LINUX.ORG.RU
ФорумTalks

Kaspersky Lab Experts: AWS Amazon используется для посева кода крадущего финансовую информацию (многа букаф)


0

1

[!Ъ] «Облако» Amazon может красть финансовые данные

[Ъ]

«Облако» Amazon Web Services (AWS) - рассадник вредоносного кода, который используется для кражи финансовых данных, предупреждает Kaspersky Lab.

Как заявил эксперт компании Дмитрий Бестужев, облако Amazon содержит множество включений вредоносного кода, который может красть финансовые данные. Некоторые полагают также, что хакеры использовали облачные сервисы Elastic Compute Cloud (EC2) для запуска одной из атак на сеть онлайн-развлечений Sony в апреле и мае.

«Недавно появились сообщения, что облако Amazon послужило платформой для успешных атак на Sony, - пишет Бестужев в блоге о проблемах Amazon. - Что ж, сегодня я обнаружил, что [облако] Amazon Web Services используется теперь для посева кода, крадущего финансовую информацию».

Он обнаружил, что киберпреступники, организовавшие эти атаки, находятся в Бразилии и использовали несколько ранее зарегистрированных аккаунтов. Бестужев пишет, что он предупредил Amazon о наличии вредоносного кода, но спустя 12 часов опасные ссылки всё еще были там и действовали.

Эти атаки на Sony, пишет Бестужев, и обнаружение вредоносных ссылок в облаке Amazon свидетельствуют, что киберпреступники всё шире используют официальные облачные сервисы как плацдарм для своих атак.

Обнаруженный им код кражи финансовых данных выступает в нескольких формах; он доставляется на компьютер жертвы и действует разными способами, пишет Бестужев. В одном таком случае он действует как руткит; он ищет четыре разных антивируса и блокирует их выполнение, а также специальную программу защиты GBPluggin, используемую многими бразильскими банками для онлайн-транзакций. Этот код способен красть финансовую информацию из девяти бразильских и двух международных банков, красть идентификационную информацию Microsoft Live Messenger, цифровые сертификаты, используемые eTokens в своей системе, а также информацию ЦП, номер тома жесткого диска, имя ПК и другие данные, используемые некоторыми банками для аутентификации при входе в систему.

Вредоносный код на Amazon передает украденные данные двумя способами: по электронной почте на аккаунт киберпреступника на Google Gmail либо через специальный php-файл, который вставляет их в удаленную базу данных. Мало того, пишет Бестужев, вредоносный код защищен официальным антипиратским ПО под названием The Enigma Protector, чтобы затруднить декомпиляцию.

Всё это показывает, пишет Бестужев, что киберпреступники будут находить всё новые способы использовать облако для запуска своих атак, и поставщикам облака следует усилить меры защиты.

«Я полагаю, что официальные облачные сервисы будут и дальше использоваться преступниками для кибератак различных типов, - пишет Бестужев. - Поставщикам облака следует задуматься о совершенствовании своих систем мониторинга и расширении персонала защиты, чтобы эффективно пресекать попытки атак, предпринимаемые из их облака и с его помощью».

Вот уже полгода работаю с сервисами AWS Amazon, всем доволен... был... Пока не обнаружил сей опус, и сильно испугался.

хакеры использовали облачные сервисы Elastic Compute Cloud (EC2) для запуска одной из атак на сеть онлайн-развлечений Sony в апреле и мае

Если бы я был хакером наверно тоже использовал. Удобно и недорого.

Дмитрий Бестужев

Что ж, сегодня я обнаружил, что [облако] Amazon Web Services используется теперь для посева кода, крадущего финансовую информацию»

Посев кода. Никак не могу представить как сеют код. Видимо после посева он должен взойти.

Обнаруженный им код кражи финансовых данных выступает в нескольких формах; он доставляется на компьютер жертвы и действует разными способами, пишет Бестужев.

Я как активный пользователь AWS Amazon и есть жертва, по всей видимости. Теперь срочно ищу как мне его доставили и куда. Впрочем, счетов в бразильских банках пока не открывал.

Вредоносный код на Amazon передает украденные данные... через специальный php-файл, который вставляет их в удаленную базу данных. Мало того, пишет Бестужев, вредоносный код защищен официальным антипиратским ПО под названием The Enigma Protector, чтобы затруднить декомпиляцию.

Вредоносный код скомпилирован, но почту отправляет через специальный php-файл. Одно из двух, или на C++ нет функций для открытия сокета и отправки текстовых данных согласно протокола - поэтому пришлось использовать PHP-функцию mail(), или Дмитрий запутывает следы.

Чем-то напоминает сериал. Некие злоумышленники использовали сервис в своих грязных целях, причем не были обнаружены администрацией. А Дмитрий Бесстужев, эксперт лаборатории Касперского раскрывает их коварные планы, и сообщает владельцам Амазона, что они сеют вредоносный код. Но ему не верят, или игнорируют малограмотные буржуйские админы.

Потом мне звонит знакомый и спрашивает, нет ли у меня ключа к Касперскому. Хотя он убежденный сторонник Nod32. И в доказательство чистоты своих намерений показывает мне эту статью...

Linux тут ни при чем наверное, разве что на инстансе там у меня Ubuntu-server.

★★★

статья имела бы ценность, если бы он раскрыл заговор создателей ami с заранее внедренными руткитами, которые массово используются ничего не подозревающими пользователями, а так какая-то хрень.

bender ★★★★★ ()
Ответ на: комментарий от bender

Подозреваю, что на момент написания статьи Дмитрий не был знаком с этим термином.

valich ★★★ ()

> Если бы я был хакером наверно тоже использовал. Удобно и недорого.

смотря на какой срок. Я так посчитал, если виртуалка непрерывно должна работать, то выходит дороже обычного VPS-а

Harald ★★★★★ ()

«Недавно появились сообщения, что облако Amazon послужило платформой для успешных атак на Sony, - пишут в независимых блогах. - Что ж, сегодня мы обнаружили, что [сотрудник «Лаборатории Касперского»] Дмитрий Бестужев использует жёлтогазетный стиль своих статей для посева паники среди пользователей Amazon Web Services».

Deleted ()

Фишинговые сайты на EC2? А почему бы и нет? И чем это так отличается от народ.ру, что ты так испугался?

stevejobs ★★★★☆ ()
Ответ на: комментарий от Harald

> то выходит дороже обычного VPS-а

с другой стороны, не нужно саппортить инфраструктуру.. Многие отказываются от собственного хранилища кода, багтрекера и прочего в пользу какой-нибудь жиры, только потому, что расходы на саппорт собственного парка железа и софта - слишком большие

stevejobs ★★★★☆ ()

А в Kaspersky Lab свое суперзащищенное облако еще не сделали? А-то от статьи попахивает.

f1xmAn ★★★★★ ()
Ответ на: комментарий от stevejobs

а VPS прям как будто лично надо саппортить :) смысл моего поста был в том, что из-за почасовой оплаты EC2 выгоднее, когда нужно много виртуалок на небольшой срок (<<месяца), а если они нужны постоянно работающими - тогда у традиционных хостеров дешевле

Harald ★★★★★ ()
Ответ на: комментарий от Harald

> смотря на какой срок. Я так посчитал, если виртуалка непрерывно должна работать, то выходит дороже обычного VPS-а

На тарифе «Микро» дешевле. А если учесть Free Usage Teer в течении года, то...
Я и себе взял инстансик, плюс хранилище, и тыкаю всякие плюшки, расширяю кругозор. Счас плачу 25 русских деревянных в месяц.

valich ★★★ ()
Ответ на: комментарий от f1xmAn

> А в Kaspersky Lab свое суперзащищенное облако еще не сделали?

Они хотят аутсорсить на Амазоне, вместо их служб администрирования и безопасности. Переведут инфраструктуру на Windows 2012 Super Cluster Server, и установят свою KIS. Будут клиенты платить на 189 рублей в месяц больше.

valich ★★★ ()
Ответ на: комментарий от f1xmAn

Ключевая фраза

Поставщикам облака следует задуматься о совершенствовании своих систем мониторинга и расширении персонала защиты, чтобы эффективно пресекать попытки атак, предпринимаемые из их облака и с его помощью.

valich ★★★ ()

Ну что, хомячки, доигрались с облаками?

DNA_Seq ★★☆☆☆ ()
Ответ на: комментарий от stevejobs

> Фишинговые сайты на EC2?

Он говорит о посевах кода, доставке его в банки и автоматизированное воровство финансовой информации с отправкой ее на внешнюю БД через специальный PHP-скрипт.

valich ★★★ ()

Может быть, заказное «исследование».

Где-нибудь в облаках M$ найти вирус в пользовательских данных (ну могут же они там быть, разве нет?) - и можно использовать статью в качестве шаблона, с заменой действующих лиц.

oami ★★ ()
Ответ на: комментарий от valich

Что такое посевы кода? Каким образом оно доставляется в банки?

Если письма и страницы, то рассылать фишинговые письма и делать фишинговые страницы можно на любом народе.

Я не верю, что этот чувак смог поломать изоляцию EC2, напрямую поменять коды чужих проектов и напрямую стибрить их данные.

stevejobs ★★★★☆ ()
Ответ на: комментарий от stevejobs

Я не верю, что этот чувак смог поломать изоляцию EC2, напрямую поменять коды чужих проектов и напрямую стибрить их данные.

why? это же обычные vps-тазики, дырки в xen уже находили.

true_admin ★★★★★ ()
Ответ на: комментарий от stevejobs

> Что такое посевы кода? Каким образом оно доставляется в банки?

Хм. Если эксперт будет всем подряд разъяснять такие сложные вещи, то он очень быстро перестанет быть экспертом.

valich ★★★ ()
Ответ на: комментарий от valich

> такие сложные вещи

Так и скажи - чувак зажилил инфу, жаба задавила рассказать, хочет развести несчастных на бабло, итп.

В вебе нет сложных вещей. По крайней мере таких сложных, чтобы мы не поняли.

stevejobs ★★★★☆ ()
Ответ на: комментарий от true_admin

> why? это же обычные vps-тазики, дырки в xen уже находили.

Думаешь, в амазоне знают о недостатках, но молчат? А эксперт кошмарского просто воспользовался этим и решил сорвать покровы?

stevejobs ★★★★☆ ()
Ответ на: комментарий от stevejobs

Если бы я работал в лаборатории Касперского, наверное тоже создавал бы атмосферу таинственности и генерил налет мистики.

valich ★★★ ()

«Посев» из медицины скорее. Вирусы, заражения и карантины и т.д. оттуда же пришли.

WerNA ★★★★★ ()
Ответ на: комментарий от stevejobs

Думаешь, в амазоне знают о недостатках, но молчат?

может и не знают, кто их знает :)

true_admin ★★★★★ ()
Ответ на: комментарий от WerNA

Видимо этот эксперт недавно ходил к врачу, вот слово и привязалось :)

true_admin ★★★★★ ()

Вредоносный код скомпилирован, но почту отправляет через специальный php-файл. Одно из двух, или на C++ нет функций для открытия сокета и отправки текстовых данных согласно протокола - поэтому пришлось использовать PHP-функцию mail(), или Дмитрий запутывает следы.

не

клиент(жертва, с++) шлет на гейт (ботнет сервер, пхп) то что просят

xtraeft ★★☆☆ ()
Ответ на: комментарий от valich

на ес2 просто эксплойты для браузеров хостятся и гейт ботнета для сбора данных

xtraeft ★★☆☆ ()
Ответ на: комментарий от stevejobs

Если письма и страницы, то рассылать фишинговые письма и делать фишинговые страницы можно на любом народе.

верно

Я не верю, что этот чувак смог поломать изоляцию EC2, напрямую поменять коды чужих проектов и напрямую стибрить их данные.

он и не ломал, просто хостил свой инструментарий там

xtraeft ★★☆☆ ()
Ответ на: комментарий от bender

>> заговор создателей ami с заранее внедренными руткитами

ami

WTF? AMI BIOS? SMM?

GotF ★★★★★ ()
Ответ на: комментарий от GotF

Amazon Machine Images

An Amazon Machine Image (AMI) is a special type of pre-configured operating system and virtual application software which is used to create a virtual machine within the Amazon Elastic Compute Cloud (EC2). It serves as the basic unit of deployment for services delivered using EC2.

bender ★★★★★ ()
Ответ на: комментарий от bender

А, ясно. Так получилось, что с AMI BIOS тоже связаны истории о SMM-руткитах :)

GotF ★★★★★ ()

Дмитрий Бестужев предупреждает читателей, что широкое использование облачного хостинга AWS снижает прибыли антивирусных компаний, которые при таком раскладе становятся не нужны.

Aceler ★★★★★ ()
Ответ на: комментарий от Aceler

> Статьи на tadviser добавляют пользователи.

Но с премодерированием. И модератор у них видимо не блещет здравым смыслом.

valich ★★★ ()

Лучше бы многоуважаемому товарищу Бестужеву не искать соринки в глазах зарубежных сервисов и зарубежного ДБО, а обратить внимание на свои собственные, отечественные, бревна.

У нас в России, взлом ДБО уже давно поставлен «на поток»! И всякие полумеры типа массового внедрения смарт-карт, ситуацию нисколько не улучшают.

Конечно, намного приятнее рассуждать о «посевах вредоносного кода в облаках», и счетчики в базах крутить всякой бросовой фигней... А вот реальными проблемами заниматься - как же...

Macil ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.