Присоединяйтесь к нашим группам
АКЦИИ СКИДКИ

ВКонтакте | ОдноКласники

Инстаграм и Фейсбук признаны террорестическими организациями на территории России




Новые цели хакеров

Выводить из строя компьютеры, манипулировать портовыми кранами и опустошать банкоматы? CHIP покажет, с помощью каких трюков хакеры подчиняют себе даже промышленное оборудование.

Положа руку на сердце: когда вы в последний раз устанавливали обновление микропрограммного обеспечения на своем принтере? Или на Уо1Р-телефоне? Мало кто из пользователей вообще знает, что и для этих устройств существует обновление программного обеспечения. Как утверждают специалисты по безопасности, пробелом в знаниях могут легко воспользоваться злоумышленники: команда американского специалиста по безопасности Энга Ку, аспиранта Колумбийского университета, на состоявшейся в феврале 2014 года конференции RSA продемонстрировала на сцене, насколько легко, действуя извне, можно превратить сетевой принтер в орудие взлома. «Белые хакеры» (White Hat) создали эскиз полной сети фиктивного предприятия и даже записали разговоры, ведущиеся в офисе, не заражая вирусом ни один ПК или смартфон.

Такая постановка могла бы стать готовым киносценарием: сначала злоумышленник заражает сетевой принтер, модель HP LaserJet 2055. Требуемую для этого вредоносную программу он направляет сотруднику целевого предприятия по электронной почте, замаскировав ее под документ. Конечно, тот же принцип работает и в отношении частных пользователей, ежедневно получающих на свою почту спам с зараженными вложениями.

Этот PDF-файл приносит с собой не только биографию мнимого соискателя, но и нацеленную на принтер атаку: когда принтер выполняет задачу, вирус заражает микропрограммное обеспечение устройства. Об этом виде атаки стало известно еще два года назад. Но, по утверждению Энга Ку, лишь немногие предприятия и домашние пользователи озаботились установкой обновления микропрограммного обеспечения. Поэтому уязвимые устройства являются легкой добычей, хотя производители и предлагают обновления по всем правилам.

Принтер шпионит на хакеров

Если вредоносная программа активна, она создает зашифрованный туннель, ведущий к управляющему серверу, и ожидает дальнейших команд. Поскольку принтер управляется своей операционной системой, следующим шагом агрессора может стать, например, сканирование внутренней сети и передача результатов через туннель.

Если в сети находятся, к примеру, VoIP-телефоны — как это было в случае демонстрации, где использовалась модель Avaya (серия One X 96×1), — то их микропрограммное обеспечение тоже имеет уязвимые места. Атакующий заражает телефоны вредоносной программой и, таким образом, получает удаленный контроль над ними. Результат: одной командой телефон превращается в шпиона, пишущего все разговоры, в том числе и ведущиеся в помещении. Затем записи, в свою очередь, контрабандой переправляются через туннель. Чтобы без необходимости не занимать полосу частот и по возможности не попадаться на глаза администратору, вредитель может преобразовывать речь из записей в текстовые документы. В отличие от звуковых файлов, они весят всего несколько килобайт и поэтому почти незаметны в сетевом трафике.

Как поясняет Энг Ку, помимо прочего вредоносная программа может противостоять последующим обновлениям микропрограммного обеспечения.
Роутер в чужих руках

Насколько реальна опасность атаки на не компьютерное аппаратное обеспечение, доказали эксперты по безопасности Team Cymru посредством анализа широкомасштабной атаки на интернет-пользователей по всему миру. Как выяснили эксперты в начале марта, криминальные хакеры удаленно управляли более чем 300 ООО роутерами различных производителей, среди которых ASUS, D-Link, Cisco, Linksys, Netgear и TP-Link. Хотя и не было установлено никакого программного обеспечения, через различные уязвимые места в операционных системах маршрутизаторов агрессоры могли модифицировать настройки DNS (Domain Name System: система доменных имен).

Они изменяли записи так, чтобы при каждом преобразований имен роутеры запрашивали сервер доменных имен, контролируемый преступниками. Таким образом они могли контролировать, какие сайты фактически запрашиваются пользователями при ручном вводе URL — например, www.google.com, после чего подменяли его на поддельный, где собирали данные о пользователях и создавали базы доступа к банковским ресурсам, используя качественные копии страниц банков, электронных торгов и социальных сетей.

SMS банкомату

После обращения одного из банков по вопросам утечек средств клиентов экспертами по вирусам компании Symantec был обнаружен и троян, получивший имя Ploutus, который орудовал на компьютерах, установленных в банкоматах. При однократной активации первая версия данной вредоносной программы ждала, пока с цифровой клавиатуры на банкомате не будет введен определенный 16-значный код, чтобы затем, к примеру, полностью опустошить денежный ящик. Как пишут специалисты по вирусам в своем блоге, новейшая версия цифрового грабителя банков больше не требует ввода кода. Теперь у преступников появилось еще одно важное преимущество: им больше не нужно передавать своим пособникам, нанятым для опустошения банкоматов, сложные строки символов. Чаще при заражении банкоматов, требующем физического доступа и BootCD, преступники заодно прячут под обшивку банкомата недорогой смартфон с доступом к Интернету. Такой мобильный телефон, подключенный внутри к ПК с Windows через USB, с одной стороны связывается с компьютером, а с другой — одновременно обеспечивается питанием. Когда этот гаджет принимает SMS соответствующего формата, он через USB отправляет на компьютер пакет данных. Там Ploutus как раз и поджидает этот пакет, считывает команду, обрабатывает ее и «выгребает» деньги.

Старый знакомый ZeuS еще в строю

На охоте за данными специализируется и вредитель по имени ZeuS. Он является прародителем всех троянов в сфере онлайн-банкинга, и в «цифровом подполье» его можно найти в многочисленньгх вариантах — на миллионах зараженных ПК по всему миру.

Коньком семейства ZeuS является внедрение дополнительных полей на легальных сайтах. Вредитель манипулирует отображением страниц в браузере на ПК жертвы и добавляет, например, на сайте онлайн-банкинга отлично сымитированное поле, в которое пользователю нужно ввести, к примеру, свой мобильный номер — якобы из соображений безопасности. Теперь производитель антивирусов F-Secure предупреждает о появлении следующей версии: эта вредоносная программа производит манипуляции не только на сайтах банкинга, но и на других ресурсах — например, порталах по трудоустройству. После ввода регистрационных данных там появляется страница под управлением ZeuS, которая настоятельно предлагает пользователю ответить на различные контрольные вопросы. Потом с помощью этих данных преступники получают доступ к другим аккаунтам жертвы, на которых запрашиваются именно эти данные.

Был ноутбук, теперь пресс-папье

Существуют и другие виды хакерских атак, иным образом подбирающихся к деньгам. Так, во время доклада в рамках конференции RSA эксперты по безопасности физически вывели из строя MacBook Pro компании Apple с помощью модифицированной прошивки. Спасение посредством перезапуска микропрограммного обеспечения невозможно — в этом случае может помочь только дорогостоящая замена материнской платы.

В конце данной демонстрации 13-дюймовый МасВоок Pro представлял собой лишь дорогое пресс-папье: не заряжался аккумулятор, не запускалась перезагрузка SMC (System Management Controller) и не срабатывало нажатие выключателя питания.

В случае с устройствами популярного производителя, работающими с Windows, следует ожидать атак на микропрограммы контроллера ACPI (управляет конфигурацией и питанием ПК). Конечно, на практике хакеры могут заражать вредоносной программой компьютеры с Windows и приводить их в полную негодность. Однако это будет сложнее, чем с машинами производства Apple. Причина: из-за разных моделей аппаратного обеспечения для каждой версии требуется поиск и использование нового бага. При этом отдельно речь ведется о моделях контроллеров ACPI. Эти контроллеры, например, могут отключить вентилятор и тем самым привести ПК к перегреву и выводу из строя уже через несколько минут.

Хакеры и контрабанда наркотиков

То, что криминальные хакеры предлагают свои специальные знания организованной преступности, теперь продемонстрировала полиция Нидерландов в рамках саммита по анализу безопасности, организованного компанией «Лаборатория Касперского». Местом преступления стал второй по величине порт Европы. Через порт Антверпена в 2013 году прошло более 8,5 млн тонн грузов. Не менее
одной тонны изъяла полиция — это были наркотики из Южной Америки, спрятанные в контейнерах предприятий, которые понятия не имели о дополнительной нагрузке. Стоимость одного только конфискованного кокаина составила более €150 млн.

После провала акции преступники пошли дальше: по словам Петера Цинна из нидерландской полиции, наркоконтрабандисты наняли в цифровом подполье бельгийских хакеров. У последних оказалось достаточно опыта, чтобы взять под свой контроль систему управления автоматическими погрузочными кранами в порту: вместо того чтобы доставлять контейнер с наркотиками на официальный контрольный пункт, кран грузил его прямо на ожидающий грузовик. Потом вооруженные бандиты блокировали грузовик непосвященного водителя в безлюдном месте и выгружали наркотики. В другом случае преступники осуществляли слежку за поступающими грузами и управляли нелегальным грузопотоком посредством специализированных мини-компьютеров, которые они встраивали в сетевые розетки в офисах ничего не подозревающих экспедиторов.

Для прохождения второго этапа атаки наверняка требовалось больше, чем просто заразить ПК вредоносной программой для записи вводов с клавиатуры: хакерам явно была хорошо знакома система SCADA (Supervisory Control and Data Acquisition, диспетчерское управление и сбор данных), которая управляет кранами и обеспечивает полностью автоматический режим.

Виртуальные атаки, реальные последствия

Уже давно существуют сценарии конца света, вызванного хакерскими атаками. Согласно прорицателям, во всех этих случаях будет достаточно захватить контроль над системами, охватывающий аппаратное и программное обеспечение SCADA, и управлять ими. Евгений Касперский, глава одноименного производителя антивирусов, предупреждает о реальной угрозе: «Я исхожу из того, что террористы вскоре объединятся с согласными на сотрудничество хакерами, чтобы атаковать значимую инфраструктуру. А на данный момент она защищена плохо. Ответственные за это инженеры пока не поняли, насколько изобретательными могут быть агрессоры. Они уже десятки лет взламывают контроллеры оборудования, а инженеры заявляют, что системы безопасности надежны».

Источник статьи: CHIP №10/2014