). «Черными шляпами» называют киберпреступников, тогда как «белыми шляпами» – специалистов по информационной безопасности или исследователей IT-систем, не нарушающих закон.Кто такой специалист по этичному хакингу?
Этичный хакер / white hacker – это специалист в области кибербезопасности, который отлично знает принципы взлома информационных систем, умеет быстро и успешно выявлять и устранять проблемы безопасности в компьютерных сетях.
Обучение хакингу в школе CODDY проводят опытные специалисты-практики, сертифицированные этичные хакеры. Они рассказывают на занятиях об уникальных техниках и методах взлома, которые можно применять в оборонительных целях.
Преимущества обучения на курсах «Этичный хакер»
Программа курса адаптирована для детей и подростков. Занятия будут полезны и интересны даже неподготовленным слушателям, желающим познать ремесло этичного хакинга с нуля.
Этот курс позволит вашему ребенку:
- получить представление об угрозах и опасностях, подстерегающих в интернете;
- познакомиться с различными аспектами информационной безопасности на практике;
- узнать, как взломать пароли учетных записей, как работают трояны, бэкдоры, вирусы и черви, как проводятся DoS атаки;
- научиться находить лазейки, взламывать и защищать различные программы и системы;
- узнать, как обходить системы защиты и заметать следы;
- научиться надежно защищать свои личные данные и секретную информацию.
Курс «Этичный хакер» состоит из 4 модулей.
В 1-м модуле мы с детьми познакомимся с темами:
— социальная инженерия
— фишинг
— Вирусы-стиллеры
— darknet
2-й модуль посвящен введению в сетевые технологии, на котором дети изучат:
— устройство сети интернет, стек TCP/IP
— принцип работы локальных, глобальных, частных и публичных сетей
— понятие анонимности в сети (VPN, Proxy)
— маршутизаторы, коммутаторы и принцип их работы
3-й модуль посвящен изучению дистрибутиву Kali Linux. Будут изучены темы:
— основы администрирования Linux
— управление утилитами metasploit, nmap
— сканирование локальных беспроводных сетей
В 4-м модуле дети научатся создавать шпионские программы на языке Python:
— программы стиллеры паролей
— программы шифровальщики
— программы для скрытой передачи информации по сети
Полезные ссылки
Введение в криптографию (2012)
Автор: В.А. Романьков
Скачать книгу на русском — здесь.
Статья «Безопасный интернет для ребенка», автор – Екатерина Старостина, партнер школы программирования для детей CODDY.
Google основы детской безопасности в сети — Безопасный интернет от компании Google.
Лига безопасного Интернета — крупнейшая и наиболее авторитетная в России организация, созданная для противодействия распространению опасного контента во всемирной сети. Лига безопасного интернета была учреждена в 2011 году при поддержке Минкомсвязи РФ, МВД РФ, Комитета Госдумы РФ по вопросам семьи женщин и детей. Попечительский совет Лиги возглавляет помощник Президента Российской Федерации Игорь Щеголев. Уроки безопасного интернета от Лиги безопасного Интернета.
Дети России Онлайн. Полезный ресурс для детей и их родителей.
А тут лежит информация для родителей: памятки, советы, рекомендации от компании Microsoft.
«Интернешка» — детский онлайн-конкурс по безопасному использованию Интернета. Советы детям, педагогам и родителям, полезные ссылки.
Интернет-контроль — защита детей от вредной информации в сети интернет. Для родителей и интересующейся молодежи.
SAFERUNET — Центр безопасного интернета в России.
Дети-онлайн. Опасности в сети. (книга для родителей free)
РОЦИТ — Ваш помощник в Интернете. Для детей старшего школьного возраста и родителей. Общественная организация, объединяющая активных интернет-пользователей России. Е миссия — содействие развитию и распространению интернет-технологий в интересах граждан России.
Всероссийский конкурс — «ПОЗИТИВНЫЙ КОНТЕНТ». Поучаствуйте в конкурсе – создайте свой позитивный контент в сети!
Отдельно расскажем, что еще можно полезного делать:
Присылай ссылки на опасные сайты в Единый Реестр запрещенных сайтов.
Отправляй сообщения об опасном контенте на горячие линии Лиги безопасного интернета.
Сообщай о полезном контенте – накопим его вместе.
Регистрируйся в социальной сети, посвящённой кибербезопасности.
Используй WEB-фильтр при работе в Интернет.
«Кибердружина» — межрегиональное молодежное общественное движение, созданное Лигой безопасного интернета в 2011 году. Оно объединяет более 20 тысяч добровольцев со всей России и стран СНГ, борющихся с преступлениями в виртуальной среде. «Кибердружина» имеет представительства в 32 регионах России.
Ну, и конечно, читай энциклопедию по кибербезопасности!
Ресурсы и сервисы по фишингу:
Фишинг – это один из способов незаконного использования вашей банковской карты. Объясните ребенку, что при посещении неизвестного сайта необходимо обратить внимание на его написание в строчке браузера.
Phishtank проверяет на попадание в black list исследуемый сайт
Rescan проверяет на вирусы, взлом и недобросовестную рекламу. Ну, и старый проверенный
Norton аналогично проверяет сайты.
На мобильных устройствах, например (если в вашей семье IPhone-династия) есть функция «семья», куда можно внести всех членов, включая ваших детей. И без вашего одобрения запроса ребенок ничего из онлайн-магазина купить не сможет. На системе Аndroid и Windows есть аналогичные возможности.
Системные требования к компьютеру
Просьба убедиться, что Ваш компьютер подходит для курса. Рекомендации по ссылке
Инструкция по установке программ для курса «Этичный хакер».
По завершении курса каждый ученик получает именной сертификат от CODDY.
подборка эпичных сцен из кино и сериалов
Сцены с хакерами в фильмах и сериалах всегда были поводом для насмешек (или восхищения?). Многие радовались, когда вышел сериал «Мистер Робот» с правдоподобными сценами взлома. Но разве может какой-то там реализм сравниться с очарованием тех времён, когда хакеры были почти супергероями, обладавшими удивительной и непонятной силой? Мы сделали для вас подборку сцен, где можно посмотреть, как работали Настоящие Хакеры, с которыми «Мистер Робот» и рядом не стоял.
***
Подборку откроет сцена из фильма «Пароль «Рыба-меч»». В ней герою Хью Джекмана нужно взломать базу данных, защищённую 128-битным (!) шифрованием, всего за 60 секунд. Сущий пустяк для настоящего хакера, особенно с правильным стимулом:
***
А вот сцена из сериала «Касл», в которой присутствуют все атрибуты тру-хакинга, включая крутящиеся кубики Рубика, покрытые таинственными символами:
Если вы не умеете запускать ракеты, чтобы положить чью-то систему, то не зовите себя хакером, пожалуйста.
***
Хакеры приносят не только вред, но и пользу. Например, обезвреживают бомбы:
Ловите лайфхак: в следующий раз, когда вам придётся обезвреживать бомбу (у вас же такое часто случается?), просто откройте Excel, быстро что-нибудь напечатайте в ячейки и всё. А резать провода — прошлый век.
***
Взлом с помощью типичной системы Unix был показан в фильме «Парк юрского периода»:
Бедное дитя. Ещё совсем ребёнок, а уже знает Unix…
***
В сериале NCIS показали, что когда в вашу сеть вламываются, лучший способ защититься — заняться парным антихакингом:
Впрочем главный хакер — спаситель ситуации — показал себя только под конец.
***
В сериале CSI:NY криминалист демонстрирует недюжинные способности к отслеживанию преступников:
Пока вы говорите, что Visual Basic никому не нужен, кто-то уже создаёт GUI-интерфейс, чтобы отследить ваш IP.
***
Кто бы мог подумать, но в фильме «Земное ядро: Бросок в преисподнюю», где сюжет крутится вокруг путешествия к ядру планеты для его перезапуска, тоже нашлось место хакингу:
Да, всё верно, настоящий хакер может правильно подуть в телефон и обеспечить вас бесплатными междугородними звонками на всю жизнь.
***
А вот ещё одна сцена со взломом из сериала «Стрела». Обратите внимание, как всего одним ловким нажатием на Backspace можно подпалить оборудование своего противника:
И да, если вы видите на экране Око Саурона под ЛСД, то скорее всего вас взломали:
***
Самый приближённый к реальности взгляд на хакера был представлен в документальном фильме Kung Fury:
Круче может быть только тыжпрограммист.
***
Ответственно подошли к отображению тру-хакерства создатели следующего видео, которое следует всем канонам из фильмов:
***
Ну и напоследок, вот забавное видео о том, как происходит взлом в фильмах и в реальной жизни:
***
А если глядя на все эти эпичные кадры вам захотелось что-нибудь посмотреть, загляните в нашу подборку фильмов и сериалов для хакеров.
Впасть в коммутатор: хакеры готовят мощную атаку на счета россиян в мае | Статьи
Специалисты по кибербезопасности предупредили о подготовке массированной атаки на счета россиян в период майских праздников. Ожидается, что хакеры воспользуются уязвимостью мобильной связи, которая позволит перехватить SMS для авторизации в банковских приложениях — в даркнете был продан доступ к коммутатору одного из сотовых операторов. Об этом «Известиям» рассказали в DeviceLock, риск такой атаки подтвердили и в других компаниях, специализирующихся на киберзащите. Впрочем, для опустошения счетов мошенникам недостаточно кодов из SMS — им нужно иметь логины и пароли от личных кабинетов, заверили в кредитных организациях.
Кодовый захватВ начале марта в даркнете появилось предложение о продаже доступа к коммутатору одного из операторов мобильной связи (его название и страна действия не уточнялись). Подключение к нему позволяет перехватить контроль над системой сигнализации SS7, управляющей трафиком операторов мобильной связи. Об этом «Известиям» рассказали в компании DeviceLock, которая занимается борьбой с утечками данных. Доступ продавался за $30 тыс. в биткоинах. С его помощью мошенники смогут перехватывать звонки и SMS всех операторов, с которыми у владельца коммутатора есть соглашение о роуминге.
Уязвимый оператор с большой вероятностью имеет договор о сотрудничестве (фактически — о роуминге) с одним или несколькими российскими провайдерами сотовых услуг, пояснила гендиректор «Смарт Лайн Инк» — производителя систем DeviceLock Олеся Ярмоленко. По ее словам, поскольку сегодня люди много путешествуют, практически у каждого оператора мобильной связи есть как минимум одно такое соглашение с провайдером любой страны.
Фото: ТАСС/Сергей Бобылев
По данным DeviceLock, в начале апреля доступ к коммутатору с большой вероятностью попал к покупателю из стран СНГ. Именно русскоговорящие злоумышленники, специализирующиеся на атаках на онлайн-счета, проявляли наибольший интерес к этому предложению, подчеркнула Олеся Ярмоленко. Она отметила, что благодаря активному распространению онлайн-банкинга и относительно высоким остаткам на счетах Россия всегда была наиболее желанной целью для интернет-мошенников на всем постсоветском пространстве.
— Атаки на систему сигнализации SS7 используются в первую очередь для перехвата авторизационных SMS-сообщений кредитных организаций, почтовых сервисов, а также различных электронных кошельков. С их помощью злоумышленники затем могут войти в личный кабинет банка и воспользоваться деньгами потенциальной жертвы, — пояснила эксперт.
По ее предположениям, атаке могут подвергнуться несколько сотен владельцев счетов с наибольшими остатками и подключенным онлайн-банкингом, данные о которых уже собраны или будут получены путем «пробива» клиентов. Поскольку на подготовку нападения такого типа злоумышленникам обычно нужно от двух недель до месяца, оно может быть приурочено к майским праздникам, когда большинство россиян ослабят контроль над своими счетами и другими финансовыми активами, ожидает специалист.
В «Лаборатории Касперского», а также в BI.ZONE (входит в экосистему «Сбера») известно о продаже доступа к коммутатору сотового оператора в даркнете. По словам главного эксперта «Лаборатории Касперского» Сергея Голованова, вполне вероятно, что с помощью уязвимости у преступников появится доступ к каналам российских операторов, поскольку для обеспечения коммуникации за границей провайдерам связи необходимо сотрудничать с локальными игроками.
Фото: ИЗВЕСТИЯ/Павел Бедняков
Стандарт SS7 используется в сетях 2g/3g, и когда он разрабатывался, безопасность не ставилась во главу угла, отметили в IT-компании КРОК, добавив, что операторы обязаны обеспечивать совместимость с сетями второго и третьего поколения, поэтому SS7 остается частью используемых систем.
Переход на pushПо сведениям Digital Security, вполне вероятно, что мошенники нацелились именно на российских граждан. В сентябре прошлого года фиксировались подобные нападения (с перехватом SMS для авторизации) на пользователей Telegram, знает аудитор информационной безопасности компании Илья Булатов. Ему также известно об атаках на банки в Германии в 2017 году и на Metro Bank в Великобритании в 2019-м.
— Злоумышленники обходили двухфакторную идентификацию и получали доступ к аккаунтам жертв, после чего опустошали счета. В целом атаки на SS7 могут привести к компрометации аккаунтов в сервисах, на которых используется только авторизация по коду из SMS, а также для обхода второго фактора подтверждения в случае, если злоумышленник обладает паролем от аккаунта жертвы. Это могут быть банки, мессенджеры и соцсети, — рассказал Илья Булатов.
Он добавил, что для простейшей атаки злоумышленникам необходимо знать данные карты жертвы, которые периодически попадают в утечки сведений из интернет-магазинов или кредитных организаций.
Риски подобных атак на россиян «Известиям» подтвердили специалисты «Лаборатории Касперского», Positive Technologies, «Инфосистем Джет» и BI.ZONE. Эксперты пояснили, что организация такого преступления дорогостоящая и трудозатратная, поэтому оно имеет смысл только в крупных масштабах. При этом всплеск активности достаточно быстро будет замечен антифрод-системами банков, и злоумышленники будут вынуждены прекратить свою деятельность, отметили в BI.ZONE.
Фото: Depositphotos
Возможно, мошенники проведут не единую массовую атаку, а будут действовать аккуратнее, получая доступ к десяткам (менее вероятно — сотням) счетов в день, предположил руководитель группы исследований безопасности телекоммуникационных систем Positive Technologies Павел Новиков. Он пояснил, что такая активность будет мало заметна и, значит, позволит им оставаться в Сети гораздо дольше.
В отличие от социальной инженерии, защита от атак через перехват SMS полностью лежит на сотовых операторах, заявил руководитель департамента аудита информационной безопасности Infosecurity a Softline company Сергей Ненахов. Он рассказал, что клиентам следует переключить двухфакторную защиту критических сервисов на push-уведомления вместо SMS. Также можно использовать специальные приложения-аутентификаторы, генерирующие одноразовые коды непосредственно на самом устройстве.
Пользователю к тому же следует установить лимиты на переводы и запрет операций за рубежом, добавили в компании «СёрчИнформ».
В ВТБ известно о рисках атаки на граждан через перехват сообщений, но принятый в банке комплекс технических мер не позволяет злоумышленникам использовать технологию для получения доступа к средствам клиентов, заверили в кредитной организации. Для входа в интернет-банк недостаточно кода подтверждения, отправленного в виде SMS: требуется знать еще логин и пароль от интернет-банка, подчеркнули в ПСБ и УБРиР.
Представители сотовых операторов не ответили на запросы «Известий» о рисках атаки через стандарт SS7. «Известия» направили запросы в ЦБ, Минцифры и Роскомнадзор.
Эксперты раскрыли схему хакерской атаки на систему трубопроводов США
На автозаправках в ряде штатов восточного побережья США, включая Вирджинию, Джорджию, Северную и Южную Каролины, стали скапливаться очереди из автомобилей. Ажиотажный спрос вызван сообщениями о возможных перебоях с поставками топлива, связанных с кибератакой на систему топливопродов Colonial Pipeline. Эксперты в области кибербезопасности рассказали «Голосу Америки», почему хакерская атака стала возможна, и какие последствия она будет иметь для топливно-энергетических компаний в Соединенных Штатах.
Топливопровод Colonial Pipeline тянется из Техаса до Нью-Джерси, и через него проходит 45% топлива, снабжающего Восточное побережье Соединенных Штатов. Хотя остановка трубопровода, как утверждают власти, не успела привести к масштабному дефициту топлива, спрос на бензин в ряде штатов уже вырос на 40% по сравнению с предыдущей неделей.
Как во вторник сообщил Wall Street Journal, на ряде автозаправок скопились очереди из автомобилей. В результате, на некоторых из заправок стало заканчиваться топливо. Также наблюдается рост цен на бензин – они уже достигли семилетнего максимума.
…хакеры утверждают, что действуют исключительно в интересах наживы, и призвали не связывать кибератаку с интересами конкретного правительства
В Colonial Pipeline обещают «в значительной степени» восстановить работу трубопровода к концу недели. До этого времени, чтобы избежать дефицита топлива, бензин будет доставляться также автомобильным и железнодорожным транспортом.
Как произошла кибератака?
ФБР возложило ответственность за приостановку работу трубопровода на хакерскую группировку DarkSide, которую подозревают в связях с Кремлем. Подтверждающее кибератаку сообщение появилось и на сайте группировки в даркнете (скрытой анонимной сети). При этом хакеры утверждают, что действуют исключительно в интересах наживы, и призвали не связывать кибератаку с интересами конкретного правительства.
«Они зашифровали данные, необходимые компании Colonial Pipeline для работы, — рассказал «Голосу Америки» эксперт Центра стратегических и международных исследований (CSIS) Джеймс Льюис (James Lewis). – А затем предложили компании заплатить два миллиона долларов, либо нести убытки в связи с остановкой операций, что, собственно, и произошло. При этом ФБР на каком-то этапе вмешалось в атаку и отключило сети, которыми пользовались хакеры».
Эксперт полагает, что, если компании не удастся восстановить работу к концу недели, им будет проще заплатить хакерам деньги, чем нести убытки.
«DarkSide – известная группировка в преступном мире. Это крупная преступная организация, мафиозная структура, у которой также есть дочерние компании», — рассуждает Льюис.
По словам эксперта, для совершения преступления была использована так называемая программа-вымогатель – вредоносное программное обеспечение, которое блокирует системные и личные файлы пользователей, а затем требует выкуп за разблокировку доступа.
«Это отнюдь не самое изощренное преступление. Ряд компаний, как крупные банки, авиаперевозчики, вкладывают много денег для защиты от подобных схем. В случае с Colonial Pipeline мы доподлинно не знаем, как именно была устроена их защита, но очевидно, этого оказалось недостаточно», — говорит эксперт.
Джеймс Льюис допускает, что сложность шифрования данных в компании, занимающейся транспортировкой топлива, была обусловлена особенностью компьютерных систем.
«В таких компаниях обычно есть две сети: есть деловая сеть, где обмениваются электронными письмами, и тому подобное, а есть операционная сеть управления, где обычно установлены небольшие, маломощные компьютеры с небольшим объемом памяти. И такую сеть сложно изменить, чтобы включить шифрование или аутентификацию, это потребует огромных затрат», — полагает собеседник «Голоса Америки».
По мнению Льюиса, скорость восстановления операций Colonial Pipeline будет зависеть от того, как быстро им удастся «откатить систему назад», восстановив систему из резервной копии. «Те компании, которые отказываются платить вымогателям, в основном, просто восстанавливают свое старое программное обеспечение из резервных копий», — говорит Льюис.
Байден: Кремль несет косвенную ответственность за кибератаку
Минимизацией последствий кибератаки сейчас занимаются целый ряд американских госведомств, включая Белый дом.
Президент США Джо Байден в беседе с журналистами воздержался от прямых обвинений в адрес Кремля, отметив, что на Москве лежит определенная ответственность за то, чтобы разобраться с хакерами.
«Пока нет никаких доказательств, основанных на данных нашей разведки, что Россия к этому причастна, — заявил Байден. — Однако, учитывая свидетельства, что субъекты, использующие программу-вымогателя, находятся в России, правительство в Москве несет некоторую ответственность за то, чтобы разобраться с этим».
По мнению Джеймса Льюиса, можно сделать вывод, что правительство России не руководило кибератакой и не одобряло ее. «Однако власти России терпимо относятся к хакерам. И установленные правила довольно просты: если вы не взламываете российскую сеть, мы вам не будем мешать. Так что для таких групп, как DarkSide, по сути, дан зеленый свет чтобы атаковать весь остальной мир. Говорят, что, прежде чем начать кибератаку, вредоносное программное обеспечение проверяет, используется ли в сети русский язык. И если да, то атака прекращается», — подытоживает Льюис.
Александр Краутер (Alexander Crowther) из Международного университета Флориды обратил внимание, что Кремль печально известен вербовкой киберпреступников.
«Если вы — киберпреступник, пойманный российскими властями, то вам предоставляется выбор: сидеть в тюрьме или проводить кибероперации для правительства России, — говорит Краутер. – А все то время, что вы не работаете на правительство России, вы зарабатываете деньги для себя».
В итоге, даже если хакеры DarkSide действуют без согласования с Кремлем, на Россию все равно падает тень из-за того, власти не препятствуют их работе, говорит Краутер.
…хотя кибербезопасность в Соединенных Штатах сегодня намного лучше, чем пять лет назад, к сожалению, более опытными стали и киберпреступники
По мнению экспертов, инцидент приведет к тому, что компании в области топливной энергетики в США будут больше вкладывать в обеспечение кибербезопасноти.
«Это первая атака на топливную энергетическую компанию на моей памяти, — замечает Краутер. – И хотя кибербезопасность в Соединенных Штатах сегодня намного лучше, чем пять лет назад, к сожалению, более опытными стали и киберпреступники».
Как полагает Джеймс Льюис, администрация Байдена в ближайшее время выступит с рядом мер в области кибербезопасности, в частности, касательно базовых стандартов в области программного обеспечения.
«Это уже не решит проблему Colonial Pipeline, но затруднит подобные взломы в будущем. Также была создана рабочая группа в Минюсте США, где будут заниматься непосредственно программами-вымогатели, — говорит Льюис. — Так что, в ближайшие пару месяцев мы увидим реальный прогресс в решении этой проблемы».
УК РФ Статья 272 — Хакерство
Статья 272. Неправомерный доступ к компьютерной информации1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, —
наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предвари- тельному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, —
наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами —
наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, —
наказываются лишением свободы на срок от трех до семи лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, —
наказывается лишением права занимать определенные должности или заниматься определенной деятельностью На срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, —
наказывается лишением свободы на срок до четырех лет.
100 Хакерские инструменты и ресурсы
Поскольку мы недавно превысили 100 миллионов долларов в баунти, мы хотим продолжить празднование этим списком из 100 инструментов и ресурсов для хакеров! Они варьируются от новичка до эксперта. Большинство из них бесплатны, но некоторые стоят денег. Ознакомьтесь с ними, чтобы добавить в свой собственный набор инструментов для взлома! Мы добавим их в наш GitHub на Hacker101 / _resources /, так что не стесняйтесь добавлять еще больше инструментов и ресурсов!
Burp Suite
1.Burp Suite: типичный инструмент для взлома веб-приложений. Как только вы наберете 500 репутации на HackerOne, вы получите право на бесплатную трехмесячную лицензию Burp Suite Pro! Оцените эти потрясающие плагины Burp:
2. ActiveScan ++: ActiveScan ++ расширяет возможности активного и пассивного сканирования Burp Suite. Разработанный для минимизации сетевых накладных расходов, он определяет поведение приложений, которое может быть интересно опытным тестировщикам.
3. BurpSentinel: BurpSentinel позволяет тестеру на проникновение быстро и легко отправлять множество вредоносных запросов на параметры HTTP-запроса.Более того, он также показывает много информации об ответах HTTP, соответствующих запросам атаки. Легко найти такие низко висящие плоды и скрытые уязвимости, как эта, и это также позволяет тестировщику сосредоточиться на более важных вещах!
4. Autorepeater Burp: автоматическое повторение HTTP-запросов с помощью Burp Suite.
5. Autorize Burp: Autorize — это расширение, предназначенное для помощи тестеру на проникновение в обнаружении уязвимостей авторизации — одной из наиболее трудоемких задач при тестировании на проникновение веб-приложений.
6. Burp Beautifier: BurpBeautifier — это расширение Burpsuite для украшения тела запроса / ответа, поддерживающее форматы JS, JSON, HTML, XML, запись в Jython 2.7.
7. Поток. Это расширение обеспечивает просмотр, похожий на историю прокси, а также возможности фильтра поиска для всех инструментов Burp.
8. Headless Burp: это расширение позволяет запускать инструменты Burp Suite Spider и Scanner в безголовом режиме через командную строку.
9. Logger ++: Logger ++ — это многопоточное расширение для ведения журнала для Burp Suite.Помимо регистрации запросов и ответов от всех инструментов Burp Suite, расширение позволяет определять расширенные фильтры для выделения интересных записей или фильтровать журналы только для тех, которые соответствуют фильтру.
10. Мастер WSDL: это расширение сканирует целевой сервер на наличие файлов WSDL. После выполнения обычного сопоставления содержимого приложения щелкните правой кнопкой мыши соответствующую цель на карте сайта и выберите «Сканировать файлы WSDL» в контекстном меню. Расширение будет искать в уже обнаруженном содержимом URL-адреса с расширением.wsdl и угадать расположение любых дополнительных файлов WSDL на основе известных имен файлов, которые используются. Результаты сканирования отображаются на вкладке вывода расширения в инструменте Burp Extender.
11. JSON_Beautifier: Этот плагин предоставляет вкладку JSON с улучшенным представлением запроса / ответа.
Веб-взлом
12. JSParser: сценарий Python 2.7, использующий Tornado и JSBeautifier для анализа относительных URL-адресов из файлов JavaScript.Это особенно полезно для обнаружения запросов AJAX при исследовании безопасности или поиске ошибок.
13. Knockpy: Knockpy — это инструмент на языке Python, предназначенный для перечисления поддоменов в целевом домене с помощью списка слов. Он предназначен для сканирования передачи зоны DNS и автоматического обхода записи DNS с подстановочными знаками, если она включена. Knockpy теперь поддерживает запросы к поддоменам VirusTotal, вы можете установить API_KEY в файле config.json.
14. Lazys3: Ruby-скрипт для перебора сегментов AWS s3 с использованием различных перестановок.
15. Sublist3r: Sublist3r — это инструмент на языке Python, предназначенный для перечисления поддоменов веб-сайтов с использованием OSINT. Это помогает тестерам на проникновение и охотникам за ошибками собирать и собирать поддомены для домена, на который они нацелены. Sublist3r перечисляет поддомены с помощью многих поисковых систем, таких как Google, Yahoo, Bing, Baidu и Ask. Sublist3r также перечисляет поддомены с помощью Netcraft, Virustotal, ThreatCrowd, DNSdumpster и ReverseDNS.
16. Teh_s3_bucketeers: Teh_s3_bucketeers — это инструмент безопасности для обнаружения корзин S3 на платформе Amazon AWS.
17. Обнаружение виртуального хоста: это базовый HTTP-сканер, который перечисляет виртуальные хосты по заданному IP-адресу. Во время разведки это может помочь расширить цель, обнаружив старый или устаревший код. Он также может выявить скрытые хосты, которые статически отображаются в файле разработчика / etc / hosts.
18. Wpscan: WPScan — это бесплатный (для некоммерческого использования) сканер безопасности WordPress с черным ящиком, написанный для профессионалов в области безопасности и блоггеров, чтобы проверить безопасность своих сайтов.
19.Webscreenshot: простой скрипт для снятия скриншота списка веб-сайтов на основе скрипта PhantomJS для преобразования URL-адреса в изображение.
20. Asnlookup: Инструмент информации ASN отображает информацию о номере автономной системы (ASN) IP-адреса, такую как: владелец IP-адреса, дата регистрации, выдающий регистратор и максимальный диапазон AS с общим количеством IP-адресов.
21. Unfurl: Unfurl — это инструмент, который анализирует большие коллекции URL-адресов и оценивает их энтропии, чтобы отсеивать URL-адреса, которые могут быть уязвимы для атаки.
22. Waybackurls: принимать домены с разделителями строк на stdin, получать известные URL-адреса с Wayback Machine для * .domain и выводить их на stdout.
23. Httprobe: берет список доменов и зонды для работы серверов http и https.
24. Meg: Meg — это инструмент для получения большого количества URL без ущерба для серверов. Его можно использовать для получения множества путей для многих хостов или для получения одного пути для всех хостов перед переходом к следующему пути и повторением.
25.Gau: Getallurls (gau) извлекает известные URL-адреса из Open Threat Exchange AlienVault, Wayback Machine и Common Crawl для любого заданного домена. Вдохновленный поворотами Tomnomnom.
26. Ffuf: быстрый веб-фаззер, написанный на Go.
27. Dirsearch: простой инструмент командной строки, предназначенный для перебора каталогов и файлов на веб-сайтах.
28. OWASP Zed: OWASP Zed Attack Proxy (ZAP) — это инструмент с открытым исходным кодом, который предлагается OWASP (Open Web Application Security Project) для тестирования вашего веб-сайта / веб-приложения на проникновение.Это поможет вам найти уязвимости безопасности в вашем приложении.
29. Subfinder: Subfinder — это инструмент обнаружения субдоменов, который обнаруживает допустимые субдомены для веб-сайтов с помощью пассивных онлайн-источников. Он имеет простую модульную архитектуру и оптимизирован по скорости. Subfinder создан только для одной цели — пассивного перечисления поддоменов, и делает это очень хорошо.
30. EyeWitnees: EyeWitness предназначена для создания снимков экрана веб-сайтов, предоставления некоторой информации заголовка сервера и определения учетных данных по умолчанию.EyeWitness разработан для работы в Kali Linux. Он автоматически определит файл, который вы даете ему с флагом -f, как текстовый файл с URL-адресами в каждой новой строке, вывод nmap xml или вывод nessus xml. Флаг —timeout является необязательным и позволяет указать максимальное время ожидания при попытке визуализации и создания снимка экрана веб-страницы.
31. Nuclei: Nuclei — это быстрый инструмент для настраиваемого целевого сканирования на основе шаблонов, предлагающий широкие возможности расширения и простоту использования.
32.Naabu: Naabu — это инструмент сканирования портов, написанный на Go, который позволяет быстро и надежно перечислять допустимые порты для хостов. Это действительно простой инструмент, который выполняет быстрое сканирование SYN на хосте / списке хостов и перечисляет все порты, которые возвращают ответ.
33. Shuffledns: ShuffleDNS — это оболочка вокруг massdns, написанная на go, которая позволяет вам перечислять допустимые поддомены с помощью активного перебора, а также разрешать поддомены с помощью обработки подстановочных знаков и простой поддержки ввода-вывода.
34.Dnsprobe: DNSProbe — это инструмент, созданный на основе retryabledns, который позволяет выполнять несколько запросов DNS по вашему выбору со списком предоставленных пользователем преобразователей.
35. Chaos: Chaos активно сканирует и поддерживает данные об активах в Интернете. Этот проект призван расширить исследования и проанализировать изменения, связанные с DNS, для лучшего понимания.
36. Subjack: Subjack — это инструмент захвата субдоменов, написанный на Go, предназначенный для одновременного сканирования списка субдоменов и выявления тех, которые могут быть взломаны.Благодаря скорости и эффективности Go этот инструмент действительно выделяется, когда дело доходит до массового тестирования. Всегда дважды проверяйте результаты вручную, чтобы исключить ложные срабатывания.
37. gitGraber: gitGraber — это инструмент, разработанный на Python3 для мониторинга GitHub с целью поиска и нахождения конфиденциальных данных в реальном времени для различных онлайн-сервисов.
38. Shhgit: Shhgit находит секреты и конфиденциальные файлы в коде GitHub и Gists, зафиксированных почти в реальном времени, прослушивая GitHub Events API.
39.Commit-stream: Commit-stream извлекает журналы фиксации из API событий Github, раскрывая сведения об авторе (имя и адрес электронной почты), связанные с репозиториями Github, в режиме реального времени.
40. Masscan: это сканер портов в масштабе Интернета. Он может сканировать весь Интернет менее чем за 6 минут, передавая 10 миллионов пакетов в секунду, и все это с одной машины.
41. Massdns: MassDNS — это простой высокопроизводительный преобразователь заглушек DNS, предназначенный для тех, кто стремится разрешить огромное количество доменных имен порядка миллионов или даже миллиардов.Без специальной настройки MassDNS может разрешать более 350 000 имен в секунду с использованием общедоступных преобразователей.
42. Findomain: Findomain предлагает специальную службу мониторинга, размещенную на Amazon (только локальная версия является бесплатной), которая позволяет вам контролировать целевые домены и отправлять оповещения в веб-перехватчики Discord и Slack или в чаты Telegram при обнаружении новых поддоменов.
43. Amass: Проект OWASP Amass выполняет сетевое картирование поверхностей атаки и обнаружение внешних активов, используя сбор информации из открытых источников и методы активной разведки.
44. Dnsgen: Этот инструмент генерирует комбинацию доменных имен из предоставленных входных данных. Комбинации создаются на основе словаря. Пользовательские слова извлекаются при каждом выполнении.
45. Dngrep: Утилита для быстрого поиска предварительно отсортированных имен DNS. Создан на основе набора данных Rapid7 rdns & fdns.
46. Wfuzz: Wfuzz был создан для облегчения задачи оценки веб-приложений и основан на простой концепции: он заменяет любую ссылку на ключевое слово FUZZ значением заданной полезной нагрузки.
47. Aquatone: Aquatone — это инструмент для визуальной проверки веб-сайтов на большом количестве хостов, который обеспечивает удобный обзор поверхности атаки на основе HTTP.
48. WhatWeb: WhatWeb распознает веб-технологии, включая системы управления контентом (CMS), платформы для ведения блогов, статистические / аналитические пакеты, библиотеки JavaScript, веб-серверы и встроенные устройства. WhatWeb имеет более 1800 плагинов, каждый из которых распознает что-то свое. WhatWeb также определяет номера версий, адреса электронной почты, идентификаторы учетных записей, модули веб-платформы, ошибки SQL и многое другое.
49. Dirb: «DIRB — это сканер веб-контента. Он запускает атаку по словарю на веб-сервер и анализирует ответ.
50. Dnscan: Dnscan — это сканер поддоменов DNS на основе списка слов на языке Python.
51. Sublert: Sublert — это инструмент безопасности и разведки, написанный на Python для использования прозрачности сертификатов с единственной целью мониторинга новых поддоменов, развернутых конкретными организациями, и выданного сертификата TLS / SSL. Предполагается, что инструмент будет запускаться по расписанию в определенное время, в определенные даты или интервалы (в идеале — каждый день).Новые идентифицированные поддомены будут отправлены в рабочую область Slack с уведомлением. Кроме того, инструмент выполняет разрешение DNS для определения рабочих поддоменов.
52. Recon-ng: Recon-ng — это полнофункциональная система разведки, разработанная с целью создания мощной среды для быстрого и тщательного проведения разведки через Интернет с открытым исходным кодом.
53. Jok3r: Jok3r — это платформа, которая помогает тестерам на проникновение с сетевой инфраструктурой и оценками веб-безопасности.Его цель — максимально автоматизировать, чтобы быстро выявлять и эксплуатировать уязвимости «низко висящие плоды» и «быстрый выигрыш» в наиболее распространенных службах TCP / UDP и наиболее распространенных веб-технологиях (серверы, CMS, языки …) .
54. DirBuster: Этот инструмент представляет собой многопоточное Java-приложение, которое используется для выполнения грубой силы над каталогами и именами файлов на веб-серверах и серверах приложений. DirBuster пытается найти скрытые каталоги и страницы в веб-приложении, предоставляя пользователям дополнительный вектор атаки.
55. Altdns: Altdns — это инструмент проверки DNS, который позволяет обнаруживать поддомены, соответствующие шаблонам. Altdns принимает слова, которые могут присутствовать в поддоменах в домене (например, test, dev, staging), а также список известных поддоменов.
56. Recon_profile: Этот инструмент помогает создавать простые псевдонимы для запуска через SSH / терминал.
57. BBHT: Bug Bounty Hunting Tools — это скрипт для установки наиболее популярных инструментов, используемых при поиске уязвимостей для программы bug bounty.
Взлом мобильных устройств
58. MobSF: Mobile Security Framework (MobSF) — это автоматизированное универсальное мобильное приложение (Android / iOS / Windows) для тестирования на проникновение, анализа вредоносных программ и оценки безопасности, способное выполнять статический и динамический анализ.
59. Jadx: Jadx — это декомпилятор Java. Командная строка и инструменты графического интерфейса для создания исходного кода Java из файлов Android Dex и Apk.
60. Dex2Jar: Dex2Jar — это свободно распространяемый инструмент для работы с Android ».dex »и Java«. class »файлы.
61. Radare2: бесплатный набор инструментов для облегчения нескольких низкоуровневых задач, таких как криминалистика, реверс-инжиниринг программного обеспечения, эксплойт, отладка и т. Д. Он состоит из большого количества библиотек (которые расширяются с помощью плагинов) и программ, которые можно автоматизировать практически на любом языке программирования.
62. Genymotion: кроссплатформенный эмулятор Android для разработчиков и QA-инженеров. Разрабатывайте и автоматизируйте тесты, чтобы создавать приложения самого высокого качества.
63. Разъединитель SSL «Универсальный» Фрида: Универсальный разложиватель.
64. Frida: набор инструментов динамического инструментария для разработчиков, реверс-инженеров и исследователей безопасности.
Эксплуатация
65. SQLNinja: Sqlninja — это инструмент, предназначенный для использования уязвимостей SQL Injection в веб-приложении, использующем Microsoft SQL Server в качестве серверной части.
66. XSS Hunter: XSS Hunter позволяет находить все виды уязвимостей межсайтового скриптинга, включая часто упускаемый слепой XSS.Служба работает путем размещения специализированных XSS-зондов, которые при запуске сканируют страницу и отправляют информацию об уязвимой странице в службу XSS Hunter.
67. NoSQLMap: NoSQLMap — это инструмент Python с открытым исходным кодом, предназначенный для аудита, а также автоматизации атак с использованием инъекций и использования слабых мест конфигурации по умолчанию в базах данных NoSQL и веб-приложениях, использующих NoSQL для раскрытия или клонирования данных из базы данных.
68. Ysoserial: инструмент для проверки концепции для создания полезных нагрузок, использующих небезопасную десериализацию Java-объектов.
69. Sqlmap: Sqlmap — это инструмент для тестирования на проникновение с открытым исходным кодом, который автоматизирует процесс обнаружения и использования недостатков SQL-инъекций и захвата серверов баз данных. Он поставляется с мощным механизмом обнаружения, множеством нишевых функций для окончательного тестера на проникновение и широким спектром переключателей, включая снятие отпечатков с базы данных, выборку данных из базы данных, доступ к базовой файловой системе и выполнение команд в операционной системе через выход внеполосные соединения.
70. SSRFTest: инструмент для тестирования SSRF.
71. Retire.JS: Сканирование веб-сайта на наличие уязвимых js-библиотек.
72. Spiderfoot: SpiderFoot — это инструмент автоматизации с открытым исходным кодом (OSINT). Он интегрируется практически со всеми доступными источниками данных и автоматизирует сбор OSINT, чтобы вы могли сосредоточиться на анализе данных.
Сканеры / рамки
73. OpenVAS: OpenVAS — это полнофункциональный сканер уязвимостей. Его возможности включают в себя тестирование без аутентификации, тестирование с аутентификацией, различные высокоуровневые и низкоуровневые интернет-и промышленные протоколы, настройку производительности для крупномасштабного сканирования и мощный внутренний язык программирования для реализации любого типа теста на уязвимость.
74. Nikto: Nikto — это сканер веб-серверов с открытым исходным кодом (GPL), который выполняет комплексные тесты на веб-серверах для нескольких элементов, включая более 6700 потенциально опасных файлов / программ, проверяет устаревшие версии более 1250 серверов и проблемы, связанные с конкретной версией, на более 270 серверов.
75. Wapiti: Wapiti позволяет проверять безопасность ваших веб-сайтов или веб-приложений. Он выполняет сканирование «черного ящика» (не изучает исходный код) веб-приложения, просматривая веб-страницы развернутого веб-приложения, ища сценарии и формы, в которые он может вводить данные.
76. Metasploit: Metasploit — это платформа для тестирования на проникновение с открытым исходным кодом.
77. Maltego: Maltego — это инструмент с открытым исходным кодом (OSINT) и графического анализа ссылок для сбора и передачи информации для выполнения исследовательских задач.
78. Canvas: CANVAS предлагает сотни эксплойтов, автоматизированную систему эксплойтов и всеобъемлющую, надежную среду разработки эксплойтов для тестеров на проникновение и специалистов по безопасности во всем мире.
79.Sn1per: Sn1per Community Edition — это автоматический сканер, который можно использовать во время теста на проникновение для подсчета и сканирования уязвимостей. Sn1per Professional — это надстройка Xero Security для создания отчетов премиум-класса для профессиональных тестировщиков на проникновение, исследователей Bug Bounty и групп корпоративной безопасности для управления большими средами и областями тестирования на проникновение.
80. Lazyrecon: LazyRecon — это сценарий, написанный на Bash, предназначенный для автоматизации утомительных задач разведки и сбора информации. Информация организована в виде отчета в формате html в конце, который помогает вам определить следующие шаги.
81. Osmedeus: Osmedeus позволяет автоматически запускать набор потрясающих инструментов для разведки и сканирования уязвимостей против цели.
82. Reconness: ReconNess помогает вам запускать и держать все ваши #recon в одном месте, позволяя вам сосредоточиться только на потенциально уязвимых целях, не отвлекаясь и не требуя большого навыка bash или навыков программирования в целом.
83. IronWASP: IronWASP (платформа тестирования расширенной безопасности веб-приложений Iron) — это инструмент с открытым исходным кодом, используемый для тестирования уязвимостей веб-приложений.Он разработан таким образом, что пользователи, обладающие необходимыми знаниями, могут создавать свои собственные сканеры, используя его в качестве основы. IronWASP построен с использованием Python и Ruby, и пользователи, знакомые с ними, смогут в полной мере использовать платформу. Однако IronWASP предоставляет множество простых для понимания функций.
84. Nmap: Nmap («Network Mapper») — это бесплатная утилита с открытым исходным кодом (лицензия) для обнаружения сети и аудита безопасности.
Наборы данных / Freemium-сервисы
85.Shodan: Shodan предоставляет общедоступный API, который позволяет другим инструментам получать доступ ко всем данным Shodan. Доступны интеграции для Nmap, Metasploit, Maltego, FOCA, Chrome, Firefox и многих других.
86. Censys: Censys сканирует большинство портов и хранит самую большую базу данных сертификатов в мире и предоставляет самую последнюю и полную информацию о ваших известных и неизвестных активах.
87. Rapid7 Forward DNS (FDNS): Этот набор данных содержит ответы на DNS-запросы для всех прямых DNS-имен, известных Rapid7’s Project Sonar.
88. C99.nl: C99.nl — это сканер, который сканирует весь домен, чтобы найти как можно больше поддоменов.
89. Seclists: SecLists — помощник тестировщика безопасности. Это набор из нескольких типов списков, используемых во время оценки безопасности, собранных в одном месте. Типы списков включают имена пользователей, пароли, URL-адреса, шаблоны конфиденциальных данных, нечеткие полезные данные, веб-оболочки и многое другое. Цель состоит в том, чтобы дать возможность тестировщику безопасности перенести этот репозиторий в новый тестовый ящик и получить доступ ко всем типам списков, которые могут потребоваться.
90. Payloads All The Things: список полезных данных и обходов для безопасности веб-приложений. Не стесняйтесь улучшать свои полезные нагрузки и методы.
Разные хакерские инструменты
91. Ettercap: Ettercap — это комплексный пакет, который включает сниффинг живых подключений, фильтрацию контента и поддержку активного и пассивного анализа многих протоколов, включая множество функций для анализа сети и хоста.
92. Преобразования. Преобразования упрощают обнаружение распространенных неясностей в данных, которые могут выявить уязвимости системы безопасности или дать представление об обходе средств защиты.
93. John the Ripper: John the Ripper — бесплатное программное обеспечение с открытым исходным кодом, распространяемое в основном в виде исходного кода.
94. Wireshark: Wireshark® — это анализатор сетевых протоколов, который позволяет захватывать и в интерактивном режиме просматривать трафик, проходящий в компьютерной сети.
95. Foxyproxy: FoxyProxy — это усовершенствованный инструмент управления прокси, который полностью заменяет ограниченные возможности проксирования в Firefox. Для более простого инструмента и менее сложных параметров конфигурации используйте FoxyProxy Basic.
96. Wappalyzer: Wappalyzer — это расширение для браузера, которое раскрывает технологии, используемые на веб-сайтах. Он обнаруживает системы управления контентом, платформы электронной коммерции, веб-серверы, фреймворки JavaScript, инструменты аналитики и многое другое.
97. Buildwith: BuiltWith — цель помочь разработчикам, исследователям и дизайнерам узнать, какие технологии используются на веб-страницах, что может помочь им решить, какие технологии реализовать.
98. Altair: Altair GraphQL Client помогает вам отлаживать запросы и реализации GraphQL — заботясь о самой сложной части, чтобы вы могли сосредоточиться на реальном выполнении задач.
99. THC Hydra: Этот инструмент представляет собой проверочный код, разработанный для того, чтобы дать исследователям и консультантам по безопасности возможность показать, насколько легко было бы получить несанкционированный доступ с удаленного компьютера к системе.
100. Swiftness X: Инструмент для создания заметок для BB и пентестинга.
Хакерские банды не демонстрируют признаков замедления темпов роста после трубопроводной атаки
Многие из крупнейших в мире банд киберпреступников все еще активно взламывают и вымогают деньги у жертв, несмотря на международное внимание после того, как один из их коллег взломал U.С. Топливный трубопровод.
Связанная с Россией хакерская банда DarkSide исчезла на прошлой неделе после взлома Colonial Pipeline, который обеспечивает топливом большую часть Восточного побережья США. Это побудило компанию прекратить производство на пять дней, что привело к нехватке газа в США и осуждению со стороны президента Джо Байдена. Напуганный, казалось бы, DarkSide, собравший у компании выкуп около 5 миллионов долларов, заявил, что на своем основном веб-сайте он «аполитичен», но вскоре был удален.
Но DarkSide — лишь один из участников процветающей сцены киберпреступников. Более печально известные банды все еще активны после колониальной атаки, согласно свидетельствам их подвигов, которые многие такие группы публикуют в блогах, которые они ведут в темной сети.
Группы продолжают публиковать информацию от взломанных ими жертв и активно вымогают деньги у американских организаций. Как и DarkSide, такие банды зарабатывают деньги, заражая организации программами-вымогателями, то есть взламывают их для шифрования и кражи файлов.Они требуют денег, чтобы их файлы можно было использовать, угрожая опубликовать частные файлы, если им не заплатят вовремя.
Эффективная атака программы-вымогателя может принести хакерам миллионы долларов. Хотя некоторые банды, такие как DarkSide, кодируют свои хакерские программы, чтобы не атаковать российских жертв, многие группы программ-вымогателей не испытывают сомнений по поводу того, кого они атакуют, если они потенциально могут получить прибыль.
Банда, имеющая опыт взлома больниц во время пандемии коронавируса, в последние месяцы опустошила больницу, обслуживающую нацию навахо, и опубликовала конфиденциальные файлы пациентов из других США.S. больницы, которые не платят вовремя. На прошлой неделе он также взломал национальную систему здравоохранения Ирландии, Управление здравоохранения, или HSE, — подтвердил пресс-секретарь текстовым сообщением. Почтовый сервер сервиса по-прежнему отключен из-за атаки.
Атака, о которой HSE объявила в пятницу, привела к отмене нескольких приемов в шести ирландских больницах. Министр государственных закупок и электронного правительства Ирландии Оссиан Смит заявил, что это «возможно, самая значительная киберпреступная атака на ирландское государство».»
Банда активно занималась попытками вымогательства на своем веб-сайте. С 13 мая она публиковала файлы из округа Би, штат Техас, производителя сельскохозяйственного оборудования в штате Юта, австралийской сети мясных лавок и индийской компании по производству туристических технологий, и все это в качестве наказания за не платит.
Еще одна плодовитая группа в последнее время известна взломом тайваньской компании, производящей компьютеры Apple, и утечкой ранее закрытых спецификаций. С субботы она опубликовала доказательства по крайней мере четырех новых жертв в своем блоге в даркнете: Калифорния производитель датчиков, техасская компания по строительству домов, юридическая фирма из Флориды и международная консалтинговая компания по обслуживанию клиентов.
Третья банда на прошлой неделе опубликовала огромное количество документов, украденных из столичного департамента полиции Вашингтона, округ Колумбия, после того, как полиция, как сообщается, предложила всего 100000 долларов, чтобы сохранить их конфиденциальность. В пятницу произошла утечка файлов еще двух жертв: производителя светодиодных ламп из Нью-Джерси и американского подразделения швейцарской компании по автоматизации.
Веб-сайты двух более мелких банд вымогателей прекратили работу в минувшие выходные, что вызвало некоторые предположения о том, что исчезновение DarkSide положило начало серьезным последствиям для киберпреступников.
Но реальность, вероятно, более мягкая, сказал Аллан Лиска, аналитик по программам-вымогателям из фирмы Recorded Future, занимающейся кибербезопасностью.
«Наиболее вероятным сценарием является то, что DarkSide по праву опасалась, что привлекла слишком много внимания, поэтому они решили закрыть операции и опустошить свои счета», — сказала Лиска. Остальные группы «были игроками второго эшелона — их не пропустят».
Кевин Коллиер — репортер, освещающий политику в области кибербезопасности, конфиденциальности и технологий для NBC News.
Попробуйте этот странный трюк, который ненавидят русские хакеры — Krebs on Security
В ходе обсуждения атак программ-вымогателей Twitter на прошлой неделе KrebsOnSecurity отметил, что практически все штаммы программ-вымогателей имеют встроенную отказоустойчивую систему, предназначенную для защиты обратной стороны поставщиков вредоносных программ: они просто не будут установлены на компьютере Microsoft Windows , который уже установлен один из многих типов виртуальных клавиатур — например, русская или украинская. У стольких читателей были вопросы в ответ на твит, что я подумал, что стоит написать в блоге об этом странном трюке с киберзащитой.
Содружество Независимых Государств (СНГ) более или менее соответствует списку исключений для огромного количества вредоносных программ, поступающих из Восточной Европы.
В Твиттере возникла дискуссия об атаке программ-вымогателей на Colonial Pipeline, которая в начале этого месяца перекрыла 5 500 миль топливопровода почти на неделю, что привело к перебоям в поставках на АЗС по всей стране и росту цен. ФБР заявило, что атака была произведена DarkSide , новым программным обеспечением-вымогателем как услугой, в котором говорится, что оно нацелено только на крупные корпорации.
DarkSide и другие русскоязычные партнерские программы для зарабатывания денег уже давно запрещают своим преступным сообщникам устанавливать вредоносное ПО на компьютеры во многих странах Восточной Европы, включая Украину и Россию. Этот запрет восходит к самым ранним дням организованной киберпреступности и призван свести к минимуму контроль и вмешательство со стороны местных властей.
В России, например, власти, как правило, не инициируют расследование киберпреступлений в отношении одного из них, если только компания или физическое лицо в пределах страны не подает официальную жалобу в качестве жертвы.Обеспечение того, чтобы никакие филиалы не могли производить жертв в своих странах, — это самый простой способ для этих преступников остаться вне поля зрения национальных правоохранительных органов.
Возможно, почувствовав жар от упоминания в Указе президента Байдена о кибербезопасности на прошлой неделе, группа DarkSide стремилась дистанцироваться от своей атаки на Colonial Pipeline. В сообщении, опубликованном в своем блоге, посвященном позору жертв, DarkSide попытался сказать, что он «аполитичен» и что он не желает участвовать в геополитике.
«Наша цель — зарабатывать деньги, а не создавать проблемы для общества», — написали на прошлой неделе преступники DarkSide. «С сегодняшнего дня мы вводим модерацию и проверяем каждую компанию, которую наши партнеры хотят зашифровать, чтобы избежать социальных последствий в будущем».
Но вот в чем дело: Банды цифровых вымогателей, такие как DarkSide, очень стараются сделать все свои платформы геополитическими, потому что их вредоносное ПО спроектировано для работы только в определенных частях мира.
DarkSide, как и многие другие вредоносные программы, имеет жестко запрограммированный список стран, которые нельзя устанавливать, которые являются основными членами Содружества Независимых Государств (СНГ) — бывших советских сателлитов, которые в основном имеют благоприятные отношения с Кремлем .Полный список исключений в DarkSide (опубликован Cybereason ) ниже:
Изображение: Cybereason.
Проще говоря, бесчисленные штаммы вредоносных программ будут проверять наличие одного из этих языков в системе, и, если они будут обнаружены, вредоносное ПО выйдет и не установится.
[Примечание. Многие эксперты по безопасности указывали на связи между группами вымогателей DarkSide и REvil (также известными как «Sodinokibi»). REvil ранее назывался GandCrab, и одна из многих общих черт GandCrab и REvil заключалась в том, что обе программы запрещали филиалам заражать жертв в Сирии.Как видно из диаграммы выше, Сирия также не заражена программой-вымогателем DarkSide. И сама DarkSide доказала свою связь с REvil на прошлой неделе, объявив о закрытии магазина после того, как были конфискованы его серверы и средства в биткойнах.]
CAVEAT EMPTOR
Будет ли установка одного из этих языков обезопасить ваш компьютер с Windows от всех вредоносных программ? Точно нет. Существует множество вредоносных программ, которым все равно, в какой точке мира вы находитесь. И ничто не заменит принятия позы глубокоэшелонированной защиты и избегания рискованного поведения в сети.
Но есть ли на самом деле обратная сторона этого простого, бесплатного профилактического подхода? Ничего подобного, кроме, пожалуй, слабого чувства капитуляции. Худшее, что может случиться, это то, что вы случайно переключите языковые настройки, и все ваши пункты меню будут на русском.
Если это произойдет (а в первый раз это может вызвать неприятные ощущения), одновременно нажмите клавишу Windows и пробел; если у вас установлено более одного языка, вы увидите возможность быстро переключаться с одного языка на другой.Маленькая коробка, которая появляется при нажатии на комбинацию клавиш, выглядит так:
Киберпреступники, как известно, быстро реагируют на средства защиты, которые снижают их прибыльность, так почему бы плохим парням просто не изменить ситуацию и не начать игнорировать проверку языка? Что ж, они, безусловно, могут и, возможно, даже будут это делать (последняя версия DarkSide, проанализированная Mandiant, не выполняла проверку языка системы , а не ).
Но это увеличивает риск для их личной безопасности и состояния на некоторую нетривиальную сумму, говорит Эллисон Никсон , главный исследователь нью-йоркской фирмы по кибер-расследованиям Unit221B.
Никсон сказал, что из-за уникальной правовой культуры России хакеры-преступники в этой стране используют эти проверки, чтобы гарантировать, что они атакуют только жертв за пределами страны.
«Это сделано для их правовой защиты», — сказал Никсон. «Установка кириллической клавиатуры или изменение определенной записи в реестре на« RU »и т. Д. Может быть достаточно, чтобы убедить вредоносное ПО в том, что вы русский и не входите в систему. Технически это можно использовать в качестве «вакцины» против российского вредоносного ПО ».
Никсон сказал, что если достаточное количество людей будет делать это в больших количествах, это может в краткосрочной перспективе защитить некоторых людей, но, что более важно, в долгосрочной перспективе, это заставит российских хакеров сделать выбор: рисковать потерять юридическую защиту или рисковать потерять доход.
«По сути, российские хакеры столкнутся с той же проблемой, с которой должны столкнуться защитники на Западе — с тем фактом, что очень трудно отличить отечественную машину от чужой, маскирующейся под отечественную», — сказала она.
KrebsOnSecurity спросил коллегу Никсона из Unit221B — основателя Ланса Джеймса — что он думает об эффективности другого подхода к борьбе с вредоносными программами, предложенного последователями Twitter, которые участвовали в обсуждении на прошлой неделе: добавление записей в реестр Windows, которые указывают, что система работает как виртуальная машина (ВМ).Чтобы помешать анализу, проводимому антивирусными и охранными фирмами, некоторые авторы вредоносных программ традиционно настраивали свое вредоносное ПО так, чтобы оно прекращало установку, если оно обнаруживает, что оно работает в виртуальной среде.
Но Джеймс сказал, что этот запрет уже не так распространен, особенно с учетом того, что многие организации перешли на виртуальные среды для повседневного использования.
«Виртуальная машина не останавливает вредоносное ПО, как раньше», — сказал Джеймс. «Фактически, многие программы-вымогатели, которые мы наблюдаем сейчас, работают на виртуальных машинах.”
Но Джеймс говорит, что ему настолько нравится идея добавления языка из списка стран СНГ, что он создал свой собственный интерактивный двухстрочный пакетный скрипт Windows, который добавляет ссылку на русский язык в определенные разделы реестра Windows, которые проверяются вредоносными программами. Скрипт позволяет компьютеру с Windows выглядеть так, как будто на нем установлена русская клавиатура, без фактического скачивания дополнительных библиотек скриптов из Microsoft.
Чтобы установить другой язык клавиатуры на компьютер с Windows 10 по старинке, нажмите одновременно клавиши Windows и X, затем выберите «Настройки», а затем «Время и язык».Выберите «Язык», а затем прокрутите вниз, и вы должны увидеть вариант установки другого набора символов. Выберите один, и язык будет установлен при следующей перезагрузке. Опять же, если по какой-то причине вам нужно переключаться между языками, Windows + пробел — ваш друг.
хакеров Colonial Pipeline Darkside получили 90 миллионов долларов в биткойнах: Report
На этой фотографии изображен логотип биткойна на смартфоне Android с хакером на заднем плане.
Мигель Кандела | SOPA Images | LightRocket через Getty Images
ЛОНДОН. Согласно новому исследованию, DarkSide, хакерская группа, стоявшая за недавней атакой программы-вымогателя Colonial Pipeline, получила в общей сложности 90 миллионов долларов в виде выкупа в биткойнах перед закрытием на прошлой неделе.
Colonial Pipeline в начале этого месяца подверглась разрушительной кибератаке, в результате которой компания была вынуждена закрыть около 5 500 миль трубопровода в Соединенных Штатах, что привело к повреждению систем доставки газа в юго-восточных штатах.ФБР обвинило в атаке DarkSide, киберпреступную банду, предположительно базирующуюся в Восточной Европе, а Colonial, как сообщается, выплатила группе выкуп в размере 5 миллионов долларов.
DarkSide использует бизнес-модель, известную как «программа-вымогатель как услуга», что означает, что хакеры разрабатывают и продают инструменты вымогателей и продают их другим преступникам, которые затем проводят атаки. Программы-вымогатели — это тип вредоносного программного обеспечения, предназначенного для блокировки доступа к компьютерной системе. Хакеры требуют выкуп — обычно в криптовалюте — в обмен на восстановление доступа.
В пятницу лондонская аналитическая компания Elliptic заявила, что идентифицировала биткойн-кошелек, используемый DarkSide для сбора выкупа от своих жертв. В тот же день исследователи безопасности Intel 471 заявили, что DarkSide закрылась после потери доступа к своим серверам и опустошения кошельков с криптовалютой. Согласно записке, полученной Intel 471.
DarkSide также обвинил «давление со стороны США» .По данным Elliptic, средний платеж от организаций, вероятно, составил 1,9 миллиона долларов.
«Насколько нам известно, этот анализ включает все платежи, произведенные DarkSide, однако дальнейшие транзакции еще могут быть обнаружены, и цифры здесь следует рассматривать как нижнюю границу», — сказал соучредитель и главный научный сотрудник Tom Robinson Elliptic.
Elliptic сообщил, что биткойн-кошелек DarkSide содержал цифровую валюту на сумму 5,3 миллиона долларов до того, как его средства были исчерпаны на прошлой неделе. Было предположение, что этот биткойн был конфискован США.Правительство С.
По данным Elliptic, из общей суммы в 90 миллионов долларов 15,5 миллиона пошли разработчику DarkSide, а 74,7 миллиона долларов — его аффилированным лицам. По словам Эллиптика, большая часть средств отправляется на криптовалютные биржи, где их можно конвертировать в бумажные деньги.
Биткойн получил репутацию использования в преступной деятельности, потому что людям, совершающим операции с криптовалютой, не нужно раскрывать свою личность. Однако цифровая бухгалтерская книга, лежащая в основе биткойнов, является общедоступной, что означает, что исследователи могут отслеживать, куда отправляются средства.
Взлом Colonial Pipeline был одной из череды атак программ-вымогателей, получивших заголовки на прошлой неделе. Подразделение японского конгломерата Toshiba заявило, что его европейское подразделение было взломано, обвиняя в атаке DarkSide, в то время как служба здравоохранения Ирландии также пострадала от атаки вымогателя. В среду президент Джо Байден подписал указ, направленный на усиление защиты США от кибербезопасности.
Отслеживание выкупа за биткойн у хакеров DarkSide
Фирма Crystal Blockchain, занимающаяся расследованием блокчейнов, заявила, что обнаружила биткойн-адрес, который хакеры DarkSide использовали для сбора выкупа с Colonial Pipeline, и поделилась им с CoinDesk.
В отличие от традиционных финансов, в публичных блокчейнах каждая транзакция оставляет след. Это обеспечивает редкую видимость движения денег в мире киберпреступников.
На прошлой неделе Colonial Pipeline приостановила работу на шесть дней, что привело к кризису нехватки газа на юго-востоке США после того, как хакеры, предположительно базирующиеся в России, нанесли ей кибератаку, зашифровав данные компании. 8 мая Colonial Pipeline согласилась выплатить злоумышленникам 75 BTC (или около 5 миллионов долларов) и вскоре смогла возобновить работу.
Аналитическая компания блокчейн Elliptic заявила в своем блоге на прошлой неделе, что она определила адреса кошельков DarkSide, но не раскрыла сами адреса. Согласно Crystal Blockchain, дочерней компании Bitfury, поставщика безопасности и инфраструктуры для блокчейна Биткойн, адрес, по которому был получен выкуп, — bc1q7eqww9dmm9p48hx5yz5gcvmncu65w43wfytpsf.
Соединяя точки
Было несколько фактов, свидетельствующих о том, что этот адрес использовался для сбора выкупа, сказал CoinDesk Кирилло Чихрадзе, директор по продукту Crystal Blockchain.«Мы обнаружили транзакции в блокчейне, зная день транзакции и отправленную сумму», — сказал Чихрадзе. «Мы проанализировали каждый потенциальный кластер (адресов) и обнаружили в одном из них дополнительные доказательства: транзакцию на 4,4 миллиона долларов или 78 BTC, отправленную Brenntag, химической дистрибьюторской компанией.
Бреннтаг, еще одна жертва DarkSide, 11 мая заплатила выкуп, сообщает Bleeping Computer. Elliptic также упомянул эту транзакцию в качестве дополнительного доказательства, указывающего на адреса биткойнов, связанных с хакерами.Еще одно свидетельство, указанное как Elliptic, так и Crystal: кластер адресов, связанных с хакерами, отправил свою последнюю транзакцию в прошлый четверг — день, когда DarkSide, как сообщается, захватил свои серверы неуказанными властями.
Биткойн-кошельки состоят из кластеров адресов, ключи которых управляются специальным программным обеспечением. Фирмы, занимающиеся аналитикой блокчейнов, объединяют отдельные адреса в блокчейне в кластеры и связывают их с определенными объектами, используя определенные практические правила.Самый важный из них — это кластеризация входов транзакций, которые расходуются вместе.
Согласно данным аналитического инструмента цепочки блоков Crystal, кластер DarkSide включал 30 адресов, которые вместе получили 321,5 BTC с момента первой транзакции 4 марта. Все эти средства в конечном итоге покинули кластер, а наибольшая сумма была отправлена на криптовалютную биржу Binance. (более 53,3 BTC или 16% от всех средств).
Going dark
Вторым по величине получателем средств является торговая площадка Hydra darknet, на которую поступило более 14 средств.6 BTC с кошельков DarkSide, или 4,5% его средств. По данным Chainalysis, Hydra — крупнейший в мире рынок нелегальных наркотиков, работающий в основном в России и Восточной Европе. На веб-сайте также представлены другие незаконные товары, включая поддельные документы, удостоверяющие личность, поддельные банкноты, а также наличные деньги в обмен на биткойны.
Другими получателями средств DarkSide являются малоизвестные биржи Ren, Zillion Bits, а также централизованная биржа Poloniex в США и Garantex в Эстонии.Меньшие суммы также были отправлены на другие известные крупные биржи и одноранговые криптографические площадки, включая Coinbase, Huobi, OKEx, Paxful и LocalBitcoins.
Относительно небольшая сумма, менее половины BTC, оказалась в кошельке Wasabi, ориентированном на конфиденциальность.
Последняя транзакция, отправленная кластером, произошла 13 мая, когда 107 BTC были отправлены на единственный неизвестный адрес, который был активен только один день и получил три входящих транзакции. 107 BTC на сумму более 4 долларов.5 миллионов по цене понедельника остаются на этом адресе. Неясно, кто контролирует адрес.
#RSAC: Брюс Шнайер предупреждает о грядущих хакерах ИИ
Искусственный интеллект, обычно называемый ИИ, представляет как риск, так и пользу для безопасности общества, по словам Брюса Шнайера, технолога безопасности, исследователя и преподавателя в Гарвардская школа Кеннеди.
Шнайер сделал свои замечания о рисках ИИ во второй половине дня на конференции RSA 2021 17 мая.Взлом по Шнайеру не является злом по определению; скорее, речь идет о подрыве системы или набора правил таким образом, который непредвиден или нежелателен разработчиками системы.
«Все системы правил можно взломать», — сказал Шнайер. «Даже хорошо продуманные наборы правил будут неполными или непоследовательными, у вас будут неясности и вещи, о которых не думали дизайнеры, и пока есть люди, которые хотят ниспровергнуть цели в системе, есть будут хаки.«
Взлом ИИ и проблема объяснимости
Шнайер выделил ключевую проблему, связанную со взломом, которая осуществляется с помощью некоторой формы ИИ: ее может быть трудно обнаружить. Даже если взлом будет обнаружен, будет сложно понять, что именно произошло.
Так называемая проблема объяснимости была решена в популярном культовом классическом научно-фантастическом романе Автостопом по Галактике . Шнайер рассказал, что в этом романе раса сверхразумных существ вселенского измерения строит самый мощный компьютер во вселенной, называемый Глубокой мыслью, чтобы ответить на главный вопрос о жизни, вселенной и всем остальном.Ответ был 42.
«Deep Thought не смог объяснить свой ответ или даже в чем был вопрос, и это проблема объяснимости», — сказал Шнайер. «Современные ИИ — это, по сути, черные ящики: данные идут один в один конец, а ответ — в другой».
Шнайер отметил, что исследователи работают над объяснимым ИИ, но он не ожидает, что он принесет какие-либо краткосрочные результаты по нескольким причинам. По его мнению, объяснения того, как работает ИИ, на самом деле являются когнитивным сокращением, используемым людьми, подходящим для того, как люди принимают решения.
«Принуждение ИИ давать объяснения, понятные человеку, является дополнительным ограничением и может повлиять на качество его решений», — сказал он. «Безусловно, в ближайшем будущем ИИ станет более непрозрачным, менее объяснимым.
AI Хакеры на горизонте
В настоящее время Шнайер не видит массового применения ИИ для злонамеренных хакерских действий со стороны злоумышленников, хотя это возможное будущее, к которому организациям следует начать готовиться.
«Хотя мир, наполненный хакерами ИИ, все еще остается научной фантастикой, это не глупая научная фантастика», — сказал Шнайер.
На сегодняшний день Шнайер заметил, что злонамеренный взлом был исключительно человеческой деятельностью, поскольку поиск новых взломов требует опыта, творчества, времени и удачи. Он предупредил, что когда системы искусственного интеллекта смогут проводить злонамеренные хакерские действия, они будут работать с такой скоростью и масштабом, которых никогда не сможет достичь человек.
«По мере того, как системы ИИ становятся более способными, общество будет уступать им все более и более важные решения, а это означает, что взлом этих систем станет более разрушительным», — сказал он.«Эти взломы будут совершены сильными мира сего против нас».
Защита от ИИ-хакеров
Хотя первая часть выступления Шнайера была мрачной и отрезвляющей проповедью о рисках взлома ИИ, есть и потенциальные преимущества для кибербезопасности.
«Когда ИИ сможет обнаруживать новые программные уязвимости в компьютерном коде, это станет невероятным благом для хакеров во всем мире», — сказал Шнайер. «Но та же самая технология будет полезна и для защиты.«
Потенциальный будущий инструмент искусственного интеллекта может быть развернут поставщиком программного обеспечения для поиска уязвимостей программного обеспечения в его собственном коде и автоматического исправления. «Это потенциальное будущее, которое может устранить уязвимости программного обеспечения, какими мы их знаем сегодня», — оптимистично заявил Шнайер.
«Хотя легко позволить технологиям вести нас в будущее, нам будет намного лучше, если мы как общество решим, какую роль должны играть технологии в нашем будущем», — заключил Шнайер. «Это то, что нам нужно выяснить сейчас, прежде чем эти ИИ выйдут в сеть и начнут взламывать наш мир.«
Предполагалось, чтоблокчейнов нельзя будет взломать. Теперь их взламывают.
До недавнего времени блокчейны считались «невзламываемой» технологией, обеспечивающей и обеспечивающей безопасность криптовалют, но теперь это уже не так.
Хакеры с 2017 года получили криптовалюту на сумму почти 2 миллиарда долларов, атакуя уникальные уязвимости блокчейнов, сообщает MIT Technology Review . Другими словами, забудьте то, что вы слышали от ускорителей биткойнов — тот факт, что информация или валюта находится в цепочке блоков, не обязательно означает, что они более безопасны, чем любые другие формы хранения.
В ходе одной недавней атаки хакеру удалось получить контроль над сетью Ethereum Classic и переписать историю транзакций. В результате злоумышленник смог «дважды потратить» криптовалюту, получив около 1,1 миллиона долларов.
Фактически, те качества, которые делают технологию блокчейн такой безопасной, могут также быть источником нескольких уникальных уязвимостей — суровое напоминание о том, что, несмотря на ажиотаж, криптовалюты не могут полностью обойти уязвимости любых других банковских систем.
До инцидента с Ethereum Classic хакеры в основном нацеливались на биржи, места, где люди торгуют и хранят криптовалюты.
Получив большую часть вычислительной мощности цифровой валюты, хакер смог обмануть других пользователей, отправив им платежи, а затем переписав существующую бухгалтерскую книгу блокчейна, чтобы замести следы, как объясняет MIT Tech . Этот новый реестр затем существует как авторитетный, схема, известная как «атака 51%».
Хотя это чрезвычайно дорогое удовольствие, когда дело доходит до популярных криптовалют, более мелкие валюты обходятся дешевле. И в ближайшем будущем нам следует ожидать гораздо больше атак — 51 процент.
Большинство взломов криптовалюты по-прежнему являются фишинговыми и вредоносными атаками, которые используют доверчивых целей, заставляя их передать свои учетные данные.
Также известно, что хакеры крадут ключи от кошельков с криптовалютой, места, где чей-то баланс хранится в цепочке блоков.
Фишинг, вредоносное ПО и кража ключей нацелены на биржи, а не на сам блокчейн, как в случае 51% атак.
В ответ на эту гнусную деятельность появляется все больше и больше стартапов, которые заявляют, что могут сделать блокчейны более безопасными и защищенными от взлома.