Специалисты Apple призывают пользователей сервиса iCloud.com, заходящих на него через браузеры, обращать внимание на сообщения о ненадежных цифровых сертификатах — в связи с поступившими на днях сообщениями об атаках против iCloud в Китае.

Через браузер можно управлять пространством хранения iCloud, пользоваться офисным пакетом Apple iWork, добавлять контакты и задачи календаря, просматривать снимки, загруженные с iOS-устройств.

В публикации на сайте GreatFire.org высказываются подозрения, что за атаками на iCloud в Китае стоят властные структуры: правительство страны пристально следит за использованием Интернета и подвергает Сеть цензуре, а взлом iCloud якобы нужен для контроля над пользователями новых моделей iPhone.

В Apple подтвердили факт атак на iCloud, совершаемых по принципу «человек посередине», — путем перехвата трафика между сервисом и пользователем с применением ненадежных сертификатов.

Примечательно, что в документе Apple с рекомендациями по защите упоминаются Chrome, Firefox и Safari, но нет Internet Explorer, самого популярного в Китае браузера, по данным компаний Statcounter и NetApp. В Apple подчеркивают, что если при попытке зайти на iCloud через браузер вы получили сообщение о ненадежном сертификате, соглашаться на его использование нельзя.

Специалисты компании PLXsert сообщают об идущих с июля массовых DDoS-атаках, осуществляемых с использованием уязвимости протокола Simple Service Discovery Protocol, который применяется для объявления доступности миллионами устройств, поддерживающих стандарт Universal Plug and Play, — домашними маршрутизаторами, точками доступа, кабельными модемами, веб-камерами, принтерами и т. п. Атака организуется путем передачи специально подготовленного пакета SOAP на уязвимое устройство, в результате чего то отправляет ответный пакет по заданному адресу.

Поскольку многие из уязвимых устройств — потребительские, маловероятно, что на них будут установлены заплаты, а в некоторых случаях такая возможность даже не предусмотрена. Учитывая это, специалисты PLXSert прогнозируют, что будут разрабатываться все новые инструменты, облегчающие организацию атак с помощью уязвимых протоколов и создание ботнетов. Такие атаки будет трудно подавлять, поскольку пакеты могут исходить одновременно из массы различных точек.

Чтобы устройство нельзя было задействовать в подобной атаке, специалисты PLXSert рекомендуют заблокировать трафик на порту 1900, используемом уязвимыми протоколами, если UPnP не нужен. В противном случае помогут только заплаты.

Компьютерные системы государственных органов Украины и как минимум одной американской организации пострадали от атаки российской группы хакеров.

Специалисты фирмы iSIGHT, обнаружившие действия группы, дали ей название Sandworm Team. Эта группа занималась взломом компьютерных систем НАТО и других международных организаций, компаний энергетической и телекоммуникационной отраслей по крайней мере с 2013 года.

В очередной атаке использовалась неизвестная до сих пор ошибка в менеджере пакетов OLE, присутствующая во всех версиях Windows от Vista Service Pack 2 до Windows 8.1 и в Windows Server 2008 и 2012. При открытии файлов, в частности, формата Microsoft PowerPoint, менеджер пакетов из-за ошибки позволял загружать и запускать файлы из недоверенных источников.

Хакеры применили целевую рассылку писем с зараженными файлами PowerPoint. Она проводилась во время саммита НАТО  в Уэльсе, на котором обсуждался конфликт в Украине. Учитывая характер уязвимости, можно с уверенностью сказать, что все атакованные организации в той или иной мере пострадали от действий взломщиков, считают специалисты.

Microsoft обещает как можно скорее выпустить исправление.

По данным «Лаборатории Касперского, 20% пользователей устройств на платформе Android хотя бы однажды сталкивались с вирусными атаками. Об этом говорят результаты исследования «Мобильные киберугрозы», подготовленного компанией совместно с Интерполом и охватившего период с августа 2013-го по июль 2014 года.

Всего в течение исследуемого периода за счет самого активного всплеска кибератак за последние несколько лет более миллиона владельцев «андроидов», использующих продукты «Лаборатории», по всему миру столкнулись с опасными программами.

Самыми распространенными при этом стали троянские программы, рассылающие без ведома владельца устройства SMS на платные номера. На них пришлось 57% всех срабатываний защитных продуктов «Лаборатории Касперского» для устройств на платформе Android. На втором месте семейство RiskTool (21,5% инцидентов) – условно легальные программы, которые, однако, могут быть использованы злоумышленниками для отсылки SMS, передачи геолокационных данных и прочего. На третьем, с долей 7,4% – приложения с навязчивой рекламой, отображаемой во всплывающих окнах и уведомлениях в строке состояния.

Основными целями киберпреступников, использующих платформу Android для своих целей, являются пользователи из России, Индии, Казахстана, Вьетнама, Украины и Германии. Это связано с распространенностью в указанных странах сервисов оплаты контента и онлайн-услуг с помощью платных SMS – для злоумышленников это привлекательный способ монетизации вредоносных атак, так как он позволяет анонимно выводить деньги с мобильных предоплатных счетов на сторонние банковские счета, говорится также в исследовании «Лаборатории Касперского».

Новая Android-угроза распространялась среди протестующих жителей Гонконга, выступающих за более демократичную избирательную систему. Как сообщили в компании «Доктор Веб», троянец устанавливался на мобильные устройства активистов под видом приложения для координации их действий, поэтому не должен был вызвать особых подозрений у большинства своих жертв.

Android.SpyHK.1.origin обладает рядом интересных функциональных особенностей, выделяющих его среди прочих троянцев-шпионов. В частности, для определения GPS-координат зараженных мобильных Android-устройств троянец эксплуатирует известную уязвимость системного виджета управления питанием, которая позволяет активировать некоторые функции мобильного устройства в обход глобальных системных настроек. Кроме этого, осуществляемая шпионом передача диктофонной записи на сокет управляющего сервера позволяет выполнять прослушивание в реальном времени. Более того, благодаря передаче большей части собираемой троянцем информации непосредственно на сокет удаленного сервера, при достаточно мощных вычислительных ресурсах последнего злоумышленники могут в реальном времени получать оперативную информацию об окружающей обстановке там, где находятся зараженные Android-устройства, объединив инфицированные смартфоны и планшеты в мощную систему слежения.

Все это позволяет говорить о проведении хорошо спланированной таргетированной атаке, направленной на получение важной информации о бастующих в настоящее время жителях Гонконга, а также их возможных действиях в будущем, считают в компании «Доктор Веб».

Специалисты по информационной безопасности Адам Кодилл и Брэндон Уилсон опубликовали программные средства, с помощью которых флеш-накопитель можно заставить устанавливать вредоносные программы. По словам авторов, таким способом они хотят заставить производителей повысить защищенность прошивок USB-накопителей.

Два месяца назад на конференции Black Hat сотрудники немецкой компании SRLabs продемонстрировали атаку BadUSB, при которой USB-накопитель эмулирует другие устройства, в том числе клавиатуру, набирающую команды загрузки и запуска вредоносного кода. Для организации такой атаки нужно изменить прошивку USB-контроллера, но подробностей исследователи не сообщили, объяснив это сложностью устранения бреши.

Кодилл и Уилсон воспроизвели атаку и рассказали об этом на недавней конференции Derbycon, только в отличие от предшественников, опубликовали средства изменения прошивок, сами вредоносы и документацию. Им удалось повторить атаку с эмуляцией клавиатуры, а также создать скрытый раздел на флешке, недоступный для средств компьютерно-технической экспертизы, и реализовать обход пароля для защищенных разделов, имеющихся на некоторых USB-накопителях. Манипуляции проводились с USB-контроллером Phison 2251-03, но по словам исследователей, то же можно легко сделать и с другими.

В связи с брешью Shellshock, позволяющей посторонним запускать произвольные скрипты bash на уязвимых системах с Linux, Mac OS X и Unix, вновь приобрел актуальность проект исследователей из Гарвардского университета — скриптовый язык Shill, который позволяет защититься от подобных дыр.

Как отмечают разработчики, Shill следует принципам наименьших привилегий: его особенность — в возможности ограничить полномочия скрипта shell, назначив лишь достаточные для выполнения его задачи.

Unix-подобные системы вроде Linux и OS X снабжены строгими системами контроля полномочий, регламентируемых на уровне отдельных пользователей и групп. Но любая задача, запущенная пользователем, автоматически наследует все его полномочия. Таким образом, атакующий, пользуясь брешью Shellshock, может заставить скрипт делать что угодно, что разрешено его пользователю. Shill же позволяет независимо от полномочий пользователя, к примеру, ограничить доступ скрипта к файловой системе только его рабочим каталогом.

По словам разработчиков, в некотором отношении Shill похож на технологию SE Linux, ограничивающую возможности программ на компьютере, но та устанавливает политику для системы в целом, тогда как Shill — для отдельных заданий.