Таможенники в США нарушают процедуру осмотра электронных устройств пассажиров

В течение двух лет американские таможенники нарушают протокол при осмотре принадлежащих пассажирам электронных устройств, сохраняя полученные при осмотре данные на своих USB-флэшках. Об этом сообщается в отчете Управления главного инспектора (Office of the Inspector General, OIG).

В отчете OIG представлены результаты проверки выполнения служащими Таможенно-пограничной службы США требований протокола при осмотре электронных устройств пассажиров. Право таможенников на осмотр электроники прописано в принятом в 2015 году законе Trade Facilitation and Trade Enforcement Act (TFTEA), действующем на всей территории США.

Согласно TFTEA, таможенники могут без ордера и без объяснений причин осматривать любые электронные устройства пассажиров, в том числе смартфоны и ноутбуки, в поисках информации, связанной с терроризмом, детской порнографией и другой преступной деятельностью.

С 2007 года в 67 пограничных контрольно-пропускных пунктах сотрудникам Таможенно-пограничной службы разрешено копировать содержимое устройств пассажиров на USB-флэшки и загружать на платформу Automated Targeting System (ATS) для более детального анализа.

Согласно требованиям протокола, после загрузки данных на ATS таможенники должны удалять их с USB-накопителей. Тем не мене, как показала проверка OIG, они этого не делают. Другими словами, у таможенников остается доступ к конфиденциальным данным пассажиров даже после того, как им был разрешен въезд на территорию США.

Помимо прочего, таможенники забывают отключать на осматриваемом устройстве доступ к интернету. В результате им отображается информация, проходящая через интернет, а не хранящаяся на устройстве, что может привести к неправомерному обвинению пассажира.

Однако наибольшее беспокойство вызывает тот факт, что Таможенно-пограничная служба продолжительное время не использовала ATS. Причиной снова была халатность – Управление полевых операций (Office of Field Operations, OFO) не обновило вовремя лицензию на ПО. В результате с февраля по сентябрь 2017 года у преступников было больше шансов успешно пересечь границу и попасть в США.

Источник: https://www.securitylab.ru/news/496958.php

В Китае арестован создатель шифровальщика UNNAMED1989

Китайская полиция арестовала злоумышленника, который стоит за атаками шифровальщика UNNAMED1989. Преступник оставил экспертам множество улик, в результате чего выследить его удалось в течение недели после первых инцидентов.

Троян-вымогатель UNNAMED1989 быстро распространялся по китайскому Интернету, начиная с 1 декабря. Всего за несколько дней он поразил более 100 тыс. пользователей, причем самый активный день записал на счет зловреда сразу 80 тыс. жертв.

По сообщениям экспертов, преступник получил такой охват, скомпрометировав SDK EasyLanguage, который используется во всех пораженных программах. Организатор кампании, 22-летний Луо Моумоу (Luo Moumou), встроил троян собственной разработки в 50 различных приложений, включая аддон к самому популярному в Китае мессенджеру QQ. Позднее появилась информация, что злоумышленник атаковал и других киберпреступников, которым продвигал свой продукт как банковский троян, скрывая его вымогательские функции.

Зловред шифрует пользовательские данные с применением XOR-функции и требует с жертв по 110 юаней в качестве выкупа (чуть больше 1000 руб.). В дополнение к этому UNNAMED1989 похищает аккаунты китайских онлайн-сервисов: Tmall, Aliwangwang, Alipay, 163 Mailbox, Baidu Cloud и Jingdong.

По словам экспертов, большинство жертв Моумоу не пользовались защитным ПО, из-за чего шифровальщик продолжал распространяться, даже когда антивирусные разработчики внесли его сигнатуры в свои базы.

Аналитики быстро определили личность преступника — уже в первые дни после всплеска атак им удалось установить его имя, номер мобильного и прочие данные. В ходе расследования они обнаружили два сервера с более чем 20 тыс. паролей к аккаунтам интернет-магазина Taobao и платежной системы Alipay. По словам специалистов, Моумоу допустил немало промахов, например, указал свою реальную информацию при регистрации доменов, которые позже использовал для приема платежей.

Преступник шифровал данные с применением простой функции, поэтому ИБ-эксперты смогли быстро создать декриптор. Примечательно, что в требовании выкупа Моумоу упоминал более стойкий шифр, нежели тот, что использовал на самом деле.

О низкой подготовке вымогателя говорит и то, что зловред фактически не мог исполнить угрозу и уничтожить пользовательские данные. В тексте говорилось, что ключ для расшифровки будет уничтожен по окончании периода ожидания — в реальности же он был вшит в код программы.

Как отметили журналисты, со стороны преступника также было ошибкой использовать WeChat — китайские правоохранители давно научились отслеживать преступников через этот сервис.

Источник: https://threatpost.ru/unnamed1989-author-busted/29627/

Взломщики снова ищут уязвимые криптокошельки и майнеры

Эксперты компании Bad Packet LLC предупреждают о массированных атаках на Ethereum-кошельки и ПО для майнинга. Злоумышленники крадут криптоактивы через незащищенные порты 8545, которые использует программный интерфейс JSON-RPC (JavaScript Object Notation Remote Procedure Call).

Он позволяет приложениям обмениваться данными между собой и с другими сервисами, через него в том числе идут операции зачисления валюты и проведения платежей. Как поясняют специалисты, данный протокол не предназначен для внешних подключений, поэтому по умолчанию он не защищен паролем.

Предполагается, что при первоначальной настройке пользователи криптокошельков или майнеров должны сами ограничить доступ к ним. Еще в 2015 году представители Ethereum призывали владельцев криптовалюты установить пароль или спрятать уязвимый порт за межсетевым экраном.

Тем не менее, многие пользователи пренебрегают этими мерами предосторожности, позволяя злоумышленникам перехватывать контроль над активами и выводить средства. Эксперты отмечают, что активное сканирование незащищенных портов зачастую совпадает со скачками курсов криптовалют.

Так, о первых подобных инцидентах сообщалось в ноябре 2017 года, когда Ethereum за месяц вырос более чем на 50%. Ситуация повторилась в январе 2018-го на фоне абсолютных рекордов стоимости токенов. За этими атаками последовали кампании в мае и июне. Аналитики Qihoo 360 Netlab оценили доход всего одной стоящей за этими инцидентами группы более чем в $20 млн.

Многие производители ПО для майнинга и управления криптовалютами превентивно закрывают уязвимый порт или вовсе отказываются от использования JSON-RPC. Однако, как отмечают эксперты, эти угрозы не потеряют актуальность, пока такие меры не станут общепринятыми. В некоторых случаях ситуацию усугубляют и сами разработчики, у которых уходит до двух лет на то, чтобы закрыть брешь.

Атаки через интерфейс JSON-RPC угрожают не только владельцам криптоактивов. В январе 2018 года такая уязвимость нашлась в программном клиенте Blizzard, которым пользуются 500 млн человек. Брешь позволяла взломщикам перехватывать сетевой трафик жертвы и отправлять ей вредоносные файлы. Позднее подобную проблему нашли в двух приложениях uTorrent. В их случае преступники получали возможность выполнять на пользовательской машине сторонний код.

Источник: https://threatpost.ru/cryptomaniacs-under-hackers-scrutiny/29681/

Киберпреступники похитили данные более 540 тыс. пользователей с сайта МИД Франции

Неизвестные злоумышленники взломали сайт Министерства Европы и иностранных дел Франции, созданный для граждан, выезжающих за границу, и похитили базу данных для экстренной связи, содержащую персональную информацию более 540 тыс. лиц.

В распоряжении киберпреступников оказались имена, телефонные номера и электронные адреса пользователей, внесенных в базу данных при регистрации в сервисе Ariane (позволяет людям, планирующим поездку за границу, зарегистрироваться online, в частности, для получения информации о безопасности).

«Были украдены персональные данные, зарегистрированные при регистрации на платформе Ariane. Эти данные могут быть использованы не по назначению, но ограничены по своему действию, поскольку не включают конфиденциальную финансовую информацию или сведения, раскрывающие место назначения поездок, указанных на Ariane», — говорится в сообщении ведомства.

Атака произошла 5 декабря нынешнего года. Ведомство уже уведомило всех пользователей, пострадавших в ходе инцидента, и пообещало принять меры для предотвращения подобных ситуаций в будущем. В настоящее время сайт Ariane продолжает работу. О том, кто стоит за атакой в МИД не сообщили.

Источник: https://www.securitylab.ru/news/496994.php