Специалистами DroneBL, выявлен беспрецедентный Зомби-сеть, атакующий исключительно маршрутизаторы и модемы DSL на базе Linux/MIPS и игнорирующий персональные компьютеры. Эксперты предупреждают, что прежде считавшиеся надежными операционными системы сегодня уже таковыми не являются.

Учёные из DroneBL заявили, что во время устранения направленной на их сервис DDoS -атаки обнаружили нетипичный Зомби-сеть. Его изучение показало, что известный на инфицированные персональные компьютеры сетевой червь под названием psyb0t захватывает маршрутизаторы и модемы DSL, не причиняя ущербы самими компьютерам. Угрозе уязвимы маршрутизаторы на базе Linux/MIPS.

Первые атаки сетевого червя были зарегистрированы еще в декабре прошлого года, но тогда он действовал более выборочно. Речь шла только об ADSL-модемах Netcomm NB5 и аналогичных аппаратах, а для захвата управления над ними сетевой червь применял значения логина и пароля по умолчанию. Уязвимость в этом оборудовании, которую применял psyb0t, в более поздних версиях прошивки устройств уже устранена.

Эксперты DroneBL пришли к выводу, что нынешняя версия сетевого червя более совершенна. Теперь он взламывает маршрутизаторы, подбирая пары логинов и паролей по списку. Более того, если раньше «зомбированные» маршрутизаторы не использовались координирующим центром для конкретных целей, то теперь с их помощью была инициирована DDoS атака (отказ в обслуживании).

После того, как описание сетевого червя появилось в блоге DroneBL, обнаружил себя и создатель вредоносной программы. Автор psyb0t написал, что создал сетевого червя «с исследовательскими целями и теперь прекращает дальнейшую работу над ним». Также он уверяет, что сумел захватить порядка 80 тыс. устройств, но никогда не применял этот Зомби-сеть для DDoS-атак, fishing'а (фишинг) или кражи конфиденциальных данных.

Вчера (24 марта 2009) "Dr Web" сообщил о появлении вируса, способного получать информацию о проведенных через банкомат транзакциях. Своей точкой зрения поделился Александр Гостев, руководитель центра глобальных исследований и анализа угроз "Лаборатории Касперского".

Данная вредоносная программа была обнаружена и добавлена в антивирусные базы "Лаборатории Касперского" 19 марта 2009 г. под именем Backdoor.Win32.Skimer.a. Это троянская программа, которая заражает банкоматы популярного американского производителя Diebold (по неподтвержденным данным, речь идет о банкоматах, расположенных на территории РФ и Украины). На сегодняшний день отсутствует информации о реально инфицированных машинах.

Однако мы предполагаем, что их количество, если таковые вообще существуют, минимально. инфицированные машины становятся уязвимыми для дальнейших действий злоумышленника, а именно: имея специальную карточку доступа, вирусописатель может снять всю наличность, имеющуюся в банкомате, а также получить доступ к информации о всех проведенных через этот банкомат транзакциях других пользователей.

Старший суперинтендант Федерального управления криминальной полиции ФРГ Мирко Манске (Mirko Manske) заявил, что система двухфакторной аутентификации широко распространенная в Германии для обеспечения безопасности банковских операций в онлайне, не способна защитить клиентские счета от кибер-преступников.

«На сегодняшний день более 95 процентов немецких банков используют коды iTan для подтверждения правомерности операций по переводу средств через Интернет», - сообщил г-н Манске во время своего выступления на проходящем в Лондоне конгрессе E-crime Congress. - «К сожалению, предлагаемая система не гарантирует надежной защиты. Деньги продолжают утекать со счетов».

Код iTan выполняет функцию дополнительного защитного рубежа при переводе средств через Интернет. Первый уровень защиты пользователь проходит при подключении к системе, после этого ему предлагается ввести одноразовую комбинацию символов для подтверждения конкретной транзакции. Нужная комбинация доставляется клиенту по альтернативному каналу связи и позволяет подтвердить личность пользователя в том случае, если его идентификационные данные оказались в руках преступников.

Распространенная хакерская методика под названием «man in the middle» предоставляет злоумышленникам возможность модификации данных, передаваемых между скомпрометированным ПК и банковским сервером. Достаточно популярна и другая разновидность атак «man in the browser», в которых за модификацию данных транзакции отвечает специальное «троянское» приложение.