Коронавирус, геотрекинги и распространение вредоносного ПО ( 2 фото )
- 08.04.2020
- 4 055
Вспышка коронавируса сегодня уже охватывает большинство районов Европы и Северной Америки. В период глобального кризиса бесспорно будет создан ряд высокотехнологичных решений, которые помогут человечеству бороться с этим вирусом. Но пока весь мир заходит в тупик, поскольку правительства многих стран, иногда применяя силу, заставляют людей оставаться дома в самоизоляции. Однако социальное дистанцирование вряд ли возможно, поскольку большинство людей имеют доступ к передовым технологиям.
Онлайн-стриминговые платформы предоставляют развлечения сотням миллионов людей, огромное количество людей начали удаленно работать или проходить обучение в школах, колледжах или университетах, а использование медицинских приложений резко возросло, поскольку миллионы уже лечатся с помощью приложений для телемедицины
Однако использование некоторых технологий способно вызвать многочисленные проблемы конфиденциальности. Например, Израиль решил использовать тайно собранные данные с сотовых телефонов, обычно предназначенные для борьбы с терроризмом. Эта информация стала использоваться для выявления тех людей, которые пересекались с носителями Covid-19. Сочетание геотрекинга и технологий искусственного интеллекта позволило израильскому правительству идентифицировать людей, которые должны быть помещены на карантин из-за их возможного заражения коронавирусом. Иран запустил приложение, которое якобы диагностирует наличие Covid-19. Тем не менее, большая часть из того, что оно делает, - это собирает данные о местоположении миллионов людей, по сути, выступая для правительства в качестве бэкдора, позволяющего отслеживать местоположение своих граждан в режиме реального времени.
Коронавирус – это очень заразное заболевание, которое, скорее всего, потребует проверки миллиардов людей в течение всего 2020 года. Отдавая образец мазка в больницы, пациенты также предоставляют им свои данные, такие как ДНК. Хотя нет никаких сомнений в том, что правительства всех стран мира хотели бы лучшего для своих граждан, но важно также отметить, что в прошлом были случаи взлома правительственных баз данных. Всего несколько месяцев назад Министерство юстиции США выдвинуло обвинения против китайских хакеров за взлом Equifax. Важно понимать, что большинство американцев совершенно не обрадовались бы тому, если бы их конфиденциальные данные ДНК, собранные с помощью тестирования на Covid-19, оказались в руках иностранных государств, таких как Китай и Иран.
Недавно Google запустила сайт скрининга Covid-19. Новый ресурс, разработанный компанией Alphabet, называется Project Baseline и предназначен для показа Covid-19. Сайт обслуживает только потенциальных носителей коронавируса, расположенных в округах Санта-Клара и Сан-Матео в штате Калифорния (США). Через несколько дней после запуска сенаторы обратились к Генеральному директору Alphabet Сундару Пичаи и Вице-президенту США Майку Пенсу, выразив озабоченность по поводу того, как компания планирует защитить все конфиденциальные данные, которыми американцы будут делиться на новом веб-сайте.
Нет никаких сомнений в том, что государственные учреждения созданы для того, чтобы обслуживать своих граждан. Однако эти учреждения управляются людьми, которые зачастую совершают ошибки, способные раскрывать личную информацию хакерам, которые не должны иметь к ней доступа. Правительства, безусловно, должны позаботиться о том, чтобы разработанные ими инструменты борьбы с терроризмом, такие как системы отслеживания местоположения, используемые в Израиле, оставались только в надежных руках. Что касается обычных людей, то все люди, которые хотят обезопасить свою цифровую жизнь, должны убедиться, что все подключенные устройства защищены надежной антивирусной программой.
Еще одна тема, связанная с нынешней пандемией коронавируса Covid-19. Чтобы попытаться остановить распространение вируса, многие компании по всему миру перевели своих сотрудников в режим удаленной работы. Это обстоятельство значительно расширило поверхность атаки, что влечет за собой большую проблему в плане информационной безопасности, поскольку теперь им необходимо установить жесткие правила и предпринимать ряд мер для обеспечения непрерывности работы предприятия и его ИТ-систем.
Однако расширенная поверхность атак – это не единственный из рисков, возникших в последние несколько дней: многие кибер-преступники активно используют эту глобальную неопределенность для проведения фишинговых кампаний, распространения вредоносных программ и создания угрозы информационной безопасности для многих компаний.
В конце прошлой недели была обнаружена группа постоянных угроз повышенной сложности (Advanced Persistent Threat , APT), получившая название Vicious Panda, которая проводила кампании по целевому фишингу (spear-фишинг), используя пандемию коронавируса для распространения своего вредоносного ПО. В электронном письме получателю сообщалось, что оно содержит информацию о коронавирусе, но на самом деле в письме было два вредоносных файла RTF (формат Rich Text). Если жертва открывала эти файлы, то запускался троян удаленного доступа (Remote Access Trojan, RAT), который помимо прочего способен делать скриншоты, создавать списки файлов и каталогов на компьютере жертвы, а также загружать файлы.
До сих пор эта кампания была направлена против государственного сектора Монголии, и, по мнению ряда западных экспертов, она представляет собой самую «свежую» атаку в продолжающейся китайской операции против различных правительств и организаций по всему миру. На этот раз особенностью кампании является то, что она использует новую мировую ситуацию с коронавирусом для более активного заражения своих потенциальных жертв.
Фишинговое письмо выглядит так, словно оно было отправлено из Министерства иностранных дел Монголии, и в нем утверждается, что оно содержит информацию о количестве людей, зараженных вирусом. Чтобы «вооружить» этот файл, злоумышленники использовали RoyalRoad – популярный инструмент среди китайских создателей угроз, который позволяет им создавать пользовательские документы со встроенными объектами, способные использовать уязвимости в Редакторе уравнений, интегрированном в MS Word для создания сложных уравнений.
Как только жертва открывает вредоносные файлы RTF, в Microsoft Word используется уязвимость для загрузки вредоносного файла (intel.wll) в папку автозагрузки Word (%APPDATA%MicrosoftWordSTARTUP). С помощью этого метода угроза не только приобретает устойчивость, но и предотвращается детонация всей цепочки заражения при ее запуске в песочнице, поскольку для полного запуска вредоносного ПО требуется перезапустить Word. Затем файл intel.wll загружает DLL-файл, который используется для загрузки вредоносного ПО и для связи с сервером управления хакера. Работа сервера управления осуществляется в течение строго ограниченного периода времени каждый день, что затрудняет анализ и доступ к наиболее сложным частям цепочки заражения.
Несмотря на это, исследователи смогли установить, что на первом этапе этой цепочки сразу после получения соответствующей команды загружается и расшифровывается RAT, а также загружается DLL, которая загружается в память. Архитектура, похожая на плагин, предполагает, что в дополнение к полезной нагрузке, замеченной в этой кампании, есть и другие модули.
Эта вредоносная кампания имеет множество способов обмана, позволяющих проникнуть в системы своих жертв и после этого поставить под угрозу их информационную безопасность. Чтобы защититься от таких кампаний, важно предпринимать целый ряд мер.
Первая из них чрезвычайно важна: при получении электронных писем важно быть очень осторожным и внимательным. Электронная почта является одним из основных векторов атаки, но при этом без почты не может обойтись почти ни одна компания. Если вы получили письмо от неизвестного отправителя, то лучше не открывайте его, а если все же открыли его, то не открывайте никаких вложений и не нажимайте на какие-либо ссылки.
Чтобы поставить под угрозу информационную безопасность своих жертв, эта атака использует уязвимость в Word. На самом деле, незакрытые уязвимости являются причиной успешности многих кибер-атак, а также наряду с другими проблемами безопасности они могут привести к крупным нарушениям данных. Вот почему так важно как можно скорее применять соответствующий патч для закрытия уязвимости.
Чтобы устранить эти проблемы, компания Panda Security предлагает компаниям решение, специально разработанное для идентификации, управления и установки патчей. Модуль Panda Patch Management автоматически ищет патчи, необходимые для обеспечения безопасности компьютеров в вашей компании, расставляя приоритеты среди наиболее срочных обновлений и планируя их установку. Информация о патчах, требующих установки, сообщается администратору даже при обнаружении эксплойтов и вредоносных программ.
Модуль Panda Patch Management способен сразу же запускать установку требуемых патчей и обновлений, либо же их установку можно запланировать из веб-консоли централизованного управления, при необходимости изолировав непропатченные компьютеры. Таким образом, вы можете управлять патчами и обновлениями, чтобы обеспечить бесперебойную работу вашей компании. И вы получите завершенную систему защиты, способную защитить ваши активы.
К сожалению, рассматриваемая кибер-атака будет точно не последней из числа тех, которые воспользуется нынешней глобальной ситуацией с коронавирусом, чтобы поставить под угрозу информационную безопасность предприятий. Защитите свою организацию, приняв меры предосторожности и используя самые передовые решения в области информационной безопасности.
Стоит отметить, что решения компании Panda Security прошли сертификацию в Государственной службе специальной связи и защиты информации Украины (ДСТСЗИ) и получили сертификат соответствия, что стало логическим подтверждением надежности и качества решений Panda в обеспечении информационной безопасности.
Онлайн-стриминговые платформы предоставляют развлечения сотням миллионов людей, огромное количество людей начали удаленно работать или проходить обучение в школах, колледжах или университетах, а использование медицинских приложений резко возросло, поскольку миллионы уже лечатся с помощью приложений для телемедицины
Однако использование некоторых технологий способно вызвать многочисленные проблемы конфиденциальности. Например, Израиль решил использовать тайно собранные данные с сотовых телефонов, обычно предназначенные для борьбы с терроризмом. Эта информация стала использоваться для выявления тех людей, которые пересекались с носителями Covid-19. Сочетание геотрекинга и технологий искусственного интеллекта позволило израильскому правительству идентифицировать людей, которые должны быть помещены на карантин из-за их возможного заражения коронавирусом. Иран запустил приложение, которое якобы диагностирует наличие Covid-19. Тем не менее, большая часть из того, что оно делает, - это собирает данные о местоположении миллионов людей, по сути, выступая для правительства в качестве бэкдора, позволяющего отслеживать местоположение своих граждан в режиме реального времени.
Коронавирус – это очень заразное заболевание, которое, скорее всего, потребует проверки миллиардов людей в течение всего 2020 года. Отдавая образец мазка в больницы, пациенты также предоставляют им свои данные, такие как ДНК. Хотя нет никаких сомнений в том, что правительства всех стран мира хотели бы лучшего для своих граждан, но важно также отметить, что в прошлом были случаи взлома правительственных баз данных. Всего несколько месяцев назад Министерство юстиции США выдвинуло обвинения против китайских хакеров за взлом Equifax. Важно понимать, что большинство американцев совершенно не обрадовались бы тому, если бы их конфиденциальные данные ДНК, собранные с помощью тестирования на Covid-19, оказались в руках иностранных государств, таких как Китай и Иран.
Недавно Google запустила сайт скрининга Covid-19. Новый ресурс, разработанный компанией Alphabet, называется Project Baseline и предназначен для показа Covid-19. Сайт обслуживает только потенциальных носителей коронавируса, расположенных в округах Санта-Клара и Сан-Матео в штате Калифорния (США). Через несколько дней после запуска сенаторы обратились к Генеральному директору Alphabet Сундару Пичаи и Вице-президенту США Майку Пенсу, выразив озабоченность по поводу того, как компания планирует защитить все конфиденциальные данные, которыми американцы будут делиться на новом веб-сайте.
Нет никаких сомнений в том, что государственные учреждения созданы для того, чтобы обслуживать своих граждан. Однако эти учреждения управляются людьми, которые зачастую совершают ошибки, способные раскрывать личную информацию хакерам, которые не должны иметь к ней доступа. Правительства, безусловно, должны позаботиться о том, чтобы разработанные ими инструменты борьбы с терроризмом, такие как системы отслеживания местоположения, используемые в Израиле, оставались только в надежных руках. Что касается обычных людей, то все люди, которые хотят обезопасить свою цифровую жизнь, должны убедиться, что все подключенные устройства защищены надежной антивирусной программой.
Еще одна тема, связанная с нынешней пандемией коронавируса Covid-19. Чтобы попытаться остановить распространение вируса, многие компании по всему миру перевели своих сотрудников в режим удаленной работы. Это обстоятельство значительно расширило поверхность атаки, что влечет за собой большую проблему в плане информационной безопасности, поскольку теперь им необходимо установить жесткие правила и предпринимать ряд мер для обеспечения непрерывности работы предприятия и его ИТ-систем.
Однако расширенная поверхность атак – это не единственный из рисков, возникших в последние несколько дней: многие кибер-преступники активно используют эту глобальную неопределенность для проведения фишинговых кампаний, распространения вредоносных программ и создания угрозы информационной безопасности для многих компаний.
В конце прошлой недели была обнаружена группа постоянных угроз повышенной сложности (Advanced Persistent Threat , APT), получившая название Vicious Panda, которая проводила кампании по целевому фишингу (spear-фишинг), используя пандемию коронавируса для распространения своего вредоносного ПО. В электронном письме получателю сообщалось, что оно содержит информацию о коронавирусе, но на самом деле в письме было два вредоносных файла RTF (формат Rich Text). Если жертва открывала эти файлы, то запускался троян удаленного доступа (Remote Access Trojan, RAT), который помимо прочего способен делать скриншоты, создавать списки файлов и каталогов на компьютере жертвы, а также загружать файлы.
До сих пор эта кампания была направлена против государственного сектора Монголии, и, по мнению ряда западных экспертов, она представляет собой самую «свежую» атаку в продолжающейся китайской операции против различных правительств и организаций по всему миру. На этот раз особенностью кампании является то, что она использует новую мировую ситуацию с коронавирусом для более активного заражения своих потенциальных жертв.
Фишинговое письмо выглядит так, словно оно было отправлено из Министерства иностранных дел Монголии, и в нем утверждается, что оно содержит информацию о количестве людей, зараженных вирусом. Чтобы «вооружить» этот файл, злоумышленники использовали RoyalRoad – популярный инструмент среди китайских создателей угроз, который позволяет им создавать пользовательские документы со встроенными объектами, способные использовать уязвимости в Редакторе уравнений, интегрированном в MS Word для создания сложных уравнений.
Как только жертва открывает вредоносные файлы RTF, в Microsoft Word используется уязвимость для загрузки вредоносного файла (intel.wll) в папку автозагрузки Word (%APPDATA%MicrosoftWordSTARTUP). С помощью этого метода угроза не только приобретает устойчивость, но и предотвращается детонация всей цепочки заражения при ее запуске в песочнице, поскольку для полного запуска вредоносного ПО требуется перезапустить Word. Затем файл intel.wll загружает DLL-файл, который используется для загрузки вредоносного ПО и для связи с сервером управления хакера. Работа сервера управления осуществляется в течение строго ограниченного периода времени каждый день, что затрудняет анализ и доступ к наиболее сложным частям цепочки заражения.
Несмотря на это, исследователи смогли установить, что на первом этапе этой цепочки сразу после получения соответствующей команды загружается и расшифровывается RAT, а также загружается DLL, которая загружается в память. Архитектура, похожая на плагин, предполагает, что в дополнение к полезной нагрузке, замеченной в этой кампании, есть и другие модули.
Эта вредоносная кампания имеет множество способов обмана, позволяющих проникнуть в системы своих жертв и после этого поставить под угрозу их информационную безопасность. Чтобы защититься от таких кампаний, важно предпринимать целый ряд мер.
Первая из них чрезвычайно важна: при получении электронных писем важно быть очень осторожным и внимательным. Электронная почта является одним из основных векторов атаки, но при этом без почты не может обойтись почти ни одна компания. Если вы получили письмо от неизвестного отправителя, то лучше не открывайте его, а если все же открыли его, то не открывайте никаких вложений и не нажимайте на какие-либо ссылки.
Чтобы поставить под угрозу информационную безопасность своих жертв, эта атака использует уязвимость в Word. На самом деле, незакрытые уязвимости являются причиной успешности многих кибер-атак, а также наряду с другими проблемами безопасности они могут привести к крупным нарушениям данных. Вот почему так важно как можно скорее применять соответствующий патч для закрытия уязвимости.
Чтобы устранить эти проблемы, компания Panda Security предлагает компаниям решение, специально разработанное для идентификации, управления и установки патчей. Модуль Panda Patch Management автоматически ищет патчи, необходимые для обеспечения безопасности компьютеров в вашей компании, расставляя приоритеты среди наиболее срочных обновлений и планируя их установку. Информация о патчах, требующих установки, сообщается администратору даже при обнаружении эксплойтов и вредоносных программ.
Модуль Panda Patch Management способен сразу же запускать установку требуемых патчей и обновлений, либо же их установку можно запланировать из веб-консоли централизованного управления, при необходимости изолировав непропатченные компьютеры. Таким образом, вы можете управлять патчами и обновлениями, чтобы обеспечить бесперебойную работу вашей компании. И вы получите завершенную систему защиты, способную защитить ваши активы.
К сожалению, рассматриваемая кибер-атака будет точно не последней из числа тех, которые воспользуется нынешней глобальной ситуацией с коронавирусом, чтобы поставить под угрозу информационную безопасность предприятий. Защитите свою организацию, приняв меры предосторожности и используя самые передовые решения в области информационной безопасности.
Стоит отметить, что решения компании Panda Security прошли сертификацию в Государственной службе специальной связи и защиты информации Украины (ДСТСЗИ) и получили сертификат соответствия, что стало логическим подтверждением надежности и качества решений Panda в обеспечении информационной безопасности.
Материал взят: Тут