Η Google κηρύσσει πόλεμο στη Symantec για την ασφάλεια του Διαδικτύου

Η Google απειλεί τον γίγαντα της διαδικτυακής ασφάλειας Symantec ότι θα αποκλείσει ορισμένες υπηρεσίες του, υποστηρίζοντας ότι ορισμένοι δικτυακοί τόποι μπορεί να χρησιμοποιούν ύποπτα πιστοποιητικά για να ξεγελούν τους χρήστες.

Με δημοσίευμα σε εταιρικό blog της, η Google ισχυρίζεται ότι η Symantec ασκεί πλημμελή έλεγχο πριν εκδώσει τα λεγόμενα πιστοποιητικά SSL, τα οποία κρυπτογραφούν την επικοινωνία σε δικτυακούς τόπους με ασφάλεια HTΤPS και βεβαιώνουν τον χρήστη ότι δεν επισκέπτονται πλαστούς δικτυακούς τόπους. Τα πιστοποιητικά αυτά εκδίδονται από εγκεκριμένους οργανισμούς σαν την Symantec, στην οποία εκτιμάται ότι αντιστοιχεί το ένα τρίτο των πιστοποιητικών στον παγκόσμιο ιστό.

Η Google υποστηρίζει ότι, σύμφωνα με έρευνα που αφορά πρόσφατο περιστατικό, η Symantec δεν συμμορφώνεται με όλες τις πρακτικές ασφάλειας που απαιτούνται.

Αν η εταιρεία πραγματοποιήσει την απειλή της, το πρόγραμμα περιήγησης Chrome θα πάψει να αναγνωρίζει εκατομμύρια πιστοποιητικά της Symantec σταδιακά τους επόμενους μήνες, κάτι που θα μπορούσε να προκαλέσει προβλήματα στους χρήστες και ιδιοκτήτες συνεργαζόμενων δικτυακών τόπων.

Αυτό, εκτιμά το PC World, θα αναγκάσει τη Symantec να έρθει σε επικοινωνία με χιλιάδες πελάτες της, να ελέγξει και τελικά να αντικαταστήσει τα επίμαχα πιστοποιητικά.

Η Symantec από την πλευρά της χαρακτήρισε «παραπλανητικούς» και «ανεύθυνους» τους ισχυρισμούς της Google. «Ελπίζουμε να μην είχαν στόχο να προκαλέσουν αβεβαιότητα και αμφιβολία εντός της διαδικτυακής κοινότητας για τα πιστοποιητικά μας» ανακοίνωσε σε εταιρικό ιστολόγιο.

Πηγή

Advertisements

Οι προβλέψεις της Symantec για την ασφάλεια το 2017

symantec-logo

Κάθε χρόνο, ο χώρος της ψηφιακής ασφάλειας αντιμετωπίζει νέες μορφές απειλών, καθώς οι εγκληματίες του κυβερνοχώρου εξελίσσουν την προσέγγιση τους ως προς την πρόσβαση στα δεδομένα οργανισμών.

Καθώς πλησιάζουμε το 2017, οι ειδικοί σε θέματα ασφάλειας της Symantec Corp, έχουν επιστήσει την προσοχή τους στις τάσεις που πιθανώς αναμένουμε να δούμε το 2017, αλλά και τα επόμενα χρόνια. Με δεδομένο το συνεχώς μεταβαλλόμενο τοπίο, είναι σημαντικό να εστιάσουμε που θα πρέπει να επικεντρωθεί η προσοχή της ψηφιακής ασφάλειας και πως θα κινηθεί για το ερχόμενο έτος.

Internet of Things (IoT):

  • Η ανάπτυξη του Cloud

Το 2017 θα συνεχίσουμε να βλέπουμε μια στροφή προς τον σύγχρονο εργασιακό χώρο, καθώς όλο και περισσότερες επιχειρήσεις επιτρέπουν στους υπαλλήλους τους να χρησιμοποιούν τις νέες τεχνολογίες, όπως τα wearables, την εικονική πραγματικότητα αλλά και τις συνδεδεμένες στο δίκτυο συσκευές ( IoT), υποστηρίζοντας παράλληλα ένα ταχέως αυξανόμενο δυναμικό, από εφαρμογές και λύσεις που βασίζονται στο Cloud.

  • Τα συνδεδεμένα αυτοκίνητα θα γίνουν στόχος

Με δεδομένο ότι τα αυτοκίνητα αρχίζουν να έχουν δυνατότητες διασύνδεσης, είναι θέμα χρόνου να δούμε hacking μεγάλης κλίμακας και σε αυτά. Αυτό θα μπορούσε να εμφανιστεί με την μορφή λύτρων για τα αυτοκίνητα αυτά, αυτόματη και μη εξουσιοδοτημένη παρακολούθηση τους και συλλογή πληροφοριών, ή άλλες απειλές που συνδέονται με αυτά.

  • Οι συσκευές IoT θα διεισδύσουν ακόμη περισσότερο στις επιχειρήσεις

Κοιτάζοντας πέρα από τα απλά τρωτά σημεία των φορητών συσκευών και των υπολογιστών, τα τμήματα ασφάλειας στην μηχανογράφηση των επιχειρήσεων, θα πρέπει πλέον να εξετάζουν και άλλες συσκευές ως προς την ασφάλεια τους, όπως οι θερμοστάτες για παράδειγμα και γενικότερα έξυπνες συσκευές που είναι συνδεδεμένες στο Internet και χρησιμοποιούν το δίκτυο μιας επιχείρησης.

  • Αύξηση των επιθέσεων IoT DDoS

Η επίθεση Dyn τον περασμένο Οκτώβριο, απέδειξε ότι τεράστιος αριθμός των συσκευών IoT που δεν είναι ασφαλείς και είναι εξαιρετικά ευάλωτες σε επιθέσεις. Δεδομένου ότι όλο και περισσότερες συσκευές IoT εγκαθίστανται σταδιακά στην αγορά, ο κίνδυνος παραβίασης τους θα αυξάνεται αντίστοιχα.

Το Cloud Generation θα καθορίσει το μέλλον της επιχείρησης:

  • Το δίκτυο των επιχειρήσεων θα επεκταθεί και θα γίνει πιο ασαφές και διάσπαρτο

Με το εργατικό δυναμικό να γίνεται πιο “φορητό” από ποτέ, η ανάγκη προστασίας, ενός δικτύου on-premise, θα αποβαίνει ολοένα και πιο κοντόφθαλμη. Η ανάγκη παρουσίας των firewalls για την υπεράσπιση ενός μοναδικού δικτύου καθίσταται περιττή, εάν είναι συνδεδεμένο στο cloud. Όλες οι επιχειρήσεις θα αρχίσουν να κινούνται προς τις ασύρματες και cloud-based υπηρεσίες, αντί να επενδύουν σε ακριβές και περιττές δικτυακές λύσεις.

  • Οι εκβιαστές θα επιτεθούν στο Cloud

Με δεδομένη τη σημαντική στροφή προς την cloud-based αποθήκευση και τις υπηρεσίες, το Cloud γίνεται ένας πολύ προσοδοφόρος στόχος για επιθέσεις, αφού δεν προστατεύεται από firewall ή άλλα παραδοσιακά μέτρα ασφάλειας. Έτσι οι επιχειρήσεις θα πρέπει να υπερασπιστούν τα δεδομένα τους. Οι επιθέσεις μπορεί να οδηγήσουν σε εκβιασμούς και αποζημιώσεις πολλών εκατομμυρίων ευρώ καθώς και στην απώλεια κρίσιμων δεδομένων. Η ανάγκη λοιπόν για λύσεις προστασίας θα γίνει ακόμη πιο έντονη.

  • Η τεχνητή νοημοσύνη θα απαιτεί εξελιγμένες δυνατότητες Big Data.

Το 2017, η μηχανική μάθηση και η τεχνητή νοημοσύνη θα συνεχίσουν να αναπτύσσονται. Μάλιστα, η εταιρεία ερευνών Forrester προβλέπει ότι οι επενδύσεις στην τεχνητή νοημοσύνη θα αυξηθούν κατά 300%, μέσα στο 2017. Με την ανάπτυξη έρχονται νέες, ισχυρές ιδέες για τις επιχειρήσεις καθώς και μια αυξημένη συνεργασία μεταξύ των ανθρώπων και των μηχανών. Από την άποψη της ασφάλειας, αυτή η επέκταση θα επηρεάσει τους οργανισμούς με περισσότερους από έναν τρόπους – συμπεριλαμβανομένων των endpoints και των μηχανισμών στο Cloud.

Το έγκλημα στον κυβερνοχώρο:

  • Κακόβουλες επιθέσεις θα αυτοχρηματοδοτούνται με την κλοπή χρημάτων

Υπάρχει μια επικίνδυνη πιθανότητα ότι παρίες εθνικών κρατών θα μπορούσαν να ευθυγραμμιστούν με το οργανωμένο έγκλημα για δικό τους όφελος, όπως αυτά που είδαμε στις επιθέσεις SWIFT (Society for Worldwide Interbank Financial Telecommunications). Αυτό θα μπορούσε να οδηγήσει ακόμα και σε πτώση κυβερνήσεων ως προς τα πολιτικά, στρατιωτικά ή οικονομικά συστήματα τους.

  • Τα «fileless» malware θα αυξηθούν

Οι fileless μολύνσεις – οι οποίες γράφονται απευθείας στη μνήμη RAM ενός υπολογιστή χωρίς τη χρήση οποιουδήποτε αρχείου – είναι δύσκολο να ανιχνευθούν και συχνά ξεφεύγουν από προγράμματα πρόληψης εισβολών και antivirus. Αυτό το είδος των επιθέσεων αυξήθηκε καθ’ όλο το 2016 και αναμένεται να συνεχίσει να αυξάνεται, αποκτώντας εξέχουσα θέση στη λίστα των απειλών, μέσα στο 2017, πιθανότατα μέσω επιθέσεων PowerShell.

  • Η κατάχρηση του Secure Sockets Layer (SSL) θα οδηγήσει σε αύξηση των phishing sites με HTTPS

Η άνοδος στη δημοτικότητα των δωρεάν πιστοποιήσεων SSL σε συνδυασμό με την πρόσφατη πρωτοβουλία της Google για την επισήμανση των HTTP sites ως μη ασφαλή θα αποδυναμώσουν τα πρότυπα ασφαλείας, οδηγώντας σε υποψήφια spear-phishing ή malware προγράμματα, εξαιτίας των κακόβουλων πρακτικών βελτίωσης ως προς τις μηχανές αναζήτησης.

  • Drones θα χρησιμοποιηθούν για κατασκοπεία και επιθέσεις

Αυτό ίσως να εμφανισθεί το 2017, αλλά είναι πιο πιθανό να συμβεί αργότερα. Μέχρι το 2025, μπορούμε να περιμένουμε ότι θα δούμε «drone-jacking», το οποίο σημαίνει ότι θα υποκλέπτονται σήματα drone, με αποτέλεσμα τον αναπροσανατολισμό τους προς όφελος του εισβολέα. Λαμβάνοντας υπόψη αυτή τη δυνατότητα, μπορούμε επίσης να περιμένουμε ότι θα δούμε και “αντί – drone hacking” δηλαδή τεχνολογία η οποία αναπτύσσεται για τον έλεγχο των GPS συσκευών των droneκαι άλλων σημαντικών συστημάτων.

Το άρθρο περιλαμβάνει πληροφορίες από δελτίο τύπου της Symantec.

Πηγή

Στα έγγραφα της NSA το «κατασκοπευτικό» λογισμικό Regin

Το κατασκοπευτικό λογισμικό Regin, το οποίο βρίσκεται σε λειτουργία από το 2008, συνδέεται με τις αμερικανικές και βρετανικές υπηρεσίες Πληροφοριών, αποκαλύπτει η ιστοσελίδα The Intercept.

Ο αμερικανικός όμιλος Πληροφορικής Symantec ανακοίνωσε την Κυριακή ότι ανακάλυψε ένα λογισμικό, από την τεχνική πολυπλοκότητα του οποίου συνάγεται ότι η δημιουργία του έγινε τουλάχιστον υπό την εποπτεία των υπηρεσιών Πληροφοριών ενός κράτους.

Σύμφωνα με το The Intercept , αυτό το λογισμικό φαίνεται ότι συνδέεται με τις υπηρεσίες Πληροφοριών των ΗΠΑ και της Βρετανίας και χρησιμοποιήθηκε σε κυβερνοεπιθέσεις εναντίον δικτύων ευρωπαϊκών κυβερνήσεων και εναντίον βελγικού τηλεπικοινωνικού δικτύου.

Επικαλούμενη πηγές του τομέα της Πληροφορικής και τεχνική ανάλυση του λογισμικού, η ιστοσελίδα The Intercept αναφέρει ότι ο ιός Regin αναφέρεται στα έγγραφα της Υπηρεσίας Εθνικής Ασφαλείας των ΗΠΑ (NSA) τα οποία δημοσιεύθηκαν από τον Εντουαρντ Σνόουντεν και αποκάλυψαν το εύρος των προγραμμάτων παρακολούθησης των ΗΠΑ.

Οταν ερωτήθηκε για τις πληροφορίες αυτές, εκπρόσωπος της NSA απάντησε: «Δεν πρόκειται να σχολιάσουμε φήμες».

«Οι ομάδες της Symantec ανίχνευσαν παραβιάσεις δικτύων σε δέκα χώρες, πρώτα στη Ρωσία, στη συνέχεια, στη Σαουδική Αραβία, δύο χώρες στις οποίες συγκεντρώνεται το εν τέταρτον των κυβερνοεπιθέσεων», σύμφωνα με τον Κάντιντ Γουίστ, αναλυτή της Symantec.

Οι υπόλοιπες χώρες που έχουν δεχθεί επιθέσεις κατά σειρά σοβαρότητας είναι το Μεξικό, η Ιρλανδία, η Ινδία, το Αφγανιστάν, το Ιράν, το Βέλγιο, η Αυστρία και το Πακιστάν.
Αντίθετα με το λογισμικό Stuxnet, το οποίο επιτέθηκε στις συσκευές φυγοκέντρισης του συστήματος εμπλουτισμού ουρανίου στο Ιράν, στόχος του Regin είναι η συγκέντρωση δεδομένων και όχι το σαμποτάζ κάποιου συστήματος ελέγχου βιομηχανικής
μονάδας.

Η πολυπλοκότητά του παραπέμπει σε μία πολύμηνη, έως και πολυετή, φάση δημιουργίας που απαίτησε σημαντική χρηματοδότηση.

«Ο χρόνος και οι πόροι που χρησιμοποιήθηκαν δείχνουν ότι ένα κράτος είναι υπεύθυνο», βεβαιώνει ο Κάντιντ Γουίστ.

Οι δημιουργοί του κατέβαλαν σημαντικές προσπάθειες για να καταστήσουν όσο το δυνατόν πιο διακριτική την παρουσία του ιού, επιτρέποντας έτσι τη χρησιμοποίησή του σε κατασκοπευτικές δραστηριότητες μακράς διάρκειας.

Ο ιός Regin εντοπίσθηκε για πρώτη φορά τον περασμένο χρόνο από την Symantec. Αρχικά, είχε χρησιμοποιηθεί κατά το διάστημα ανάμεσα στο 2008 και το 2011, οπότε αποσύρθηκε αιφνιδιαστικά. Μία νέα εκδοχή του επανεμφανίσθηκε το 2013 , η οποία συνεχίζει να είναι ενεργή σήμερα.

Πηγή

Symantec: Και η Ελλάδα στο «στόχαστρο» των χάκερ-σαμποτέρ Dragonfly

symantec-logo

Μία ομάδα χάκερ-σαμποτέρ, έχει «βάλει στο μάτι» εκατοντάδες δυτικές ενεργειακές εταιρείες, κυρίως πετρελαίου και φυσικού αερίου, κατά πάσα πιθανότητα κάνοντας βιομηχανική κατασκοπεία, σύμφωνα με την αμερικανική εταιρεία κυβερνο-ασφάλειας Symantec. Η Ελλάδα είναι ανάμεσα στις δέκα κυριότερες χώρες με ενεργές «μολύνσεις», όπου οι επιτιθέμενοι υπέκλεψαν πληροφορίες από παραβιασμένα συστήματα, χωρίς να είναι σαφές ποιοί ακριβώς ήσαν οι στόχοι των χάκερ.

Οι χώρες που έχουν πληγεί περισσότερο, είναι οι εξής: Ισπανία (27%), ΗΠΑ (24%), Γαλλία (9%), Ιταλία (8%), Γερμανία (7%), Τουρκία (6%), Ρουμανία, Πολωνία και Ελλάδα (από 5%) και Σερβία (4%).

Η έκθεση αναφέρει πως «είναι πιθανό οι επιτιθέμενοι να έχουν βάση την Ανατολική Ευρώπη», ενώ σύμφωνα με τους «Τάιμς της Νέας Υόρκης», η ομάδα Dragonfly (Λιβελούλη) είναι ρωσικής προέλευσης, κάτι που σχετίζεται με το μεγάλο ειδικό βάρος της ρωσικής ενεργειακής βιομηχανίας. Μεταξύ των στόχων ήσαν πάροχοι υπηρεσιών ενέργειας, μεγάλες εταιρίες παραγωγής ηλεκτρικού ρεύματος, εταιρείες δικτύων παροχής πετρελαίου και πάροχοι βιομηχανικού εξοπλισμού ενέργειας.

Εκτός όμως από τη βιομηχανική κατασκοπεία, φαίνεται πως ο τρόπος που δρουν οι χάκερ, τους δίνει επίσης την πρόσθετη δυνατότητα να αποκτούν εξ αποστάσεως τον έλεγχο των συστημάτων ελέγχου των ενεργειακών βιομηχανιών και άρα να κάνουν σαμποτάζ, με τρόπο παρόμοιο με αυτό που χρησιμοποίησαν το Ισραήλ και οι ΗΠΑ, όταν επιτέθηκαν με τον ιό Stuxnet στις πυρηνικές εγκαταστάσεις του Ιράν το 2009, καταστρέφοντας το ένα πέμπτο από τα αποθέματα ουρανίου της χώρας.

Οι νέες επιθέσεις καταγράφηκαν για πρώτη φορά από την αμερικανική εταιρεία κυβερνο-ασφάλειας CrowdStrike το καλοκαίρι του 2012 και έκτοτε εκτιμάται, ότι έχουν πλήξει πάνω από 1.000 στόχους σε τουλάχιστον 84 χώρες. Η ομάδα των χάκερ αρχικά στόχευσε εταιρείες άμυνας και αεροπορίας στις ΗΠΑ και τον Καναδά, πριν στρέψει το ενδιαφέρον της σε εταιρείες ενέργειας στις ΗΠΑ και την Ευρώπη στις αρχές του 2013.

H νέα έκθεση της Symantec, που ‘βάφτισε’ τους χάκερ Dragonfly (προηγουμένως είχαν την ονομασία Energetic Bear), δείχνει πλέον το μέγεθος της απειλής, καθώς, σύμφωνα με τα νέα στοιχεία, η εν λόγω ομάδα έχει γίνει πολύ πιο επιθετική και ικανή στις επιθέσεις της.

Ένα από τα «κόλπα» των χάκερ είναι, ότι δεν επιτίθενται απευθείας στα συστήματα της επιχείρησης-στόχου, αλλά «μολύνουν» με το κατάλληλο λογισμικό, ορισμένες ιστοσελίδες που οι εργαζόμενοι στον ενεργειακό τομέα επισκέπτονται συχνά, όταν θέλουν να ανανεώσουν το λογισμικό τους για τον εξοπλισμό των συστημάτων βιομηχανικού ελέγχου (ICS). Με αυτό τον τρόπο, παγιδεύουν τους ανύποπτους εργαζόμενους, οι οποίοι στη συνέχεια «κατεβάζουν» στους υπολογιστές των εταιριών τους το κακόβουλο λογισμικό (τύπου Trojan), το οποίο έτσι διεισδύει στο δίκτυο της εταιρείας-στόχου.

Πάντως, ο εκπρόσωπος της Symantec, Κέβιν Χέιλι, δήλωσε ότι, προς το παρόν τουλάχιστον, δεν υπάρχουν ενδείξεις, ότι οι χάκερ σκοπεύουν να προχωρήσουν σε σκόπιμη πρόκληση ζημιών, όπως στην ανατίναξη κάποιας μονάδας γεώτρησης ή ηλεκτροπαραγωγής. Φαίνεται, όπως είπε, ότι το κατ’ αρχήν κίνητρό τους, είναι να μάθουν περισσότερα πράγματα για τις λειτουργίες, τα στρατηγικά σχέδια και την τεχνολογία των δυτικών ενεργειακών εταιρειών. «Όμως η δυνατότητα για σαμποτάζ υπάρχει πάντα», πρόσθεσε.

Η έκθεση της Symantec, που κάνει λόγο για «συνεχόμενη επίθεση κυβερνοκατασκοπείας», επισημαίνει, ότι οι επιτιθέμενοι «αν είχαν χρησιμοποιήσει τις δυνατότητες σαμποτάζ που είχαν στη διάθεσή τους, θα μπορούσαν να έχουν προκαλέσει ζημιές και προβλήματα στην παροχή ενέργειας στις προσβαλλόμενες χώρες».

Αναφέρει ακόμη πως «ενώ ο Stuxnet στοχοποίησε τα στενά όρια του Ιρανικού πυρηνικού προγράμματος και το σαμποτάζ ήταν ο κύριος σκοπός του, το Dragonfly φαίνεται να έχει πολύ πιο ευρύ φάσμα, με την κατασκοπεία και την επίμονη πρόσβαση να είναι ο πρωταρχικός σκοπός, και το σαμποτάζ να είναι απλά μια προαιρετική δυνατότητα, εφόσον ζητηθεί».

Πριν από τη δημοσιοποίηση του θέματος, η Symantec ειδοποίησε τα προσβαλλόμενα θύματα και τις σχετικές εθνικές αρχές, που χειρίζονται και ανταποκρίνονται σε περιστατικά ασφάλειας του διαδικτύου.

Πηγή

H Symantec βοηθά τις Αρχές να εξουδετερώσουν το δίκτυο ηλεκτρονικού εγκλήματος Gameover Zeus

symantec-logo

Το FBI, η Εθνική Υπηρεσία Εγκλήματος του Ηνωμένου Βασιλείου, καθώς και μια σειρά από διεθνείς υπηρεσίες επιβολής του νόμου αποδυνάμωσαν δύο από τις πιο επικίνδυνες επιχειρήσεις οικονομικής απάτης του κόσμου: το Gameover Zeus botnet και το δίκτυο ransomware Cryptolocker.

Σε συνεργασία με έναν αριθμό εταίρων του ιδιωτικού τομέα, συμπεριλαμβανομένης και της Symantec, το FBI έχει κατασχέσει αρκετές από τις υποδομές που χρησιμοποιήθηκαν από τις δύο αυτές απειλές. Για να ανταποκριθεί η Symantec έχει δημιουργήσει ένα νέο εργαλείο, το οποίο τα θύματα μπορούν να χρησιμοποιήσουν για να αφαιρέσουν πλήρως το Gameover Zeus.

Το Gameover Zeus είναι υπεύθυνο για εκατομμύρια μολυσμένα συστήματα σε όλο τον κόσμο από τις αρχές Σεπτεμβρίου του 2011. Οι επιτιθέμενοι το χρησιμοποιούν για να παρακολουθούν τις online τραπεζικές συναλλαγές, εξαπατώντας εκατοντάδες πελάτες χρηματοπιστωτικών ιδρυμάτων σε παγκόσμιο επίπεδο. Σε μια πρόσφατη ενημέρωση, ένα low level driver component δημιουργήθηκε για να αποτρέψει την απομάκρυνση του Trojan. Η Symantec παρέχει ένα νέο εργαλείο για την απομάκρυνσή του, μαζί με τα πρόσθετα στοιχεία του Trojan.

Το Cryptolocker αποτελεί μια από τις τελευταίες και πιο απειλητικές μορφές ransomware που έχουν δημιουργηθεί. Λειτουργεί κρυπτογραφώντας τα αρχεία του θύματος από τον σκληρό του δίσκο. Αντίθετα με τις περισσότερες απειλές κακόβουλου λογισμικού, δεν έχει βρεθεί fix που να μπορεί να αποκρυπτογραφήσει τα δεδομένα που επηρεάζονται. Αυτό αφήνει το θύμα εκτεθειμένο είτε στην απώλεια προσωπικών αρχείων είτε στο να πληρώσει τους επιτιθέμενους.

Gameover Zeus: Η προηγμένη οικονομική απάτη Trojan

Το Gameover Zeus είναι μια παραλλαγή του Trojan.Zbot, συχνά γνωστό απλά ως «Zeus», που χρησιμοποιεί ένα peer-to-peer δίκτυο και το domain generation algorithm (DGA) για τη δημιουργία εντολής και κατόπιν τον έλεγχο αυτής. Για να αποτραπεί το Gameover Zeus έχουν απενεργοποιηθεί βασικά nodes σε peer δίκτυα μαζί με τα πεδία που παράγονται από το DGA.

Η Symantec παρακολουθεί αυτό το botnet από την πρώτη στιγμή που εμφανίστηκε. Ο botmaster έχει διατηρήσει ένα σχετικά σταθερό δίκτυο εκατοντάδων χιλιάδων μολυσμένων υπολογιστών σε όλο τον κόσμο.

Το Gameover θα μπορούσε να θεωρηθεί η πιο προηγμένη εκδοχή του Zeus, και σε αντίθεση με άλλες παραλλαγές, όπως τα Citadel και IceX Trojans, δεν είναι για μεταπώληση. Το botnet μπορεί να χρησιμοποιηθεί για να διευκολύνει την οικονομική απάτη σε μεγάλη κλίμακα, υποκλέπτοντας χιλιάδες ηλεκτρονικές τραπεζικές συναλλαγές των θυμάτων. Η ομάδα πίσω από το Gameover Zeus το χρησιμοποιεί για την εκτέλεση αυτών των δραστηριοτήτων σε πραγματικό χρόνο. Το Gameover Zeus συνήθως διανέμεται μέσω ηλεκτρονικού ταχυδρομείου το οποίο παρουσιάζεται ως τιμολόγιο. Όταν ο χρήστης που έχει μολυνθεί επισκέπτεται την ιστοσελίδα του τραπεζικού του λογαριασμού μέσω ενός εκτεθειμένου υπολογιστή, το Gameover παρακολουθεί σε απευθείας σύνδεση την ηλεκτρονική συναλλαγή, χρησιμοποιώντας μια τεχνική γνωστή ως man-in-the-browser (MITB). Το γεγονός αυτό μπορεί να παρακάμψει το two factor authentication και να εμφανίσει παραπλανητικά μηνύματα τραπεζικής ασφάλειας στον χρήστη με στόχο να αποκτήσει πληροφορίες για την έγκριση της συναλλαγής. Από τη στιγμή που οι επιτιθέμενοι λάβουν αυτές τις πληροφορίες μπορούν πλέον να τροποποιήσουν τις τραπεζικές συναλλαγές των χρηστών και να υποκλέψουν τα χρήματά τους.

Η Symantec συνεχίζει να παρακολουθεί το δίκτυο Gameover και να ενημερώνει παρόχους υπηρεσιών Διαδικτύου (ISPs), και τους CERTs σε όλο τον κόσμο. Αυτά τα δεδομένα χρησιμοποιούνται για να βοηθήσουν στον εντοπισμό και στην ενημέρωση των θυμάτων σε μία συνεχή προσπάθεια απομάκρυνσης του botnet.

Cryptolocker:  Ένα αποτελεσματικό εργαλείο εκβιασμού

Το Cryptolocker είναι μία από τις πολυάριθμες απειλές ransomware, οι οποίες επιχειρούν να αποσπάσουν χρήματα από τα θύματα τους, κλειδώνοντας τον υπολογιστή τους ή κρυπτογραφώντας τα αρχεία τους. Το Cryptolocker είναι μία από τις πιο επικίνδυνες παραλλαγές του ransomware, δεδομένου ότι χρησιμοποιεί ισχυρή κρυπτογράφηση που δεν μπορεί να παραβιαστεί.

Η απειλή εμφανίστηκε για πρώτη φορά τον Σεπτέμβριο 2013, και ενώ εξακολουθεί να περιλαμβάνει μόνο ένα μικρό ποσοστό των συνολικών μολύνσεων ransomware, έχει κεντρίσει το δημόσιο ενδιαφέρον, επειδή τα θύματα που δεν έχουν κάνει backup τα αρχεία τους, κινδυνεύουν να τα χάσουν αν δεν πληρώσουν τα λύτρα.

Το Ransomware, συμπεριλαμβανομένου και του Cryptolocker, αποδείχθηκε ότι είναι εξαιρετικά προσοδοφόρο για τους επιτιθέμενους. Οι έρευνες της Symantec δείχνουν ότι κατά μέσο όρο το 3% των μολυσμένων χρηστών θα πληρώσει τα λύτρα. Πιστεύουμε ότι οι διανομείς ransomware έχουν αναμφίβολα κερδίσει δεκάδες εκατομμύρια δολάρια το προηγούμενο έτος.

Τα θύματα συνήθως έχουν προσβληθεί από spam emails, τα οποία χρησιμοποιούν τακτικές ‘social engineering’ για να τους δελεάσουν να ανοίξουν το συνημμένο αρχείο zip.

Προστασία

Η Symantec έχει κυκλοφορήσει ένα νέο εργαλείο που απομακρύνει το στοιχείο του Gameover Zeus. Επισκεφθείτε την σελίδα (http://www.symantec.com/security_response/writeup.jsp?docid=2014-052915-1402-99) για να κατεβάσετε το εργαλείο, που θα σας επιτρέψει να καταργήσετε αυτό το στοιχείο και στη συνέχεια να αφαιρέστε πλήρως το Gameover Zeus.

Πηγή

Symantec CyberWar Games 2014: για να μάθουν οι υπερασπιστές να σκέφτονται σαν hackers

Τα τελευταία χρόνια φαίνεται ότι δεν υπάρχει τίποτα πιο σημαντικό από την αποτελεσματική και ασφαλή λειτουργία του παγκόσμιου χρηματοπιστωτικού συστήματος. Τρισεκατομμύρια δολάρια κινούνται σε όλο τον κόσμο, μέσω ενός συστήματος χρηματοπιστωτικών υπηρεσιών. Οι περισσότεροι καταναλωτές έχουν τις υπηρεσίες αυτές σαν δεδομένες. Θα πληρωθούν, και τα χρήματα θα κατατεθούν άμεσα στον λογαριασμό τους, θα πληρώσουν τους λογαριασμούς τους, χρησιμοποιούν την κάρτα τους στα ΑΤΜ για να πάρουν μετρητά, και θα κάνουν τις αγορές τους από το διαδίκτυο. Θεωρούν ότι χρήματα τους θα πρέπει να είναι ασφαλή και είναι ασφαλή.

 

Τα CyberWar Games 2014 της Symantec έθεσαν σαν στόχο να αποδείξουν το πόσο σωστό είναι αυτό που πιστεύουν οι καταναλωτές. Η εκδήλωση CyberWar Games της Symantec είναι το πνευματικό τέκνο του Samir Kapuria, αντιπρόεδρου της Symantec στην ομάδα Ασφαλείας της Πληροφορίας. Στο “παιχνίδι” της Symantec, οι ομάδες ανταγωνίζονται, και κερδίζουν πόντους δημιουργώντας ή ανακαλύπτοντας exploits. Από αυτή τη διαδικασία, οι δέκα καλύτερες ομάδες θα ταξιδέψουν στο Mountain View την έδρα της Symantec στην Καλιφόρνια για να διαγωνιστούν στον τελικό.

Όχι μόνο Hackers

Πάνω από 1.100 εργαζόμενοι Symantec συμμετείχαν στο διαγωνισμό, όπως προγραμματιστές, λογιστές, νομικοί, προσωπικό από τα τμήματα πωλήσεων καθώς και τεχνικό προσωπικό. Ενώ πολλά διαφορετικά τμήματα δοκιμάσαν την τύχη τους σε αυτό το hacking παιχνίδι, οι περισσότεροι από τους φιναλίστ ήταν τεχνικοί και προγραμματιστές. Ο στόχος ήταν να δημιουργηθούν διατμηματικές ομάδες που κατανοούν τις τρέχουσες επιθέσεις και το τοπίο των απειλών, συμπεριλαμβανομένων των υποκείμενων συστημάτων και των διαδικασιών ενός κλάδου. Οι εργαζόμενοι που μπορούσαν ή που δεν μπορούσαν να καταλάβουν τις τεχνικές διεργασίες γιατί το εργασιακό τους αντικείμενο ήταν διαφορετικό, (δίκτυα ΑΤΜ, επεξεργασία πληρωμών, αγορές κεφαλαίου και συναλλάγματος), όλοι τους είχαν ένα ρόλο στα παιχνίδια της Symantec. Η πρόθεση ήταν να αναπτυχθεί όχι μόνο η άμυνα από τις επιθέσεις εναντίον της τεχνολογίας, αλλά και στις επιχειρηματικές διαδικασίες.

Σχολική εκπαίδευση για την άμυνα

Η πρόθεση των παιχνιδιών, όπως εξήγησε ο Samir, είναι να διδάξει στους υπερασπιστές να σκέφτονται σαν εισβολείς, για να μπορούν να είναι καλύτεροι υπερασπιστές. Η Symantec θέλει να αλλάξει τον τρόπο που σκέφτονται οι υπερασπιστές της άμυνας και με πολλούς τρόπους να επαναπροσδιορίσει το πρόβλημα της άμυνας. Τα παιχνίδια αυτά παρέχουν στη Symantec πολύτιμες πληροφορίες για το πώς μπορεί να δημιουργήσει καλύτερα προϊόντα και υπηρεσίες και πως μπορεί να παρέχει με την σειρά της συμβολές στους προμηθευτές τεχνολογίας και στους πελάτες της σχετικά με τη σκλήρυνση των επιχειρήσεών τους απέναντι στις επιθέσεις.

Η Symantec κατά τη διάρκεια των τριών τελευταίων ετών έχει αναδημιουργήσει πραγματικά σενάρια επιθέσεων κατά της βιομηχανίας, χρησιμοποιώντας πραγματικά συστήματα των πελατών της . Πέρυσι Symantec επικεντρώθηκε στη βιομηχανία πετρελαίου και φυσικού αερίου. Σε αντίθεση με τα καλά-σκηνοθετημένα γεγονότα, τα παιχνίδια πολέμου της Symantec είναι χωρίς σενάρια και οι ομάδες είναι τόσο ελεύθερες όσο και δημιουργικές δεδομένου ότι θα πρέπει να είναι για να κερδίσουν.

Αληθινά Σενάρια

Τα CyberWar Games 2014 της Symantec, δεν παρέχουν προκαθορισμένες λύσεις στα προβλήματα. Οι χορηγοί του παιχνιδιού δίνουν ελάχιστες οδηγίες. Δείχνουν την τράπεζα και λένε “Καλή διασκέδαση.” Οι ομάδες είναι ελεύθερες να επιτεθούν οποιοδήποτε σύστημα της τράπεζας, συστήματα πιστωτικών καρτών, δίκτυα ATM, επιτόκια, ακόμη και στο θησαυροφυλάκιο της τράπεζας ή και τις θυρίδες ασφαλείας σαν μέρος μιας φυσικής επίθεσης. Για παράδειγμα η Symantec έχει πράγματι ένα θησαυροφυλάκιο τράπεζας στο χώρο των παιχνιδιών. Τα κλειδιά των πελατών μπορούν αν αποκτηθούν χρησιμοποιώντας μια επίθεση social engineering και οι φύλακες είναι έτοιμοι να και δωροδοκηθούν για να παρέχουν πρόσβαση.

Τι Σημαίνει όλο αυτό

Το πρόγραμμα της Symantec σίγουρα σκοπεύει να αναδείξει την ηγεσία της σκέψης στην αγορά της ασφάλειας των πληροφοριών. Ένα εντυπωσιακό γεγονός από τεχνική άποψη. Η κλίμακα της εκδήλωσης ήταν εντυπωσιακή και η προσπάθεια της εταιρεία; να στήσει μια ολόκληρη τράπεζα, χρησιμοποιώντας πραγματικά συστήματα ήταν εξίσου σημαντική. Το προσωπικό της Symantec με επιθέσεις social engineering και zero-day σε μια αληθοφανή τράπεζα και σε πολλές περιπτώσεις κατάφερε με ευκολία το στόχο.

Η πρακτική μάθηση από την εκδήλωση θα βοηθήσει σίγουρα τους υπαλλήλους της Symantec να είναι καλύτεροι σε αυτό που κάνουν, αλλά θα βοηθήσει επίσης και τις εταιρείες χρηματοοικονομικών υπηρεσιών να κατανοήσουν τις αδυναμίες τους.

Πηγή

Εκατό χάκερ προς… ενοικίαση, ο φόβος και ο τρόμος των φρουρών IT

symantec-logo

Η Symantec μιλάει για τους Hyper Lynx

Τον χειρότερο εφιάλτη των υπεύθυνων ασφαλείας πληροφοριακών συστημάτων σε κυβερνητικές υπηρεσίες και την βιομηχανία περιγράφει το τμήμα Security Response της Symantec. Υπάρχει μια ομάδα χάκερ που αποτελείται από 50 έως 100 άρτια καταρτισμένους, επίμονους, οργανωτικούς, υπομονετικούς και ευέλικτους ανθρώπους που αναλαμβάνουν να διεισδύσουν και να υποκλέψουν πολύτιμα στοιχεία σε εκείνους που μπορούν να τους αποζημιώσουν για να αποκτήσουν στρατηγικό πλεονέκτημα. Είναι οι Hidden Lynx, λέει η Symantec.

Η δράση τους ξεκινάει τουλάχιστον πριν από τέσσερα χρόνια και μια από τις μεθόδους που διαπιστώνει η Symantec ότι χρησιμοποιούν είναι να στήνουν ενέδρες, μολύνοντας διακομιστές πριν ακόμα παραδοθούν από τους προμηθευτές σε κυβερνητικές υπηρεσίες, την βιομηχανία ή της επιχείρησης που έχουν ως πληρωμένο στόχο. Επιπλέον, χαρακτηρίζονται ως οι πρώτοι που έχουν πρόσβαση στις λεγόμενες ευπάθειες «zero-day».

Η Symantec καταλήγει επίσης στο συμπέρασμα πως, οι Hyper Lynx έχουν σχηματίσει δύο απομακρυσμένες ομάδες και οι στόχοι τους δεν είναι λίγοι. Η εταιρεία αναφέρεται σε χτυπήματα σε «εκατοντάδες οργανισμούς διαφορετικού μεγέθους, σε πολλές διαφορετικές χώρες, ακόμα και την ίδια χρονική περίοδο». Η εταιρεία υποστηρίζει ακόμα πως, η ομάδα έχει έδρα στην Κίνα, περισσότερες από τις μισές επιθέσεις αφορούν στις ΗΠΑ, αν και δεν λείπουν οι στοχευμένες επιθέσεις, σε ποσοστό 9% στην Κίνα.

Στην πρώτη γραμμή του Hidden Lynx, αποκαλύπτει η Symantec, είναι μία ομάδα που χρησιμοποιεί διαθέσιμα εργαλεία μαζί με βασικές αλλά, αποτελεσματικές τεχνικές για να επιτεθούν σε πολλούς διαφορετικούς στόχους. Μπορεί επίσης να δρουν ως συλλέκτες πληροφοριών. Αυτήν την ομάδα την έχουν ονομάσει Moudoor από το όνομα του Trojan που χρησιμοποιούν. Το Moudoor είναι ένα back door Trojan που χρησιμοποιεί η ομάδα ελεύθερα, χωρίς να ανησυχεί ότι θα την ανακαλύψουν οι εταιρείες παροχής ασφαλείας.

Η άλλη ομάδα δρα ως μία ειδική μονάδα λειτουργίας, με στελέχη που χρησιμοποιεί για να εμπλακούν με τους πιο πολύτιμους ή πιο ανθεκτικούς στόχους. Η ομάδα χρησιμοποιεί το Trojan με την ονομασία Naid, και για τον λόγο η Symantec αναφέρεται σε αυτήν ως Ομάδα Naid. Σε αντίθεση με τον Moudoor, το Naid Trojan χρησιμοποιείται με φειδώ, για να αποφευχθεί ο εντοπισμός και η σύλληψη, σαν ένα μυστικό όπλο που χρησιμοποιείται μόνο όταν η αστοχία δεν αποτελεί επιλογή.

Ακόμα, η Symantec δηλώνει πως έχει εντοπίσει τουλάχιστον έξι σημαντικές δραστηριότητες από το Hidden Lynx. Ως πιο αξιοσημείωτη από αυτές αναφέρεται η «VOHO»  τον Ιούνιο του 2012. Αυτό που είχε ιδιαίτερο ενδιαφέρον σε αυτή την επίθεση ήταν η χρήση της τεχνικής επίθεσης watering hole και η παραβίαση της ασφάλειας Bit9.

  • Ως επιθέσεις watering hole, σύμφωνα με την Wikipedia, περιγράφονται οι επιθέσεις που ακολουθούν την πρακτική να μολύνουν δικτυακούς τόπους που γνωρίζουν και εμπιστεύονται οι χρήστες στον στόχο, με την ελπίδα πως κάποιος από αυτούς θα μολυνθεί και θα επιτρέψει στους επιτιθέμενους την πρόσβαση στα συστήματα του στόχου.

Η επίθεση VOHO είχε ως τελικό στόχο τους εργολάβους/συνεργάτες του Υπουργείου Άμυνας των ΗΠΑ, των οποίων τα συστήματα προστατεύονταν από το λογισμικό Bit9, αλλά όταν οι επιτιθέμενοι του Hidden Lynx υπερπήδησαν αυτό το εμπόδιο και ανακάλυψαν ότι ο καλύτερος τρόπος για την εισχώρηση τους στο σύστημα ήταν η παραβίαση του ίδιου συστήματος προστασίας, το οποίο έπειτα υπονόμευαν για δικούς τους σκοπούς. Μετά την παραβίαση, οι επιτιθέμενοι ανακάλυψαν γρήγορα τον τρόπο να εισχωρήσουν στην υποδομή για την πιστοποίηση των αρχείων ως ασφαλή (file signing), η οποία ήταν η βάση προστασίας του Bit9, έκαναν χρήση του συστήματος για να υπογράψουν ηλεκτρονικά έναν αριθμό αρχείων malware, τα οποία στη συνέχεια χρησιμοποιούσαν για να παραβιάσουν τους πραγματικούς στόχους.
Περισσότερες και πιο αναλυτικές πληροφορίες, μπορείτε να βρείτε στο δημοσιευμένο whitepaper που περιγράφει το γκρουπ και τις επιθέσεις που έχουν πραγματοποιήσει (αρχείο pdf).

Πηγή