Главная » 2009 » Июль » 11 » Сводка новостей о безопасности и небезопасности в сети
Сводка новостей о безопасности и небезопасности в сети
14:28
Обнаружено 88000 краденых паролей к FTP-серверам
Эксперты
из компании Prevx обнаружили троян, с помощью которого злоумышленники
смогли похитить более 88 000 паролей и имен пользователей, используемых
для получения доступа к корпоративным ftp-серверам.
Анализируя
образец вредоносного кода, эксперты установили, что троян обменивается
данными со сторонним веб-сервером. Проследовав по найденному следу,
специалисты обнаружили в кэше сервера список похищенных реквизитов,
хранимых в открытом незашифрованном виде. Исследователи утверждают, что
жертвами хакеров оказались такие крупные организации, как Symantec,
McAfee, Amazon, Cisco и Bank of America.
Обнаруженный троян
представляет собой модификацию известного приложения ZBot, которое
некоторое время назад распространялось по электронной почте под видом
критически важного обновления для почтового клиента Microsoft Outlook.
Проникая на скомпрометированный компьютер, троянское приложение
собирает всю информацию об устанавливаемых FTP-соединениях, которую
сможет обнаружить.
Эксперты Prevx уже связались с большинством
пострадавших организаций и передали собранную информацию специалистам
US CERT, в чьи обязанности входит оперативное реагирование на подобные
инциденты. Также пользователи могут самостоятельно проверить, не
оказались ли принадлежащие им реквизиты доступа в упомянутом списке.
Украинские хакеры украли из американского банка 415 тысяч $
Украинские
хакеры украли 415 тысяч долларов из казны в округе Буллит, штат
Кентукки, США. Участникам «операции» помогали 25 соучастников из США.
Прокурор
округа Буллит Уолт Шолар рассказал, что проблемы начались 22 июня,
когда кто-то начал совершать незаконный перевод денег на сумму 10 тысяч
долларов с платежных ведомостей округа на счета как минимум 25 человек
по всему округу Буллит. Один и тот же человек получал деньги по
несколько раз.
Однако, лишь 29 июня Банк Буллита понял, что
что-то не так. По словам Шолара, банк сразу же начал требовать от
банков, которые получали трансферы, возвращения средств.
В
ходе расследования выяснилось, что преступники использовали для своей
аферы троянскую программу Zeu/Zbot. Этот троян имел два обновления: 1.
Украденные данные отсылались сразу хакерам. 2. Троян создавал прямую
связь между хакерами и инфицированной системой. Это давало возможность
мошенникам заходить в банковский счет жертвы, используя ее же
интернет-коннект.
В целом, многие банки, которые перечисляют
деньги он-лайн, проверяют, контактирует ли клиент с ними из того места,
где проживает и с того компьютера, с которого он обычно обращается.
Таким образов, подсоединившись к ПК или интернет-коннекта жертвы аферы,
мошенники избегали каких-либо подозрений со стороны банка.
Новый троян использует честные клики пользователей
Исследователи
из SecureWorks обнаружили троянскую Windows-программу, довольно
необычным способом помогающую своим владельцам "зарабатывать" на
рекламных кликах. В отличие от традиционных кликботов, вредонос
FFSearcher не генерирует фальшивых нажатий на рекламу, а использует
настоящие клики пользователей.
Таким образом, его создателям не страшны
традиционные методы борьбы с накруткой рекламных кликов. Ключевым
моментом в мошеннической схеме является гугловская система AdSense for
Search, предоставляющая вебмастерам возможность добавлять на свои сайты
поисковый виджет Google Custom Search. Поиск при помощи этого
инструмента сопровождается традиционной контекстной рекламой, плата за
клики по которой отходит владельцам соответствующего ресурса.
Точнее,
так происходит, если компьютер пользователя, нажимающего на рекламные
блоки, не заражен трояном FFSearcher. Потому что троянская программа
ухитряется подменять все кастомизированные гуглопоиски своим — и каждое
честное нажатие пользователя на рекламную ссылку увеличивает счёт
злоумышленников.
Также специалисты SecureWorks отмечают и
другие особенности этой программы, в частности, очень хитрое, скрытное
заражение системы: руткитную часть FFSearcher на момент исследования
определяли лишь 15 и 41 антивирусных средств, а дроппер узнавали в лицо
и вовсе только 4 из 39. Перенаправление на поисковый виджет
злоумышленников успешно работает в браузерах Internet explorer и
Firefox.
Русский программист похитил исходники биржевой системы
ФБР
США сообщает об аресте российского программиста, приехавшего на работу
в США. Некий Сергей Алейников обвиняется в краже закрытых исходников
современной биржевой торговой системы, разрабатываемой в американском
банке Goldman Sachs. Сообщается, что система, заинтересовавшая
Алейникова, была одной из самых сложных, высокоскоростных и могла
работать с крупными массивами данных как на фондовом, так и на сырьевом
рынках.
Стоить отметить, что программист сам же и работал в
Goldman Sachs, причем он был одним из руководителей разработки новой
биржевой торговой системы, поэтому в ФБР говорят, что похититель
фактически совершил кражу у своего же работодателя.
В сводках
Федерального Бюро Расследований говорится, что за работу по такому
перспективному и ответственному направлению Алейников получал в банке
около 400 000 долларов в год. Тем не менее, программист, судя по всему,
решил, что передав исходные коды третьей стороне, он заработает больше.
Выкрал исходники системы программист только на 32 мегабайта. По данным
ФБР, задержан Алейников был 3 июля в аэропорту Ньюарка в штате
Нью-Джерси.
По словам представителей банка, кража российского
программиста могла бы пройти незамеченной, если бы накануне своего
"мероприятия" он не купил почти на 750 000 долларов облигаций и почти
75 000 долларов потратил на документы и билеты, необходимые для выезда
сразу по нескольким направлениям. Этим и заинтересовалась служба
безопасности Goldman Sachs. Расследование показало, что исходники
системы он похищал частями - за 4 дня он украл вышеупомянутые 32
мегабайта (всего система занимает около гигабайта), передавая их на
несколько серверов, расположенных на территории Германии. Окончательно
все подозрения в отношении Алейникова укрепились, когда тот,
воспользовавшись служебным доступом, попытался удалить все журналы
безопасности, которые велись на серверах банка.
По данным
полиции штата Нью-Джерси, Сергей Алейников был уволен из банка в первой
декаде июня, после того, как неназванный финансовый институт из числа
западных компаний предложил ему еще большую зарплату и более выгодные
условия работы. Название института полиция не сообщает. По
предположению следователей, именно в интересах этого учреждения и была
произведена кража.
Независимые эксперты по сетевой безопасности,
говорят, что Goldman Sachs, судя по направлению расследования, ведет
полный мониторинг HTTP и HTTPS-трафика всех своих сотрудников, так как
передачу исходников удалось зафиксировать спустя менее суток после
фактической транзакции. Что касается точки назначения передачи файлов
(сервера в Германии), то здесь файлы хранились под другими именами и в
зашифрованном виде, сам же сервер был зарегистрирован на физическое
лицо, проживающее на территории Великобритании.
Как говорят в
goldman Sachs, Сергей Алейников работал в их ИТ-подразделении над
разработкой торговых систем с 2007 года. В его задачи входила
разработка систем, обладающих развитым интеллектом и способных быстро
работать на многих рынках с различными биржевыми инструментами. В
судебных документах говорится, что Алейников нанес "серьезный" ущерб
безопасности банка, а в разработку системы были инвестированы "многие
миллионы долларов".
Сам Алейников, говорят в ФБР, на момент
задержания сообщил, что он собрал лишь открытую часть системы, которая
была доступна свободно, другие же файлы, по словам обвиняемого, были
скопированы случайно.
