Защита от хакери

  • Oracle пусна пач за над 300 уязвимости

    Oracle публикува пач за 301 уязвимости, свързани с нейни продукти и външни приложения, които работят със софтуера на компанията. Една от тях е с максималния възможен рейтинг 10, а други 45 са с рейтинг 9.8.

    „Поради заплахата от осъществяване на успешна атака, Oracle препоръчва на клиентите си да инсталират пача възможно най-бързо“, съобщава компанията в информаицонни си бюлетин.

    Както и при предишни ъпдейти, значителна част от пачовете са свързани с приложения на трети страни“, допълва Ерик Морис, директор „Контрол на сигурността“ в Oracle.

    Уязвимостта с най-високия възможен рейтинг е маркирана като CVE-2018-2913 и засяга Oracle GoldenGate – софтуер за репликация на данни в реално време. Засегнати са версии 12.1.2.1.0, 12.2.0.2.0 и 12.3.0.1.0 на GoldenGate.

    Според публикуваната информация тази уязвимост е лесна за експлоатиране и позволява на злонамерено лице да компрометира GoldenGate. Успешна атака може да доведе до получаване на пълен контрол над GoldenGate.

    Общо три уязвимости са открити в GoldenGate. От Oracle посочват, че „всяка от тези уязвимости може да бъде експлоатирана от разстояние, без необходимостта от автентикация“. Това означава, че атаката може да се случи, дори ако авторът й не разполага с данни за достъп.

  • Появи се наследник на зловредния код, който остави Украйна без електричество

    Хакерите, които през 2015 г. оставиха стотици хиляди в Украйна без електричество, си имат наследник. Новооткритият зловреден код и групировката зад него носят името GreyEnergy. Според продължило три години проучване на компанията за киберсигурност ESET, организацията вероятно се занимава с шпионаж и подготвя нови кибератаки.

    GreyEnergy е засечен от анализаторите на ESET при таргетирани атаки срещу организации в Украйна и Полша, които обаче не са нанесли значими щети. Името на заплахата е заигравка с BlackEnergy – зловреден код, който през декември 2015 г. предизвика авария в електроразпределителната мрежа на Украйна и остави 230 хил. души без електричество. „През последните 3 години забелязахме, че GreyEnergy таргетират организации в Украйна и Полша“, коментира Антон Черепанов, който оглавява разследването на ESET срещу хакерската организации.

    Прочетете още: GreyEnergy: една от най-големите кибер заплахи се завръща с нов арсенал

    Според Черепанов има редица сходства между зловредния код, използван от BlackEnergy и GreyEnergy. И в двата случая той е съставен от модули, целта му са едни и същи ораганизации и следите му са прикрити чрез Tor мрежата.

    ESET вече предостави доказателства, че BlackEnergy има връзка с TeleBots, която таргетира организации не само в Украйна, но и по целия свят. През 2017 г. TeleBots влезе в новините заради рансъмуера NotPetya, който парализира дейността на компании в Украйна, Европа, Азия и Америка.

    Засега GreyEnergy действа значително по-скрито в сравнение с BlackEnergy и TeleBots. Групата се ограничава основно до шпионаж и разузнаване, без да нанася поражения от мащабите, в които го правят BlackEnergy и TeleBots. Според ESET това означава, че в момента GreyEnergy проучва потенциални цели и се подготвя за бъдещи атаки.

  • Lojax: изключително опасен за компании и държавни институции

    Последен ъпдейт на 15 октомври 2018 в 15:34 ч.

    Атаките над UEFI са редки, но за сметка на това имат много сериозни последствия. Това заяви Роман Ковач, директор „Анализи“ в словашката компания за киберсигурност ESET. Миналата седмица фирмата съобщи, че е открила LoJax – първата кибератака от организирана престъпна група, разполагаща със собствен UEFI руткит.

    Атаката е изключително опасна, защото не се поддава на стандартни превантивни мерки. Освен това повечето антивирусни програми не сканират UEFI(спецификация за софтуерен интерфейс между операционната система и хардуера), което означава, че руткитът може да инфектира системата напълно незабелязано.

    Нищо ново под слънцето

    Атаките върху UEFI не са нещо ново. Има инструменти за осъществяването им, с които държавните разследващи институции се снабдяват напълно легално. В интервю за Welivesecurity.com Ковач посочва за пример Hacking Team – италианска компания, която продава шпионски софтуер на правителства от различни страни по света.

    Дейността на Hacking Team стана известна на широката общественост през юли 2015 г. Тогава имейл комуникация на компанията с нейни клиенти изтече в интернет. „Hacking Team рекламираха активно като услуга опцията да достъпват и модифицират фърмуеъра на набелязаната цел. В данните, които изтекоха в WikiLeaks, имаше информация за UEFI руткит. Това доказва, че твърденията на Hacking Team са били истина“, посочва Ковач.

    В ръцете на руски хакери

    Откритият от ESET руткит обаче е първият, за който е известно, че се използва от организарана престъпна група, а не от държавен орган. Предполага се, че той е собственост на Sednit – руска хакерска група, която многократно е попадала в медиите заради извършени от нея атаки.

    „Ако злонамерено лице може да контролира процесите, които се стартират на устройството, той го контролира изцяло. Освен че са изключително опасен вектор на атака, промените във фърмуеъра са трудни за засичане и могат да оцелеят дори след радикални мерки за сигурност като преинсталиране на операционната система или смяна на твърдия диск“, коментира Ковач.

    Какви са рисковете

    „Нека ви напомня една от основните принципи в управлението на риска: той е функция от цената, която плащаш като резултат от едно събитие, и неговата вероятност. Дори и ако тези атаки са редки, те носят със себе си сравнително висок риск, ако последиците от тях са значими. Случаят с UEFI руткитът е точно такъв“, казва Ковач.

    Трябва ли обикновените потребители да се притесняват? Според Ковач – не, защото индивидуалните потребители не са основната цел на такъв тип атаки. Обикновено те са насочени към държавни институции и бизнеси. Това са организациите, които понасят най-голяма тежест от подобни атаки. За индивидуалните потребители рискът (засега) клони към нула.

  • Три начина да предпазите бизнеса от макро вируси

    Последен ъпдейт на 6 декември 2018 в 09:34 ч.

    В началото на 2016 г. стотици хиляди потребители по цял свят получиха на служебните си имейли писмо със заглавие “Фактура” и прикачен към него документ за Word. Всеки опит да се отвори документа приключваше по един и същ начин: съдържанието на файла беше неразбираемо, а потребителят получаваше предупреждение да активира зареждането на макроси в Word, за да види какво има в документа.

    Това обаче не беше нищо повече от социално инженерство. Потребителите, които последваха инструкциите, се заразиха с Locky – един от най-опасните криптовируси в световен мащаб.

    Locky е пословичен пример за опасностите, които могат да се крият в един най – обикновен на пръв поглед Word документ или таблица за Excel. Това са файлове,с които всички бизнеси работят и които се разпращат масово по имейл. Хакерите използват този факт, за да разпращат зловредни файлове. В тях те скриват макро скриптове: код, написан на Visual Basic for Applications (програмен език). който при отварянето на документа сваля малуер на устройството на потребителя.

    Макро вируси, макропроблеми

    Макро скриптовете бяха гигантски проблем, затова от години зареждането им по подразбиране е забранено в Microsoft Office. Това намали честотата на атаки със зловредни .DOC и .XLS файлове. Въпреки това те все още представляват опасност и случаят с Locky го доказва.

    Някои експерти по информационна сигурност определят макро вирусите като отживелица от 90-те години на миналия век. Но през 2016 г. американският държавен център за борба с киберзаплахите US-CERT излезе с предупреждение за ръст в случаите на макро вируси, засягащи организации и индивидуални потребители.

    [box type=“success“ align=“alignleft“ class=““ width=““]

    Как да предпазите бизнеса си:

    • Обучавайте служителите си да не отварят прикачени файлове от имейли с неизвестен произход;
    • Позволявайте използването на макро скриптове само за документи, които сте получили от доверен източник;
    • Използвайте и обновявайте редовно антивирусния си софтуер;

    [/box]

Back to top button