DDoS-атака в Иране велась через прокси-серверы Telegram

Иранский облачный провайдер Arvan Cloud столкнулся с DDoS-атакой, построенной на базе прокси-серверов Telegram. Эксперты предупреждают, что новый метод можно использовать для затруднения работы любых сайтов и веб-сервисов.
Проблемы начались утром 6 ноября и продолжались в течение нескольких дней. Пиковая мощность составила около 5000 запросов в секунду, что не создает серьезных трудностей для крупной телекоммуникационной компании, но может вызвать сбои у отдельных интернет-ресурсов.
Расследование DDoS-атаки на Arvan Cloud:
Специалисты компании сразу отметили необычность DDoS-атаки. Злоумышленники использовали протокол передачи данных, работающий на канальном уровне (Layer 2), — в большинстве случаев для таких кампаний используются Layer 3/4 и 7. Целью атаки были пограничные серверы Arvan Cloud.
Специалисты установили источник вредоносного трафика простым угадыванием. К правильному ответу их подтолкнула популярность в Иране MTProxy-серверов, которые помогают местным пользователям обходить государственную блокировку Telegram. Эти системы шифруют трафик, затрудняя его фильтрацию. Об эффективности подобных мер говорит тот факт, что Иран быстро достиг первого места по аудитории Telegram, а данные, которыми обмениваются местные пользователи мессенджера, занимают 60% во всем сетевом трафике этого государства.
В то же время, говорят специалисты Arvan Cloud, MTPoxy-серверы легко можно использовать для проведения DDoS-атак. Эксперты подтвердили это на практике, смоделировав атаку: в ходе эксперимента им удалось создать такой же трафик, как до этого они наблюдали в своей инфраструктуре.
По словам Arvan Cloud, этот прецедент особенно опасен в иранских условиях, поскольку теперь администраторы MTPoxy-серверов смогут использовать свои системы в зловредных целях.
Особенности DDoS-атак 2019 года:
Чем эффективнее организации защищают свою инфраструктуру от DDoS-атак, тем изощреннее становятся методы злоумышленников. Уже в первые месяцы 2019 года исследователи зафиксировали очередной рекорд по интенсивности потока пакетов, который был побит через три месяца. Однако увеличение pps-показателя (число пакетов в секунду) для вывода из строя сетевого оборудования и ходовых средств защиты — это лишь один метод из арсенала злоумышленников, постоянно экспериментирующих с новыми технологиями.
Так, преступники организуют атаки с помощью HTML-запросов ping, используют арендованные у облачных провайдеров мощности и сервисы удаленного управления macOS-машинами. Традиционной популярностью пользуются IoT-ботнеты, которые тоже сохраняют возможности для технологических экспериментов.
На этом фоне аналитики «Лаборатории Касперского» не раз предупреждали об опасной динамике, которая обнаруживается при исследовании DDoS-атак. С одной стороны, эксперты отмечают растущую долю профессионалов, направляющих лавины мусорных запросов на коммерческие инфраструктуры. С другой стороны, большие проблемы создают и злоумышленники-дилетанты, использующие многочисленные DDoS-сервисы, притом зачастую из хулиганских побуждений.

Источник: https://threatpost.ru/ddos-attack-against-arvan-cloud-found-using-mtproxy-servers/34830/

Данные тысяч путешественников оказались в открытом доступе

Аналитики компании vpnMentor обнаружили в Сети незащищенную базу данных гостиничной системы AutoClerk. Хранилище содержало информацию о тысячах клиентов отелей, совершавших бронирования по всему миру при помощи различных сервисов. Потенциальная утечка данных затронула частные лица, коммерческие организации, а также правительственные учреждения США.
Как утверждают ИБ-специалисты, 13 сентября этого года они обнаружили незащищенную базу данных Elasticsearch в ходе масштабного сканирования открытых портов в определенном диапазоне IP-адресов. Хранилище содержало 179 Гбайт информации, включавшей в себя критически важные персональные сведения.
Какие данные содержала база?
Из записей можно было узнать:
Имя и фамилию человека.
Дату рождения.
Домашний адрес.
Номер телефона.
Даты бронирования и цену гостиничного номера.
Особое беспокойство аналитиков вызвало наличие в базе информации о путешествиях и бронированиях американских чиновников, военных и сотрудников Департамента внутренней безопасности. Хранилище оставалось в открытом доступе до 2 октября 2019 года и было закрыто лишь после того, как о нем сообщили представителям Министерства обороны США.
Ранее специалисты Comparitech сообщили, что в открытом доступе находятся данные 20 млн российских налогоплательщиков. База данных также работала на движке Elasticsearch и размещалась на серверах AWS. Хранилище содержало конфиденциальные сведения, в том числе ИНН и суммы налоговых выплат, и пролежало в открытом доступе около года. Причиной инцидента стала неправильная настройка СУБД, однако владелец скомпрометированной информации остался неизвестным.часть информации банковской карты
В ряде случаев база содержала время заезда клиента в отель и его адрес электронной почты.
Хранилище размещалось на серверах Amazon Web Services (AWS) и, по мнению экспертов vpnMentor, принадлежало AutoClerk. База включала данные служб управления гостиничным бизнесом, в частности myHMS, CleanMeNext и SynXis, к которым были подключены множество туристических агентств и отелей. Специалисты отметили, что злоумышленники могли использовать эти сведения для кибератак и реальных угроз в адрес клиентов отелей.
Особое беспокойство аналитиков вызвало наличие в базе информации о путешествиях и бронированиях американских чиновников, военных и сотрудников Департамента внутренней безопасности. Хранилище оставалось в открытом доступе до 2 октября 2019 года и было закрыто лишь после того, как о нем сообщили представителям Министерства обороны США.
Ранее специалисты Comparitech сообщили, что в открытом доступе находятся данные 20 млн российских налогоплательщиков. База данных также работала на движке Elasticsearch и размещалась на серверах AWS. Хранилище содержало конфиденциальные сведения, в том числе ИНН и суммы налоговых выплат, и пролежало в открытом доступе около года. Причиной инцидента стала неправильная настройка СУБД, однако владелец скомпрометированной информации остался неизвестным.

Источник: https://threatpost.ru/data-of-thousands-travelers-exposed-online/34583/

Баг WhatsApp вызывает сбой программы у всех участников чата

Исследователи из компании Check Point обнаружили в WhatsApp уязвимость, позволяющую вызвать сбой приложения у всех участников целевого чата. Для этого автору атаки достаточно лишь отправить в беседу вредоносное сообщение. Восстановить работоспособность мессенджера без потери всех сообщений в группе невозможно. Разработчики исправили баг в сентябрьском релизе программы.
Киберпреступники могут уничтожить любой чат WhatsApp?
Проблема кроется в протоколе XMPP (Extensible Messaging and Presence Protocol), который WhatsApp использует для передачи сообщений. Как выяснили ИБ-специалисты, каждое послание в чат содержит идентификаторы отправителя, такие как имя и номер телефона. Последний параметр представляет собой последовательность цифр длиной от 5 до 20 символов. Если выйти за пределы этого диапазона или подставить вместо номера текстовую строку, парсер прочтет его как пустую переменную.
Не получив требуемого параметра, WhatsApp прекратит работу на всех устройствах, чьи владельцы являются участниками чата. Программа будет выдавать ошибку при повторном запуске и сможет продолжить работу только после переустановки и удаления канала, содержащего вредоносное сообщение.
Баг был обнаружен при помощи инструмента, разработанного экспертами Checkpoint для демонстрации другой уязвимости WhatsApp. Недостаток в протоколе protobuf2 допускал перехват и манипуляцию сообщениями мессенджера, включая замену ключевых параметров послания. Кроме того, для организации новой PoC-атаки ИБ-специалисты использовали модуль DevTools браузера Chrome, легитимную утилиту Burp Suite, а также один из локальных Python-серверов, доступных на GitHub.
Исследователи перехватывали отправленное сообщение, декодировали отдельные параметры и, заменив их, возвращали в WhatsApp.Таким же образом могут поступить и злоумышленники, стремящиеся уничтожить данные в целевом чате.
Аналитики сообщили разработчикам мессенджера об ошибке в августе 2019 года. Создатели WhatsApp исправили уязвимость в версии 2.19.246, вышедшей в сентябре. Пользователям программы рекомендуют как можно скорее установить этот или более поздний релиз приложения.

Источник: https://threatpost.ru/whatsapp-vuln-causes-crash-loop-loss-of-all-data-shared-in-the-group/35051/

Киберполиция заблокировала троян Imminent Monitor

Европол совместно с правоохранительными органами Колумбии, Австралии и ряда других стран пресек распространение трояна Imminent Monitor. Киберполицейские добились отключения серверов проекта, который позиционировался как легитимная утилита, однако обладал всеми функциями RAT-трояна.
По информации следователей, вредоносную программу приобрели более 14 тыс. пользователей, распространявших ее в 124 странах, но участники криминальных форумов говорят о вдвое большем тираже приложения.
Что такое Imminent Monitor?
Зловред Imminent Monitor существует в Сети с 2013 года, однако наибольшую известность приобрел пару лет назад, после ухода с рынка нескольких ключевых игроков. Не последнюю роль в росте популярности трояна сыграла его цена — любой желающий мог приобрести RAT-утилиту за $25. Создатели программы представляли ее как средство удаленного администрирования, однако рекламировали свою разработку на хакерских форумах и других ресурсах в даркнете.
Зловред, установленный на целевое устройство, давал атакующему возможность:
Получать изображения с веб-камер;
Перехватывать работу с клавиатурой;
Удаленно подключаться к рабочему столу жертвы;
Похищать логины и пароли из множества приложений;
Прослушивать разговоры в реальном времени через микрофон компьютера;
Использовать инфицированную машину в качестве прокси-сервера.
Как проходила операция по блокировке RAT-утилиты?
В апреле этого года пользователи одного из хакерских форумов заметили, что автор программы, скрывавшийся под псевдонимом Shockwave, долгое время не появляется на ресурсе. Участники криминального сообщества предположили, что деятельностью злоумышленника заинтересовались правоохранительные органы. Эта информация подтвердилась, когда у покупателей Imminent Monitor стали проходить обыски.
Как сообщили представители Европола, активная фаза операции началась летом 2019 года, когда киберполицийские Австралии и Бельгии получили ордеры на арест создателя зловреда и одного из его помощников. В данный момент задержаны 13 наиболее активных пользователей трояна, изъято 430 устройств, проводится экспертиза остального оборудования, полученного в ходе рейдов. Следственные действия прошли в Чехии, Великобритании, Колумбии, Польше, Испании, Швеции и Нидерландах.
Бэкенд-серверы сайта вредоносной программы отключены — теперь по адресу криминального веб-ресурса размещено сообщение о его блокировке. По словам представителей правоохранительных органов, покупатели Imminent Monitor более не смогут использовать приложение.
В июне этого года Европол отчитался об аресте шести человек, подозреваемых в краже 24 млн евро из криптовалютных кошельков. По мнению киберполицейских, злоумышленники при помощи фишинговых сайтов сумели похитить учетные данные более 4000 аккаунтов пользователей цифровой валюты и вывести накопленные на них средства.

Источник: https://threatpost.ru/europol-international-operation-takes-down-imminent-rat-infrastructure/34946/

Предустановленное ПО Android-смартфонов полно уязвимостей

Специалисты компании Kryptowire провели автоматический анализ приложений, предустановленных на Android-смартфонах, и выявили в них почти 150 уязвимостей. Среди прочего программы, поставляемые с новыми устройствами, допускают удаленное изменение настроек, выполнение стороннего кода и несанкционированную запись аудио. Список вендоров, на чьих телефонах обнаружены недостатки, включает в себя лидеров индустрии — Samsung, Xiaomi, Asus и Sony.
Какие уязвимости были найдены в Android-смартфонах?
Объектами анализа, выполненного при помощи собственного движка Kryptowire, стали модифицированные версии Android и оригинальные программы, не входящие в стандартный пакет ОС. Под прицел экспертов попали устройства 29 производителей, представленных на американском рынке. Тестирование выявило в них 146 уязвимостей, из которых почти треть связана с эскалацией привилегий и дает возможность сторонним приложениям получить несанкционированный доступ к настройкам системы.
Большая группа багов связана с обходом границ безопасности Android. Исследователи обнаружили 34 приложения, способных установить на устройство программы сторонних разработчиков без проверки цифровой подписи. Еще 30 системных утилит допускают запуск сторонних продуктов с расширенными привилегиями, вне зависимости от имеющихся для этого разрешений. Среди других уязвимостей — возможность изменения настроек через беспроводное соединение, несанкционированная работа с микрофоном и динамическая загрузка стороннего кода.
Баги в прошивках Asus, Xiaomi и Samsung:
Наибольшее количество багов — 33 — найдено в прошивках телефонов Samsung, на второй строчке устройства ASUS, в которых обнаружено 26 недостатков, на третьем месте Xiaomi с 15 уязвимостями.
Так, специалисты обнаружили и зарегистрировали следующие проблемы:
CVE-2019-15394— любое приложение, установленное на Asus ZenFone 5 Selfie, может взаимодействовать с компонентами программы с именем пакета com.asus.atd.smmitest и получить права на изменение настроек беспроводного соединения.
CVE-2019-15446— менеджер оформления телефона Samsung S7 может быть использован другими предустановленными продуктами для инсталляции сторонних программ без соответствующих разрешений.
CVE-2019-15475— один из модулей прошивки чипсета Qualcomm в Xiaomi Mi A3 дает возможность вредоносному приложению перехватывать работу с микрофоном и вести запись телефонных звонков.

Источник: https://threatpost.ru/experts-find-dozens-vulnerabilities-in-android-pre-installed-apps/34878/