Tag Archives: Новости

200 000 MikroTik маршрутизаторов заражены майнинговым скрипт Coinhive

MikroTik маршрутизаторов заражены майнинговым скрипт Coinhive

Сразу несколько ИБ-специалистов и компаний зафиксировали волну атак, направленную против маршрутизаторов MikroTik по всему миру. Первым на происходящее обратил внимание бразильский исследователь, известный под ником MalwareHunterBR.

Посмотреть изображение в ТвиттереПосмотреть изображение в ТвиттереПосмотреть изображение в Твиттере

Дело в том, что сначала атаки концентрировались на территории Бразилии, но затем распространились и на другие страны, что уже привлекло внимание Trustwave. По данным аналитиков компании, по информации на 1 августа 2018 года неизвестные злоумышленники скомпрометировали более 72 000 роутеров MikroTik в одной только Бразилии. На тот момент подобные атаки практиковала всего одна хакерская группа, так как специалистам удалось выявить только один Coinhive-ключ.

Исследователи пишут, что хакеры эксплуатируют свежую уязвимость, которая была обнаружена в составе компонента Winbox в апреле текущего года. Хотя инженеры MikroTik оперативно устранили этот опасный RCE-баг, владельцы роутеров, к сожалению, по-прежнему не спешат устанавливать обновление на свои устройства. Между тем, для уязвимости уже были опубликованы PoC-эксплоиты (12) и подробные анализы.

После взлома устройства используются для манипуляций с трафиком: роутеры заставляли внедрять во все страницы, всех сайтов майнинговый скрипт Coinhive. Хуже того, по данным экспертов, атаки затронули не только пользователей устройств MikroTik. Дело в том, что некоторые бразильские провайдеры используют уязвимые маршрутизаторы в своих основных сетях, и в результате их компрометации инъекции Coinhive затронули большой процент трафика. Также такие инъекции опасны не только для пользователей напрямую. К примеру, если некий сайт размещается в локальной сети за роутером MikroTik, его трафик так же окажется заражен майнером Coinhive.

Однако злоумышленники быстро поняли, что встраивать майнер буквально повсюду – не слишком хорошая идея, так как подобное поведение привлекает чересчур много внимания. Тогда операторы вредоносной кампании решили ограничиться только страницами ошибок, которые возвращают роутеры. При этом массовость атак не снижается. После того как кампания распространилась за пределы Бразилии, количество зараженных майнинговым скрипт Coinhive маршрутизаторов MikroTik превысило 180 000.

Простое обращение к поисковику Shodan показывает, что в интернете можно обнаружить более 1,7 млн роутеров компании MikroTik, то есть атакующим определенно есть где развернуться.

Журналисты Bleeping Computer сообщают, что по данным известного ИБ-эксперта Троя Марша (Troy Mursch), специалистам удалось выявить второй ключ Coinhive, внедряемый в трафик устройств MikroTik. Вторая вредоносная кампания затронула по меньшей мере 25 000 роутеров, то есть в общей сложности уже были скомпрометированы свыше 200 000 устройств.

MikroTik маршрутизаторов заражены майнинговым скрипт Coinhive

DNS rebinding attack 500 000 000 IoT-устройств уязвимы перед ними

DNS rebinding attack

Специалисты компании Armis стали известны всему миру в 2017 году после обнаружения уязвимости BlueBorne, представлявшей угрозу для 5,3 млрд устройств, работающих с различными имплементациями Bluetooth.

Теперь аналитики Armis обратились к другой проблеме и подсчитали, что около полумиллиарда «умных» устройств по-прежнему уязвимы перед старой проблемой перепривязывания DNS rebinding attack (DNS rebinding).

Эксперты полагают, что атакующие могут использовать этот нюанс для атак на корпоративные сети, куда IoT интегрирован весьма серьезно. Напомню, что на прошлой неделе стало известно, что злоумышленники, атаковавшие российский ПИР банк, использовали для проникновения в сеть финансового учреждения всего один уязвимый роутер.

Внимание специалистов к данной проблеме привлекли участившиеся в последнее время случаи обнаружения уязвимостей в различных продуктах, напрямую связанных сDNS rebinding attack. К примеру, только в 2018 году ошибки, связанные с перепривязыванием DNS, устранили разработчики BlizzarduTorrent,  Google Home и так далее.

Атаки типа DNS rebinding attack  устроены весьма просто:

  • Атакующий поднимает собственный DNS-сервер на вредоносном домене.
  • Затем злоумышленник обманом вынуждает свою жертву обратиться по ссылке к этому вредоносному домену, используя фишинг, социальную инженерию, XSS и так далее.
  • Браузер пользователя запрашивает у домена настройки DNS, и вредоносный DNS-сервер отвечает, после чего браузер кэширует адрес вида XX.XX.XX.XX.
  • Но DNS-сервер атакующего настроен таким образом, чтобы его ответы содержали очень короткое время жизни (TTL) записей, предотвращая кэширование ответа. Как правило значение равно одной секунде. В результате браузер через секунду обращается к домену с еще одним DNS-запросом.
  • DNS-сервер злоумышленников присылает в ответ вредоносный IP-адрес (к примеру, YY.YY.YY.YY), как правило, соответствующий домену в частной сети устройства.
  • Атакующие продолжают использовать вредоносный DNS-сервер для разных IP, чтобы собрать как можно больше данных из частой сети, которые затем могут использовать для самых разных целей.

 

Видео, созданное специалистами Armis, подробно рассказывает о том, как работают атаки с перепривязкой DNS и какие риски они могут нести. По данным аналитиков Armis, миллионы IoT-устройств являются идеальными целями для атак DNS rebinding attack. Эта проблема опасна почти для всех «умных» устройств: телевизоров, роутеров, камер видеонаблюдения, принтеров, IP-телефонов и так далее. Хуже того, в настоящее время «умные» гаджеты плотно интегрированы в корпоративные сети и могут выступать удобным плацдармом для злоумышленников. Примерное соотношение уязвимых устройств обозначено на инфографике ниже.

DNS rebinding attack

DNS rebinding attack

Исследователи отмечают, что создание и выпуск патчей для этого сонма гаджетов, скорее всего, является попросту невыполнимой задачей. Дело в том, что многие производители не спешат исправлять в своих продуктах даже более тривиальные баги (например, XSS и CSRF), так что у проблемы DNS rebinding attack шансов немного. В Armis полагают, что искать новые устройства на замену уязвимым и проводить многочисленные аудиты, это тоже не вариант. По мнению экспертов, проще и дешевле будет эффективно интегрировать IoT-устройства с уже использующимися продуктами для мониторинга кибербезопасности.

МТС-Украина готовят к продаже

«МТС-Украина»

«МТС-Украина»

«МТС-Украина»

 

Один из лидеров украинского рынка мобильной связи – компания «МТС-Украина» – готовится к продаже части бизнеса. Такая информация, появившаяся вчера в прессе, породила различные предположения о дальнейшей участи мобильного оператора. Вместе с тем, топ-менеджмент компании уверяет, что «МТС» не намерена полностью покидать украинский рынок.
Что скрыто за разговорами о продаже «МТС-Украина»
фото Shutterstock
«Компания заинтересована в развитии бизнеса и инфраструктуры сетей новых поколений в стране», – такой комментарий руководителя направления по взаимодействию со СМИ «Мобильные ТелеСистемы» Дмитрия Солодовникова приводит в своем материале российская газета «Ведомости». А на запрос Forbes Солодовников уточнил, что оператор не исключает вариант привлечения партнера для соинвестирования в сети 3G.
Далее тему развил генеральный директор «МТС-Украина» Иван Золочевский: «Трезво оценивая перспективы развития 3G в сложившейся экономической ситуации, материнская группа ищет зарубежных инвесторов для совместного развития этого бизнеса в Украине. Это не значит, что компания продается, но определенное долевое участие может рассматриваться». Попытки привлечь соинвестора в «МТС-Украина» объясняют «необходимостью вложения огромных средств в развитие 3G, что просто невозможно сделать без внешних заимствований».
Ставки растут
Надо сказать, за последнее стоимость лицензии нимало подросла. Еще 23 июля в эфире «5 канала» заместитель главы Администрации президента Дмитрий Шимкив заявлял, что от продажи лицензий на использование радиочастот мобильной связи третьего поколения в государственный бюджет может поступить около 2-3 млрд гривен. Бывший член Национальной комиссии, осуществляющей государственное регулирование в сфере связи и информатизации (НКРСИ) Владимир Олейник озвучивал сумму в 3-4 млрд гривен. Однако теперь НКРСИ за каждую из трех разыгрываемых лицензий назначила начальную цену в 2,4 млрд гривен.
И это еще не считая стоимости конверсии частот для Министерства обороны, которая тоже ложится на плечи операторов. Уволившийся вместе с членами НКРСИ ее руководитель Андрей Семенченко оценивал ее на уровне 1,998 млрд гривен. Собственно, из этого показателя директор по регуляторно-правовому обеспечению «Киевстара» Андрей Осадчук выводил справедливую стартовую стоимость лицензии на уровне 667 млн гривен в пересчете на каждого участника «большой тройки».
Эксперт в области телекоммуникаций, экс-директор компании «Украинские новейшие технологии» (ТМ FreshTel) Елена Минич и вовсе предлагает выдать операторам лицензии за 1 гривну, пусть они полностью оплатят конверсию и модернизацию военных, но взамен агрессивно и быстро развернут 3G-сети в каждом селе. В таком случае государство могло бы потребовать у участников рынка взять на себя и социальные обязательства – например, по подключению к цифровым каналам школ, детдомов, детсадов, больниц. «Вот это будет уникальный стимул развития экономики», – убеждена Минич. Предложенную НКРСИ стоимость лицензии в 2,4 млрд гривен она считает плодом больной или жадной фантазии чиновников.
Конечно, в европейских странах в свое время правительства выручали куда большие деньги за выдачу 3G-лицензий. Но те рынки на тот момент росли, а абоненты генерировали на порядок большие показатели ARPU (Average Revenue Per User). Например, в сети «Киевстара» среднемесячная выручка в пересчете на абонента составляет всего 2-2,5 евро.
Версии
Таким образом, есть все основания полагать, что «МТС» действительно не собирается уходить с украинского рынка. Скорее, за счет привлечения западного партнера компания рассчитывает убить одного из двух зайцев (или сразу двух): исключить возможную дискриминацию при участии в конкурсе на 3G-лицензии (100% ее акций принадлежат российской группе «МТС») и облегчить финансовое бремя при развертывании сети.
Впрочем, участники рынка не особенно верят в реалистичность привлечения иностранных инвесторов в современных условиях. По мнению партнера консалтинговой группы E&C Анатолия Фроленкова, интерес могут представлять растущие рынки или очень доступные по цене активы, но в данной ситуации ни один из этих сценариев, скорее всего, не реализуется. Мнение своего коллеги разделяет и президент компании SV Consulting Олег Стефанюк. Собеседник Forbes подтвердил, что уже даже выбрана структура для подготовки продажи активов оператора.
Стефанюк обращает внимание на «спящий» актив «Тримоб», в распоряжении которого на сегодняшний день находится единственная 3G-лицензия в стандарте UMTS. Это скрытая угроза для любого инвестора, поскольку в любой момент он может оказаться в руках одного из игроков рынка украинской мобильной связи.
По одной из версий Стефанюка, интерес к «МТС-Украина» могут проявить местные инвесторы, тем более, что это готовый успешный бизнес. «Риски – олигархический капитал оппозиционных сил может зайти в структуру «МТС», – подтверждает Минич. – В нашей текущей ситуации стратегических инвесторов из-за границы нет и не будет. Это я точно знаю».
«Еще одним объяснением действий «МТС» может стать желание переоформить часть бизнеса на подставную компанию без явной доли российского капитала», – говорит Стефанюк. В свое время таким образом Виктор Пинчук вернул «Альфа-Групп» контроль над «Киевстаром» и «Билайном». Заодно на этой операции офшор Bertofan Investments Limited украинского бизнесмена заработал на перепродаже акций VimpelCom $106,54 млн. Другой пример: в августе «МТС-Украина» возобновила предоставление услуг связи в Крыму посредством технического роуминга через местного оператора «К-Телеком». По странному стечению обстоятельств у «МТС» есть одноименная российская «дочка».
Наконец, причины продажи бизнеса можно связывать с процессами, которые сейчас происходят с основным акционером АФК «Система» Владимиром Евтушенковым. Как раз этой российской финансово-промышленной группе принадлежит контрольный пакет акций «МТС».
Показательный кейс
Минич считает, что продажа части акций «МТС» покажет реальную картину стоимости и частот, и абонентской базы. «Мое футуристическое предположение, что Кабмин получит пощечину и наконец-то осознает, что высокотехнологичные компании являются индикатором развития экономики. Если они не развиваются, то и вся экономика стагнирует», – говорит эксперт.
Сумма гипотетической сделки позволит просчитать удельную стоимость абонента и 1 МГц спектра в частотных диапазонах 900 МГц и 1800 МГц. Далее с помощью коэффициентов разницы стоимости GSM и UMTS несложно вывести реальную стоимость 3G-частот.
«Если никто не захочет покупать, это станет еще более ярким сигналом для Кабмина, президента и вообще всей страны, – уверена Минич. – Тогда надо будет не вспоминать про санкции и 50% «русского» капитала, а отдавать 3G-лицензии операторам и молиться на них. Чтобы они вливали деньги в строительство сети, создание инфраструктуры в районах и селах, создавали рабочие места и несли социальную нагрузку вместе с государством».