вторник, 18 января 2011 г.

Киберпреступники украли 5 млн. рублей у российского банка

Авторы троянского вируса Win32/Sheldor.NAD, который попадает в компьютер вместе с модифицированной версией программы для удаленного управления, получили доступ к счету клиента одного из крупнейших российских банков и похитили около 5 миллионов рублей, рассказали впринимавшие участие в расследовании инцидента представители компаний ESET и Group IB.

Инцидент случился около трех недель назад. Неизвестные хакеры модифицировали один из модулей бесплатной версии программы TeamViewer 5.0, предназначенной для удаленного управления другим компьютером, и распространили ее в Сети. Потенциальной жертвой вирусописателей становился любой, кто устанавливал на своей машине инфицированный TeamViewer.

"Использование программ удаленного администрирования злоумышленниками мы встречаем не впервые, - сказал Александр Матросов, директор центра вирусных исследований и аналитики компании ESET. - В данном случае создатели вируса стремились достичь максимальной схожести с легальным программным продуктом, чтобы оставаться незамеченными".

По данным ESET, за исключением одного модуля все компоненты модифицированной преступниками версии TeamViewer имели цифровую подпись, идентичную легальной версии софта, поэтому большинство антивирусов не обнаруживали зловредный код.

По словам представителей компании Group IB, занимающейся расследованием киберпреступлений, пока неизвестно, была ли это атака, направленная на клиентов только одного банка, или нападение было более масштабным. Пока известно лишь об одном случае хищения денег со счетов российского банка из числа 20 крупнейших.

В Group IB сообщили, что жертвой атаки стало юридическое лицо - небольшая компания, пользовавшаяся услугами системы дистанционного банковского обслуживания. Киберпреступники похитили у нее около 5 миллионов рублей.

Гендиректор Group IB Илья Сачков видит проблему в том, что большинство предприятий среднего и малого бизнеса мало заботятся об информационной безопасности, в то время как создатели вредоносного ПО применяют все более разнообразные и изощренные методы воровства чужой информации. За последние два месяца специалисты Group-IB зафиксировали 30% рост инцидентов, связанных с мошенничеством в системах дистанционного банковского обслуживания.

На данный момент троянец Win32/Sheldor.NAD распознается большинством антивирусных программ.

Русские хакеры подделали Wikileaks

Эксперты исследовательского центра Spamhaus подозревают российских спамеров в захвате сайта wikileaks.org, основного портала Джулиана Ассанжа, на котором публиковались конфиденциальные материалы Пентагона и дипломатическая переписка американских посольств с официальным Вашингтоном.

В начале недели в Spamhaus заметили, что трафик wikileaks.org перенаправляется на зеркальный сайт wikileaks.info, а этот портал расположен на IP-адресе 92.241.160.0/19 на площадке провайдера Webalta.

По данным Spamhaus, провайдер связан с «российскими киберпреступниками», а сам IP-адрес находится в стоп-листе Spamhaus с октября 2008 года.

В свою очередь, эксперты знают Webalta и под другим брендом – Wahome.

„Это известный провайдер, с чьих IP-адресов распространяются вирусы, создаются зомби-сети и осуществляется иная нелегальная деятельность“, – утверждают в Spamhaus.

Зеркало Wikileaks по адресу российского хостинг-провайдера, по данным экспертов, может быть опасным: „Архив документов Wikileaks, размещенный на этом сайте, может быть заражен червями“.

„Сейчас портал Wikileaks.org перенаправляет посетителей на wikileaks.info, размещенный у Webalta. Возникает значительный риск широкого распространения вирусов“, – предупреждают кибераналитики, добавляя, что контент портала wikileaks.info не полностью совпадает с содержанием официальных „зеркалок“ сайта Джулиана Ассанжа – wikileaks.ch, wikileaks.is, wikileaks.nl.

Представитель Wikileaks.info опровергает подозрения экспертов. „Это ложь, они просто высказали свое мнение“, – говорится в заявлении администрации портала.

В компанию Spamhaus стали приходить письма с угрозами: „Вы будете следующими“. Анонимные недоброжелатели называют аналитиков «лапой американского правительства» и обвиняют в давлении на Wikileaks.

ОЭСР: Риск кибервойны сильно преувеличен

Организация экономического сотрудничества и развития (ОЭСР) предупредила, что пандемии и финансовые потрясения могут создать человечеству больше неприятностей, чем нарушение деятельности компьютерных сетей.

По мнению этой международной организации, электронные нападения хакеров или даже целых государств не заслуживают угрожающего названия "кибервойна" и могут быть, скорее всего, лишь локальными и непродолжительными.

"Не следует преувеличивать опасность, которую представляют для национальных инфраструктур компьютерные вирусы или мошенничество посредством интернета, - сказал один из авторов доклада ОЭСР, профессор Питер Соммер. - Мы создаем путаницу, когда называем "кибервойной" высокотехнологичный шпионаж или блокирование хакеров-активистами каких-то сайтов, как это было недавно после публикаций Wikileaks".

По словам другого участника исследования, Йена Брауна из Оксфордского института интернета, большое значение могут иметь действия правительств. "Определенно, есть вероятность, что правительства будут использовать кибератаки как часть военной стратегии, однако, по нашему мнению, в целом маловероятно, что террористические организации, хакеры и преступные группировки будут иметь столь уж большое значение", – поясняет Браун.

По мнению исследователей, наибольший вред может нанести организованная кибератака или же кибератака вкупе с происшествием другого рода – например, национальной катастрофой. Соединенные Штаты, НАТО и Великобритания уже сделали информационную безопасность одним из аспектов национальной обороны. Однако Соммер подчеркивает, что здесь им не стоит придерживаться привычного подхода: "На самом деле для решения большинства проблем требуются не военные методы, а сотрудничество между правительством и частным сектором".

В заключение специалисты ОЭСР отмечают, что настоящая кибервойна, в которой будут использоваться только компьютеры, маловероятна.

Специалисты ESET и Group-IB обнаружили новую угрозу для систем ДБО

Специалисты ESET и Group-IB обнаружили новую угрозу для систем ДБО
Москва, 17 января 2011 г. Компания ESET, международный разработчик антивирусного ПО и решений в области компьютерной безопасности, сообщает о том, что специалисты Центра вирусных исследований и аналитики ESET обнаружили новую угрозу – Win32/Sheldor.NAD, которая является модификацией популярной программы для удаленного администрирования компьютера – TeamViewer.
Данные сведения были получены сотрудниками Центра при проведении экспертизы в рамках расследования компанией Group-IB инцидента, связанного с мошенничеством в системах дистанционного банковского обслуживания (ДБО).
Только за последние два месяца специалисты компании Group-IB зафиксировали 30% рост инцидентов, связанных с мошенничеством в системах ДБО. «Распространенными причинами подобных инцидентов является слабая политика информационной безопасности в малом и среднем бизнесе, – комментирует Илья Сачков, генеральный директор компании Group IB. – Также тенденция последних инцидентов в этой сфере показывает рост профессионализма злоумышленников при разработке вредоносного ПО. Поэтому постоянный анализ новых видов мошеннических программ является залогом успешных расследований преступлений в системах ДБО».
В процессе расследования инцидента, произошедшего в одном из российских банков, была выявлена вредоносная программа Win32/Sheldor.NAD (по классификации ESET), которая представляет собой модифицированную версию программного обеспечения для удаленного администрирования компьютера - TeamViewer 5.0. При этом был модифицирован один из модулей легальной программы, который используется в процессе сетевого взаимодействия с серверами TeamViewer. Модификация позволяла отправлять аутентификационные данные актуального сеанса TeamViewer на сервер злоумышленников, у которых появлялась возможность в любой момент получить доступ к активной сессии пользователя на зараженном ПК. Это означает, что мошенники имели не только доступ к конфиденциальным данным пользователя, но и могли выполнять ряд действий на инфицированном компьютере, в том числе осуществлять транзакции в системах ДБО, что вело к финансовым потерям пользователя.
Так как большинство компонентов модифицированной версии TeamViewer имели легальную цифровую подпись и являлись легальными компонентами, за исключением одного модуля, количество антивирусных продуктов, зафиксировавших угрозу на момент ее обнаружения, было мало. Стоит также отметить, что модифицированная версия TeamViewer устанавливалась в систему пользователя при помощи специально разработанной троянской программы-инсталлятора, которая создавала все необходимые ключи реестра для работы Win32/Sheldor.NAD: копировала компоненты TeamViewer в системную папку %WINDIR% и добавляла в автозапуск.
«Использование легальных программ удаленного администрирования для различного рода действий злоумышленников мы встречаем уже далеко не первый раз, – отмечает Александр Матросов, директор Центра вирусных исследований и аналитики компании ESET. – Однако в данном инциденте речь идет о модификации функционала популярной программы TeamViewer, что говорит о том, что злоумышленники явно преследовали цель максимальной схожести с легальным ПО. Это и позволило им оставаться незамеченными для большинства антивирусных решений».
Антивирусные решения ESET NOD32 надежно защищают пользователей от вредоносной программы Win32/Sheldor.NAD. Благодаря технологии раннего обнаружения ThreatSense.Net продукты ESET предотвращают заражение компьютера от новых версий данного злонамеренного ПО.

Softkey сообщает о запуске сервиса подписок на продукты «Лаборатории Касперского»

Интернет-супермаркет ПО Softkey предлагает интернет-провайдерам организовать подписку частных лиц на KSS - Kaspersky Subscription Services. Таким образом, пользователи могут включить стоимость услуг по защите своих компьютеров от вирусов и интернет-угроз в ежемесячный счет за интернет.

Первыми в наступившем году возможность подписаться на KSS получили клиенты провайдера «Сулин Телеком». Особенностью сервиса является постоянная защита компьютера пользователя. Сегодня клиенты также могут выбрать среди продуктов разработчика: Kaspersky Internet Security 2011, Kaspersky Cristal и «Антивирус Касперского 2011».

Абонент может подписаться на услугу из своего «Личного кабинета» на сайте провайдера. Для этого достаточно кликнуть кнопку с логотипом разработчика ПО. Перейдя по предложенной ссылке, пользователь может скачать дистрибутив к любой из программ. Код активации он получает при регистрации сервиса. Стоимость подписки в течение суток составляет 2 рубля 30 копеек. При условии положительного баланса сумма с личного счета клиента списывается автоматически. Услугу легко приостановить на необходимое время.

- Нужно отметить, что данный сервис - очень востребованная услуга на рынке. Возможность выбора, удобство, полная автоматизация - все эти преимущества соответствуют последним трендам. И я уверен, что многие интернет-провайдеры в ближайшей перспективе оценят потенциальные возможности проекта KSS, присоединившись к нашей партнерской программе, - сказал Феликс Мучник, генеральный директор компании Softkey.

- Мы рады, что включены в программу проекта KSS через компанию Softkey. Ради своих клиентов мы внедряем наиболее эффективные и качественные продукты и удобные сервисы. Благодаря новому сервису подписка на продукты «Лаборатории Касперского» с помесячной оплатой, наши абоненты смогут приобрести один из самых надежных антивирусных продуктов на Российском рынке, - отметила Елена Иванова, директор компании «Сулин Телеком».

Комплексные возможности по созданию образа диска и бэкапу

Компания Новософт, один из ведущих разработчиков программных решений для резервного копирования и восстановления данных, объявила о выходе Handy Backup 6.9.1. Новая версия известной программы для бэкапа данных предоставляет широкие возможности по резервному копированию Window 7 и созданию образа диска.

Новософт, международная компания, специализирующаяся в области разработки программного обеспечения и IT консалтинга, объявила о выходе новой версии Handy Backup, популярной программы для резервного копирования и восстановления данных. Новая версия имеет широкие возможности по созданию образа диска и аварийному восстановлению утерянных данных.

"Когда стараешься быть на передовом крае разработки программного обеспечения, случается обнаружить, что участвуешь в довольно хитром соревновании. С одной стороны, соперничаешь с бизнес конкурентами, поставляющими на рынок решения, которые могут превосходить твой продукт по ряду аспектов. Поэтому надо иметь в виду абсолютно все, что происходит в индустрии. С другой стороны, один из твоих главных соперников – это ты сам: за новыми цифрами в названии продукта должны обязательно стоять качественные нововведения; каждая новая версия должна бросать вызов всем предшествовавшим", рассказал Александр Причалов, глава новософтовского отдела разработок.

"Handy Backup 6.9.1 в своей нише превосходит все наши предыдущие бэкап решения. Не поймите меня неправильно, предыдущие версии были самого высокого качества, и я искренне надеюсь, что доверие пользователей, которое они заработали, было заслужено справедливо. Однако новая версия не только поднимает старые возможности на новый уровень, но и предлагает весьма привлекательный новый функционал", добавил господин Причалов.

Особенности новой версии Handy Backup: широкий спектр возможностей по созданию образов диска, удобному резервному копированию Windows 7 (начиная с мельчайших аспектов удобства, например, отображения суммарного прогресса всех выполняемых задач бэкапа на панели задач), комплексному бэкапу сетевых ресурсов и многое другое.

В Handy Backup 6.9.1 интегрировано решение Handy Backup Disaster Recovery. За счет этого программа позволяет создавать загрузочный диск аварийного восстановления, вне зависимости от основной операционной системы. Помимо этого, в программу включен ряд бесплатных Open Source приложений: антивирус Clam Antivirus, утилита для восстановления файлов PhotoRec и редактор разделов жёсткого диска Gparted.

Microsoft подвела итоги деятельности в России

Рост бизнеса Microsoft в России за последний год составил около 20%. Выручка, по данным аналитиков, превысила $1 млрд. Таким образом, доля рынка компании в России приблизилась к 50%.

Глава российского офиса Microsoft Николай Прянишников озвучил итоги года работы корпорации в России. Цифры по объему и динамике выручки он не назвал, но заявил, что, по оценке большинства партнеров, бизнес, связанный с продуктами и технологиями Microsoft, в среднем вырос на 20%. При этом по оценкам IDC, которые также озвучил Прянишников, российский рынок ПО в целом вырос на 15%, а мировой – на 4%.

Как считают аналитики «Финам», в 2010 финансовом году выручка российского подразделения Microsoft составила $1,2-1,3 млрд. При этом по данным IDC объем всего рынка ПО в России в 2010 г. - $2,33 млрд. Долю выручки Microsoft в России от деятельности, не связанной с разработкой ПО (реализации приставок, платных онлайн-сервисов), в компании оценивают чуть выше 15%. Таким образом, можно говорить о том, что доля Microsoft на российском рынке ПО приближается к половине от общего дохода этой индустрии в стране.

По словам главы представительства Microsoft, главными причинами, по которым динамика бизнеса компании в России лучше, чем у рынка в целом, стали «бурный рост в регионах» и увеличение выручки от предоставления ИТ-услуг.

По данным Прянишникова, в России к сегодняшнему дню было продано 10 млн лицензий Windows 7. В конце сентября 2010 г. Microsoft заявляла о том, что реализовано около 4,8 млн копий. Таким образом, можно сделать вывод о том, что за последний квартал 2010 г. было продано больше лицензий на эту ОС, чем за целый год с момента ее выпуска.

Структура продаж в России не сильно отличается от общемировой, заявили в компании. Как видно из годового отчета корпорации, около 30% доходов приходится на долю Windows и Windows Live, еще 30% - на долю офисных приложений (Office, SharePoint Server, Exchange Server, Lync, Project, Visio), а также бизнес-приложений Dynamics. Чуть меньше 25% корпорация зарабатывает на продаже серверных решений и средств разработки, соответственно на остальные продукты – игровые приставки, онлайн сервисы и др. остается как раз чуть более 15%.

База данных кредитной сети Пентагона попала в руки хакеров

Неизвестные злоумышленники получили доступ к базе данных кредитной сети Пентагона Pentagon Federal Credit Union (PenFed). Об этом заявил сотрудник "Лаборатории Касперского" Пол Робертс.

По словам Робертса, взлом произошел из-за зараженного вирусом персонального компьютера, который был подключен к сети Пентагона. Во взломанной базе находились личные данные и финансовые отчетности по военнослужащим армии США, а также их родственникам. Данные включали в себя имена, адреса, номера социального страхования и кредитных карт.

Утечка произошла 12 декабря 2010 года, однако оценка нанесенного ущерба продолжается до сих пор. На сегодняшний день известно, что в руки хакеров попали данные по более чем 500 военнослужащим из штата Нью-Хэмпшир. PenFed уже перевыпустила кредитные и дебетовые карты для военнослужащих, попавших в зону риска.

По данным Пентагона, несанкционированных попыток доступа к личным счетам пока не совершалось. Однако на сайте PenFed размещено предупреждение о мошеннике по имени Дик Беннет, который обзванивает военнослужащих с целью выяснить их личные данные, представляясь сотрудником PenFed.

Кредитная сеть Pen Fed обслуживает более 100 тысяч военнослужащих разных родов войск, а также ветеранов из общества Veterans of Foreign War.

New York Times: за червем Stuxnet стоят разведки США и Израиля

Газета New York Times со ссылкой на свои источники сообщает, что за нашумевшим вредоносным кодом Stuxnet, стоял, скорее всего, Израиль. В опубликованной сегодня статье говорится, что Израиль тестировал указанный компьютерный червь и именно отсюда он начал распространяться по миру, поразив в первую очередь иранские атомные станции, для которых он, собственно, и создавался.

Издание сообщает, что задача Stuxnet заключалась в саботаже иранских ядерных станций и в замедлении развития ядерной программы. Также в статье замечается, что частично в создании и тестировании Stuxnet принимали участие и США, где тоже выражают активное недовольство ядерной программой страны. Кроме того, отмечается, что активная фаза распространения Stuxnet началась в прошлом году, но разработки червя начались около двух лет назад.

New York Times сообщает, что перед тем, как выпустить Stuxnet в свободное плавание, Израиль тестировал созданные коды на базе охраняемой собственной зоны Димоны в пустыне Негев на востоке Израиля. Подобные сведения издание получило от анонимного источника в разведке США, а также от нескольких военных аналитиков, знакомых с ситуацией. "Для проверки червя, вам нужно знать, как работают машины. Причина, по которой он стал так эффективен - это предварительное широкое тестирование", - говорит один из американских источников.

Изменение в продукте Dr.Web для Windows

Компания «Доктор Веб» сообщает об изменениях в линейке Windows-продуктов Dr.Web для домашних пользователей. Теперь дистрибутивов персональных продуктов Dr.Web для Windows — два, и каждый из них включает брандмауэр, который может быть активирован по желанию пользователей (при условии, что этот компонент доступен в ключевом файле). Вместе с тем в продукты включен новый компонент — плагин Dr.Web для MS Outlook.
Изменения в продуктовой линейке позволяют упростить для пользователей выбор необходимого уровня защиты.
Dr.Web для MS Outlook, уже доступный в программном комплексе Dr.Web Enterprise Suite 6.0, повышает уровень безопасности работы с почтой. Он обеспечивает антивирусную и антиспам-проверку вложенных файлов почтовых сообщений, а также проверяет корреспонденцию, поступающую по зашифрованному соединению SSL.
Теперь сообщения, пришедшие с использованием зашифрованных протоколов, включая MAPI, предназначенный для обмена данными между почтовым сервером MS Exchange и почтовым клиентом MS Outlook, анализируются Dr.Web еще до того, как вредоносное вложение может проявить себя в системе.
Включение Dr.Web для MS Outlook, настройка параметров и сбор статистики осуществляются в почтовом приложении Microsoft Outlook, на вкладке Антивирус Dr.Web. К обнаруженным вредоносным объектам в зависимости от настроек применяется лечение, удаление или перемещение в карантин.
Чтобы изменения вступили в силу, пользователям персональных продуктов Dr.Web 6.0 для Windows необходимо скачать обновленные дистрибутивы Dr.Web Security Space или Антивируса Dr.Web.