«Баба Яга против»
В советские времена был выпущен мультик под названием «Баба Яга против», где данный персонаж строил козни против «Олимпиады 80». Для зимней «Олимпиады 2018» в южнокорейском Пхенчхане в качестве Бабы Яги выступила северокорейская группа ScarCruft [1], которая якобы атаковала Международный Олимпийский Комитет, правда, вместе с Азиатским правоохранительным агентством, дубайским рестораном, американским агентством мобильной рекламы и крупным Азиатским трейдером. Группа, которую также называют APT 123 или Reaper, распространила вредоносный Excel-файл, в который был встроен эксплойт неизвестной уязвимости в Adobe Flash Player (в дальнейшем он получил наименование CVE-2018-4878). Если эксплойт срабатывал, то на компьютер жертвы загружался известный инструмент для скрытого удаленного управления ROKRAT, который позволил хакерам группировки управлять компьютером дистанционно. С какой целью была проведена данная операция осталось непонятно, однако известно, что делегация Северной Кореи посетила Олимпийские игры в Пхенчхане.
Мобильные угрозы
Компания Trend Micro проанализировала [2] ситуацию с мобильными угрозами за 2017 г. Наиболее опасной угрозой в ушедшем году компания посчитала троянцев-вымогателей, которые могут блокировать экраны мобильных устройств, могут шифровать файлы, могут просто блокировать загрузку операционной системы. Всего в сети компании (точнее в систему мониторинга MARS) попало 468,8 тыс. образцов подобного ПО, что на 415% больше, чем в 2016 г. При этом подавляющее большинство (424,2 тыс. экземпляров) – это вредонос SLocker, исходные коды которого были за год до этого опубликованы на GitHub. Была зафиксирована даже попытка разработчиков SLocker мимикрировать под WannaCry, хотя работает он на другой операционной системе и не в состоянии использовать эксплойт EternalBlue. Небольшие количество троянцев компания обнаружила в Китае (153,9 тыс. экземпляров), на втором месте Индонезия (63,7 тыс), на третьем – Индия (57,0 тыс). В России компания обнаружила 12,4 тыс. экземпляров мобильных вымогателей – это пятое место. Причем эксперты Trend Micro отмечают, что к концу года среди разработчиков мобильных вредоносов стали популярны криптомайнеры, которые начали распространяться как мобильные троянские программы.
Червь-криптомайнер для Android
Компания 360 Netlab обнаружила червя [3], который распространяется через отладочный протокол Android Debug Bridge (ADB). Он позволяет устанавливать на устройства с операционной системой Android постороннее программное обеспечение через порт 5555. Первичное проникновение на устройство также связано с режимом отладки – через USB-порт зараженного компьютера. Далее устройство начинает постоянно сканировать порт номер 5555 в локальной Wi-Fi-сети и, обнаружив устройство с открытым портом ADB, пытается на него установить свою копию. Под ударом могут оказаться не только смартфоны и планшеты, но и телевизоры Smart TV и телевизионные приставки на базе платформы Android. По данным исследователей, за 24 часа червь смог заразить 5 тыс. устройств. Вредонос явно имеет заимствования кода зомби-сети Mirai, которая доказала возможность своего активного распространения. Зараженное вредоносом устройство начинает майнить криптовалюту Monero.
Медицинская криптовалюта
В госпитале городка Парсонс (штата Теннесси) под названием Decatur County General Hospital обнаружился вредонос [4], который занимался добычей криптовалюты прямо на сервере, обрабатывающем электронные медицинские записи в формате Electronic Medical Record (EMR). Криптомайнер обнаружил производитель EMR-сервера, имя которого не называется. Его специалисты предупредили ИТ-службу госпиталя, что на их сервере установлено стороннее программное обеспечение, которое занимается майнингом криптовалюты. Кто установил вредоносное ПО – неизвестно. Также не совсем понятно, утекли ли персональные и медицинские данные, которые хранились на сервере. Однако эксперты считают, что не утечка данных была целью установки ПО. Инцидент расследуется.
Microsoft готовит блокчейн для идентификации пользователей
Компания Microsoft раскрыла подробности [5] о разработке платформы для децентрализованной идентификации пользователей. Компания уже имеет собственную систему централизованной идентификации под названием Live ID, к которой привязаны пользователи операционной системы Windows. Теперь же компания вступила в альянс ID2020, который занимается разработкой блокчейна для распределенной идентификации с открытым кодом. Сотрудники Microsoft объясняют, что компания планирует использовать это решение для построения системы аутентификации с архитектурой Keyless Signature Infrastructure (KSI), которая должна прийти на смену централизованной системы аутентификации PKI.
[3] https://threatpost.com/new-monero-crypto-mining-botnet-leverages-android-debugging-tool/129777/