Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Załoga "TeamSpy" atakuje - TeamViewer wykorzystywany do cyberszpiegostwa

GReAT
Dodany 24 kwietnia 2013, 15:35 CEST
Tagi:

Dnia 20 marca 2013 r. laboratorium CrySyS Lab, wraz z węgierskim Urzędem Bezpieczeństwa Narodowego (NBF), opublikowałodoniesienia o ataku ukierunkowanym na wysokiej rangi cele na Węgrzech. Szczegóły dotyczące dokładnych celów ataków nie są znane, a sam incydent pozostaje tajny. Biorąc pod uwagę konsekwencje takiego ataku, Globalny Zespół ds. Badań i Analiz z Kaspersky Lab (GReAT) przeprowadził techniczną analizę trwającej kampanii i związanych z nią próbek złośliwego oprogramowania. Krótki FAQ dotyczący ataku na węgierskie cele znajduje się poniżej. Na końcu tego artykułu znajduje się również odnośnik do pełnego raportu z naszej analizy (raport dostępny jest w języku angielskim).

Czym jest ta kampania?

„TeamSpy” to operacja cyberszpiegowska skierowana na wysokiej rangi cele obejmujące działaczy politycznych i obrońców praw człowieka z krajów Wspólnoty Niepodległych Państw i narodów Europy...


Południowokoreański "Whois Team" atakuje

GReAT
Dodany 24 kwietnia 2013, 15:11 CEST
Tagi:

W dniu dzisiejszym w mediach pojawiły się doniesienia o sporej liczbie cyberataków na różne cele w Korei Południowej.

Napastnicy, tytułujący się jako „Whois Team”, podczas podmian stron internetowych pozostawili różne wiadomości: 

Kod używany do podmiany stron, zamieszczony przez anonimowego użytkownika na forum „pygments.org” (zobacz http://pygments.org/demo/68313/), wskazuje na kilka adresów e-mail używanych przez napastników:

arrFadeTitles[0] = "APTM4st3r@whois.com";
arrFadeTitles[1] = "dbM4st3r@whois.com";
arrFadeTitles[2] = "d3sign3r@whois.com";
arrFadeTitles[3] = "vacc1nm45t3r@whois.com";
arrFadeTitles[4] = "r3cycl3r@whois.com";
arrFadeTitles[5] = "s3ll3r@whois.com";

Zrzuty ekranu z komputerów ofiar pokazują, że wykorzystane zostało również złośliwe oprogramowanie typu „Wiper”. Pisaliśmy już wcześniej o dwóch innych szkodnikach typu „Wiper”: irańskim Wiperze i Shamoonie.

Tak więc, czy...


Kraker Gaussa autorstwa Hashcata

GReAT
Dodany 4 stycznia 2013, 10:39 CET
Tagi:

2012 rok obfitował w poważne incydenty naruszenia bezpieczeństwa. Wymienić tu można takie szkodniki jak Flame, Shamoon, Flashback, Wiper czy Gauss. Niestety wiele tajemnic pozostało niewyjaśnionych również w nowym roku. Być może najbardziej interesujące z nich dotyczą trojana o nazwie Gauss i obejmują czcionkę Palida Narrow oraz nieznaną zaszyfrowaną szkodliwą funkcję.

Jakiś czas temu opublikowaliśmy posta na blogu dotyczącego zaszyfrowanej funkcji szkodliwej w nadziei, że społeczność kryptograficzna podejmie wyzwanie i złamie schemat szyfrowania, odkrywając tym samym prawdziwy cel tajemniczego szkodliwego oprogramowania.

Niedawno Jens ‘atom’ Steube, który najbardziej znany jest ze stworzenia „(ocl)hashcat” – narzędzia do odzyskiwania haseł – wypuścił swojego krakera Gaussa w postaci oprogramowania otwartego źródła z licencją GPL. To duży przełom w wysiłkach mających na celu rozwiązanie...


Atak ukierunkowany przeciwko syryjskiemu Ministerstwu Spraw Zagranicznych

GReAT
Dodany 3 grudnia 2012, 13:07 CET
Tagi:

Kilka dni temu, dokumenty, które wyciekły z syryjskiego Ministerstwa Spraw Zagranicznych zostały opublikowane na portalu o nazwie „Par:AnoIA”, nowej witrynie w stylu Wikileaks, zarządzanej przez społeczność Anonymous.

Jeden z użytkowników naszych produktów powiadomił nas o podejrzanym dokumencie w archiwum zrzuconych na portalu danych. Plik zawiera szkodliwy kod, który jest wykrywany przez silnik antywirusowy naszych produktów jako „Exploit.JS.Pdfka.ffw”. Użytkownik był też na tyle uprzejmy, aby przesłać nam kopię e-maila do analizy. Sprawdziliśmy przesłaną wiadomość e-mail. Zawierała plik PDF z exploitem CVE-2010-0188 (zobacz: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0188) i reprezentowała typowy atak spear-phishingowy:

Jeśli wierzyć nagłówkom SMTP, wiadomość e-mail została wysłana z adresu IP 123.140.57.166, który jest adresem proxy w Seulu (Korea).

Szczegóły techniczne -...


Narilam: "nowe", niszczycielskie, szkodliwe oprogramowanie wykorzystywane na Bliskim Wschodzie

GReAT
Dodany 27 listopada 2012, 10:25 CET
Tagi:

Kilka dni temu nasi koledzy z firmy Symantec opublikowali analizę nowego, szkodliwego, destrukcyjnego programu wykrytego na Bliskim Wschodzie. Szkodnik ten, nazwany „Narilam”, wydaje się być zaprojektowany do niszczenia baz danych określonych aplikacji. Nazewnictwo struktury baz danych wskazuje, że cele tego szkodnika prawdopodobnie są zlokalizowane w Iranie.

Zidentyfikowaliśmy kilka próbek związanych z tym zagrożeniem. Wszystkie z nich to pliki wykonywalne Windows PE (rozmiar ok. 1,5 MB) skompilowane z użyciem C++ Builder firmy Borland. Jeśli ufać nagłówkom kompilacji, wygląda na to, że projekt został utworzony na przestrzeni 2009 – 2010 r., co oznacza, że zagrożenie jest „na wolności” już przez dłuższy czas:

Najstarsza znana próbka posiada znacznik czasowy „Thu Sep 03 19:21:05 2009” (czwartek, 3 września 2009 r., godz. 19:21:05).

Zgodnie z danymi z Kaspersky Security Network, w tej chwili istnieje...


miniFlame zwany SPE: "Elvis i jego przyjaciele"

GReAT
Dodany 15 października 2012, 14:28 CEST
Tagi:

W maju 2012 r. śledztwo prowadzone przez firmę Kaspersky Lab doprowadziło do wykrycia nowego, sponsorowanego przez rząd, cyberszpiegowskiego oprogramowania zwanego „Flame”. Nasze badania zidentyfikowały również cechy odróżniające od siebie poszczególne moduły Flame'a. Rozważając te funkcje modułowe wykryliśmy, że pierwszy wariant robaka Stuxnet w 2009 r. zawierał moduł, który został stworzony w oparciu o platformę Flame. Potwierdziło to, że istniała jakaś forma współpracy między grupami, które rozwinęły projekt Flame i platformę Tilded (Stuxnet / Duqu).

Bardziej szczegółowe badania, przeprowadzone w czerwcu 2012 r., zaowocowały wykryciem kolejnego, sponsorowanego przez rząd i dotychczas nieznanego, szkodliwego oprogramowania, któremu nadaliśmy nazwę "Gauss". Gauss używał konstrukcji modułowej, przypominającej tę znaną z Flame'a, był podobnie kodowany, korzystał z podobnego do Flame'a systemu...


Używanie internetu do łapania "tradycyjnych" przestępców

GReAT
Dodany 12 października 2012, 10:12 CEST
Tagi:

To może się przydarzyć każdemu... i kiedy się przydarzy, zbiera żniwo ze wszystkich – ofiary i jej bliskich – kompletnie nieprzygotowanych. Mówię tutaj o porwaniu.

Dwa razy w życiu byłem zaangażowany w pomoc policji w wytropieniu i aresztowaniu bandy porywaczy. Pierwszy przypadek nie dotyczył bezpośrednio mnie, ani mojej rodziny, ale za drugim razem został porwany mój bliski przyjaciel. I okazało się, że nasze doświadczenie, polegające na zwalczaniu cyberprzestępczości, może być również przydatne do łapania "tradycyjnych" przestępców, którzy niewiele mają wspólnego z cyfrową ścieżką bezprawia. Internet nie stanowi już jedynie narzędzia cyberprzestępczego – coraz częściej jest wykorzystywany przez porywaczy do nawiązania kontaktu z rodzinami ofiar w celu wymuszenia okupu. Kiedy tak się dzieje, nasza praca może mieć istotne znaczenie: dowody zebrane w internecie, jak również błędy popełniane...