Hackers utilizam site da Microsoft para atacar empresas e governos

A Microsoft tem adotado medidas para impedir um grupo de hackers, com base na China, de usar seu site TechNet como parte de sua infraestrutura de ataque.

De acordo com a empresa de segurança FireEye, o grupo chamado APT17, sigla em inglês para Advanced Persistent Threat (Ameaça Persistente Avançada), é bem conhecido por ataques contra empreiteiros de defesa, escritórios de advocacia, agências governamentais norte-americanas e empresas de mineração e tecnologia.

Com um alto tráfego, o TechNet é um site que disponibiliza informações técnicas para produtos da Microsoft, além de contar com um grande fórum, onde usuários podem deixar comentários e perguntas.

Um usuário do APT17, apelidado de DeputyDog, criou contas no TechNet e deixou comentários em algumas páginas. Tais comentários continham o nome de um domínio codificado, com o qual computadores infectados pelo malware do grupo eram orientados a entrar em contato.

Segundo Bryce Boland, CTO da FireEye, em seguida, o domínio codificado identificava o computador da vítima para um servidor de comando e controle que fazia parte da infra-estrutura da APT17.

A técnica de solicitar um computador infectado para entrar em contato com um domínio intermediário é frequentemente usada. Geralmente, hackers precisam de máquinas infectadas para alcançar um domínio, cuja probabilidade de parecer suspeita seja mínima, antes de prosseguir para um menos respeitável. 

Ás vezes, os domínios de comando e controle são incorporados no próprio malware. O que torna mais fácil para pesquisadores em segurança descobrirem quais deles precisam ser contatados. 

Outras vezes, o malware é codificado com um algoritmo que gera possíveis nomes de domínios. No entanto, isso também pode indicar uma engenharia reversa por analistas, disse Boland.

Especialistas em segurança têm observado ataques a outros domínios e serviços legítimos, como o Google Docs e Twitter, com o mesmo objetivo do grupo APT17. 

“Esse é um desafio para qualquer plataforma aberta”, ressaltou Boland. 

A FireEye e a Microsoft substituíram os domínios codificados no TechNet com os das empresas controladas, o que lhes deu uma ideia mais clara do problema quando as máquinas infectadas sinalizam para tais domínios.

Nos últimos dois anos, o APT17 infectou computadores com um malware que a FireEye batizou de BLACKCOFFEE. Tal malware consegue subir e apagar arquivos, entre outras funções.

Fonte: IDG Now!

Read More

Cibercriminosos russos preparam ataques a instituições financeiras

A provedora de segurança Root9b emitiu um alerta indicando que um grupo de hackers russos estaria preparando um ataque a instituições financeiras nos Estados Unidos e em outras localidades. Não está claro se esses ataques já começaram, mas especialistas acreditam que as ameaças incluirão táticas de spear phishing.

Os cibercriminosos suspeitos respondem por vários nomes, dentre eles APT28 e Pawn Storm, e é conhecido por atacar corporações de mídia, governos e exércitos.

As preparações dos hackers foram descobertas por analistas da fabricante e incluíam a criação de novos malwares, o registro de domínios similares ao de supostos alvos pretendidos e a preparação de servidores de controle e comando.

A principal ferramenta malware do grupo é um programa backdoor chamado Sednit (ou Sofacy), que ataca vítimas através de e-mails de phishing direcionado ou conduções por downloads vindos de sites comprometidos.

De acordo com relatório publicado na terça-feira (12/05), foi no fim de abril que os analistas da Root9b se depararam com um domínio de phishing semelhante ao de uma instituição financeira do Oriente Médio. Cavando mais fundo, descobriram amostras do novo malware, além de servidores e domínios armados pelo grupo para uma operação.

A empresa lançou hashes para as novas amostras de malware e identificou o endereço IP de um servidor de comando e controle armado pelos hackers. Espera-se que essa descoberta permita que alvos em potencial bloqueiem os ataques a suas redes.

Dentre as instituções ameaçadas estariam o Commercial Bank International, dos Emirados Árabes, Bank of America, TD Canada Trust, the United Nations Children’s Fund (UNICEF), United Bank for Africa, Regions Bank e possivelmente o Commerzbank. Foram alertadas tanto as instituições em questão quanto as autoridades americanas e internacionais.

Naturalmente, o grupo russo pode agora adiar a operação, de modo a aprimorar sua infraestrutura e mudar seus alvos. Mesmo assim, instituições financeiras devem se manter vigilantes e examinar seus e-mails em busca de possíveis tentativas de phishing dirigido.

Baseado nos dados observados, analistas da Root9b acreditam na possível existência de dois subgrupos dentro do APT28: um focado em governos e exércitos e outro que ataca instituições financeiras e bancos.

Fonte: Computer World

Para maiores informações sobre o ataque, e para efetuar o download do Relatório, acesse o site da Root9B

Read More

Anonymous alerta Estado Islâmico: “De agora em diante não há lugar online seguro para vocês”

(FOTO: MATTIA NOTARI/FLICKR/CREATIVE COMMONS)
Neste exato momento, hackers simpatizantes ou membros do Estado Islâmico travam batalhas virtuais contra instituições do Ocidente em um movimento que os próprios definem como “cyberjihad”, que nada mais é do que o conceito islâmico de guerra santa aplicado ao contexto da internet. Para conter o avanço do terrorismo na web, que vem sendo o principal meio de recrutamento de novos jihadistas, o grupo hacktivista Anonymous está em guerra declarada contra o EI.

“Nós vamos caçar e expor vocês, derrubar seus sites, contas, e-mails. De agora em diante, não há lugar online seguro para vocês”, afirmaram em um comunicado divulgado nesta segunda-feira (9), que também contém os links de centenas de contas no Twitter e Facebook, endereços de e-mail, sites, entre outros serviços atacados por ter relação com os terroristas.

A guerra começou com o massacre na redação do jornal francês Charlie Hebdo, considerado pelo Anonymous como um ataque à liberdade de expressão. Os ativistas divulgaram o vídeo abaixo poucos dias depois, no qual se comprometem a perseguir todas as organizações que tiveram qualquer envolvimento com o atentado.

Na internet os ataques do EI vêm sendo mais frequentes. Em janeiro, por exemplo, um grupo denominado CyberCaliphate (CyberCalifado) invadiu o perfil do Comando Central dos Estados Unidos (Centcom) no Twitter. Hoje, a mesma organização, que afirma ter ligações com o EI, hackeou a conta de Twitter da revista semanal americana Newsweek, quem tem mais de 2,5 milhões de seguidores. Por 14 minutos, postaram ameaças ao presidente dos EUA Barack Obama e a sua família e chegaram a divulgar uma imagem provocativa de um jihadista com a frase “Je suIS IS”, uma referência ao movimento “Je suis Charlie”.
MENSAGEM DO CYBERCALIPHATE NO TWITTER DA NEWSWEEK (FOTO: Reprodução)


O CyberCaliphate também aproveitou o espaço para alertar os americanos de que o Estado Islâmico está mais próximo do que eles imaginam. “Nós estamos destruindo seu sistema nacional de cybersegurança por dentro”, afirmaram, dizendo que acessariam a rede do Pentágono e que divulgariam documentos confidenciais.

Assistam os videos da Anonymous sobre a Guerra contra o EI:




Fonte: Revista Galileu

Read More

Facebook cria plataforma de troca de dados sobre ciberataques

O Facebook construiu uma plataforma para empresas de todos os setores compartilharem informações e dados sobre ciberataques e riscos de segurança. A plataforma, chamadaThreatExchange, tem como objetivo ajudar as companhias a enfrentar melhor as ameaças à segurança digital.

Empresas especializadas em soluções de segurança têm, há muito tempo, redes fechadas nas quais trocam informações sobre o cenário de cibersegurança, mas esses canais têm sua limitação, ditada especialmente por questões de concorrência entre as companhias provedoras de serviços e soluções de segurança.

A ideia da plataforma, segundo o Facebook, nasceu há um ano, quando várias empresas de internet, incluindo a rede social, tentaram bloquear o ataque de uma botnet que estava abusando de seus serviços para disseminar spam.

"Aprendemos rapidamente que a troca de informações entre nós foi vital para derrubar a botnet, porque partes dela estavam espalhadas em diferentes serviços e nenhum de nós tinha acesso ao quadro completo", escreveu Mark Hammell, gerente do time de Infraestrutura de Ameaças (Threat Infrastructure) do Facebook, num post no blog oficial nesta quarta-feira.

A ThreatExchange está montada sobre a infraestrutura preexistente do Facebook e provê às companhias participantes APIs (application programming interfaces, ou interfaces de programação de aplicações) para fazer buscas ou informar novos ataques. As informações incluem nomes de domínio maliciosos, amostras de malware e outros indicadores de comprometimento de estrutura.

A plataforma também tem mecanismos de controle que permite às empresas compartilhar certas informações apenas com grupos específicos de organizações, por exemplo aquelas que fazem parte de uma mesma vertical econômica ou que sofreram o mesmo tipo de ataque.

Twitter, Yahoo, Tumblr e Pinterest foram os primeiros a aderir à ideia e testaram a plataforma quando ela estava em desenvolvimento. As empresas Box e Bitly se juntaram ao grupo mais recentemente e o Facebook espera que mais empresas adotem a iniciativa. Quem quiser participar deve aderir ao programa beta no site da ThreatExchange.

Fonte: IDG NOW!

Read More

Pesquisa aponta que ataques DDoS estão se tornando cada vez mais eficazes

Pesquisa aponta que ataques distribuídos de negação de serviço (DDoS) estão se tornando mais eficazes em romper as defesas de segurança, causando grandes danos e às vezes derrubando organizações por vários dias úteis. Foi revelado que41 por cento das organizações mundiais foram atingidas por DDoS em relação ao ano passado, sendo que três quartos desses foram vítimas de ataques por duas ou mais vezes no ano.

O estudo também demonstra a preparação contra os ataques DDoS por parte dos gerentes de TI de médias e grandes organizações de onze países e regiões - Reino Unido, França, Alemanha, EUA, Espanha, Brasil, Oriente Médio, Hong Kong, Cingapura, África do Sul e Austrália - em uma variedade de setores incluindo finanças, varejo e setor público.Ele revela que, enquanto a maioria das organizações norte-americanas (72 por cento) tem um plano de resposta, aproximadamente um quarto está convencido de que dispõe de recursos suficientes para neutralizarum ataque (26 por cento).

É indicado, também pela publicação, que os ataques multi-vetores representam maior complexidade e risco, pois envolvem vários métodos de ataque implementados simultaneamente. Estes, muitas vezes, requeremuma equipe de mitigação dedicada para controlar e combater a ameaça através de múltiplas frentes, já quesistemas automatizados são menos propensos a serem capazes de oferecer proteção adequada. O impacto que esses ataques DDoS podem ter sobre as organizações é sentida no período de tempo que levou as organizações a se recuperarem de seu ataque mais grave. Em média, as organizações podem levar 12 horas para se recuperar totalmente de um ataque poderoso - mais do que um dia inteiro de trabalho.

Acesse a fonte da notícia e confira mais detalhes neste link.

Read More

Está sofrendo ataques DDoS/DoS HTTP ? Varnish na cabeça

Ajudei um amigo nessa última madrugada a mitigar um ataque DDoS HTTP em seus 12 WebServers que rodam com Apache, que por um acaso estavam na última release – 2.2.22 — parabéns ao pessoal por estar preocupado com a versão …

O pessoal, galera sem ter muito o que fazer na madruga, tinha escolhido o pobre coitado para cristo e não adiantou em nada mod_qos, mod_reqtimeout, mod_bandwith, mod_security, mod_antiloris, nada. O jeito foi subir 2 servidores Ubuntu com Varnish, tendo 4GB alocados  só para o produto (malloc Varnish) – cada ubuntu estava com 6GB  – e colocá-los como front-end, quer dizer, respondendo na porta 80. Os apaches passaram a responder em portas acima de 1024 – Pegamos a 8080/TCP – sem problemas porque cada servidor rodava em ips diferentes.

Como o ambiente dele é virtual, a instalação correu numa boa. Ele estava desesperado, então partimos para o velho e conhecido apt-get install varnish. Tudo instalado em menos de 2 minutos, vamos à configuração.

Colocamos em cache todos os objetos estáticos – jpeg,jpg,css,html,txt, jsp – sem muitos ajustes ou tuning de cache, time ou POST. O importante era colocar o Varnish no ar e ver com o comando varnishhist quais objetos estavam sendo cacheados . Vejam na imagem abaixo que o que tem um | é que o servidor, o varnish, está respondendo, em resumo objetos cacheados, e em # objetos não cacheados pelo varnish.

 O load dos Varnishs não passava de 0.4, já o dos servidores Apache, que sempre ficava na casa dos 2.2 e no momento do ataque estavam em 45, caiu para 0.5 – O varnish é animal.

Vejam que foi feita uma simples configuração para o Varnish, nada de controle de purge, banning ou a instalação do security.vcl, que é considerado por alguns o Varnish WAF – exagero.

Uma solução ideal para este ambiente será a substituição dos 12 apaches por 4 nginx – sim, isso mesmo, o nginx é muito superior em diversos aspectos, principalmente para otimização e performance quanto ao PHP, chegando ao ponto de necessitar, em muitos dos casos, de 1/4 dos recursos que são necessários para rodar um apache. Mas cuidado, cada caso é um caso e vc não pode tomar isso como regra absoluta e imutável.

E como front-end ele deverá colocar 2 varnish, só para matar o spof – ponto único de falha, respondendo na TCP/80.

Ponto importante - o Varnish é um servidor de Cache, então não achem que ele irá mitigar todo e qualquer ataque aos seus servidores WEB – ele não foi feito para isso e o security.vcl ajuda, mas não resolve, até porque, não há segurança 100%

Fonte - Coruja de TI

Read More

Ataque DDoS na China mostra que nem todos os servidores TLD estão seguros

O ataque distribuído de negação de serviço (DDoS) que derrubou uma parte da Internet na China no final de semana demonstra que a força da rede global varia muito entre os domínios.
Os servidores que executam o Top Level Domain (TLD) .cn na China foram atacados no domingo. O China Internet Network Information Center, responsável por rodar os servidores TLD, confirmou o ataque e pediu desculpas aos usuários afetados.
A organização disse que estava trabalhando para "melhorar as capacidades de serviço" do sistema, mas não forneceu mais detalhes.

A CloudFlare, que fornece serviços de segurança e desemprenho a mais de um milhão de sites, identificou que o .cn sofreu uma queda limitada que durou entre duas e quatro horas.
O chefe executivo da CloudFlare, Matthew Prince, disse nessa segunda-feira (27) que o CINIC provavelmente teria que fazer sua infraestrutura "substancialmente mais robusta". "Obviamente, o atacante mostrou que existe algum gargalo", disse ele.
A Arbor Networks, que também protege sites contra ataques DDoS, disse que os servidores .cn tiveram que lidar com o tráfego que foi quatro vezes maior que a média. O ataque também pareceu ter continuado no domingo à tarde. "Um ataque sério foi realizado", disse Dan Holden, diretor de pesquisa de segurança da Arbor.

Durante o "bombardeio", nem todo mundo que acessou um site usando o domínio .cn foi bloqueado. Isso porque os provedores de serviços de Internet temporariamente reteram os endereços IP de sites em caches para evitar consultar um servidor TLD para cada site todas as vezes.
No entanto, se o ataque tivesse permanecido por 24 horas, em seguida, mais sites teriam sido afetados de forma gradual, já que caches são rotineiramente removidos após um dado número de horas.
"Se tivesse sido por mais de 24 horas, então literalmente nenhum domínio .cn provavelmente teria sido capaz de ser alcançado", disse Prince.

O fato de os servidores TLD da China serem atingidos em um ataque DDoS é surpreendente, dada a sofisticação total de recursos de Internet do país. A China tem um dos sistemas de filtragem da Internet mais sofisticados do mundo, e é creditado pela montagem de algumas das campanhas mais avançadas de ciberespionagem para roubar segredos corporativos e governamentais de outros países.
Se o CINIC falhou contra um ataque, como os muitos TLDs menores que espera-se ser lançados em breve na Internet devem permanecer intactos?

Em 2011, a Internet Corporation for Assigned Names and Numbers (ICANN) encerrou a maioria das restrições de domínios genéricos de alto nível, tais como ".com", ".net" e ".biz". Como resultado, as empresas e organizações terão a capacidade de escolher seus próprios gTLDs.
O primeiro lote de domínios genéricos aprovados pelo ICANN deverá estar em operação no próximo mês. Especialistas esperam mil novos gTLDs ao longo do tempo, com a maioria deles refletindo nomes de produtos, empresas e cidades. Haverá também mais nomes genéricos como ".bank" e ".sport".

O ataque contra o .cn é um lembrete de que, se um código de país TLD pode ser atingido, os usuários de TLDs genéricos devem tomá-lo como ponto para verificar a infraestrutura das organizações que executam o nome de registro de domínio. "Quanto mais obscura o TLD, mais provável que tenham menos infraestrutura para se proteger", disse Prince.

Fonte: IDG Now

Read More